什么是 Microsoft 基线安全分析器及其用途？

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Microsoft Baseline Security Analyzer (MBSA) 用于验证修补程序符合性。 MBSA 还对 Windows、IIS 和SQL Server执行了多项其他安全检查。 遗憾的是，自 Windows XP 和 Windows Server 2003 以来，这些额外检查背后的逻辑一直没有得到积极维护。 此后，产品的变化使其中许多安全检查过时，其一些建议适得其反。

MBSA 主要用于 Microsoft 更新本地 WSUS 或 Configuration Manager 服务器不可用的情况，或者用作合规性工具，以确保将所有安全更新部署到托管环境。 虽然 MBSA 版本 2.3 引入了对 Windows Server 2012 R2 和 Windows 8.1 的支持，但此后它已被弃用，不再开发。 MBSA 2.3 未更新为完全支持Windows 10和Windows Server 2016。

注意

根据 SHA-1 弃用计划，Wsusscn2.cab 文件不再使用 SHA-1 和 SHA-2 哈希算法套件进行双签名， (特别是 SHA-256) 。 此文件现在仅使用 SHA-256 进行签名。 验证此文件数字签名的管理员现在应仅需要单个 SHA-256 签名。 从 2020 年 8 月 Wsusscn2.cab 文件开始，当尝试使用脱机扫描文件进行扫描时，MBSA 将返回以下错误“目录文件已损坏或目录无效”。

解决方案

脚本可帮助你替代 MBSA 的修补程序符合性检查：

• 使用 WUA 扫描汇报脱机，其中包括示例 .vbs 脚本。 有关 PowerShell 替代方法，请参阅使用 WUA 通过 PowerShell 扫描脱机汇报。

例如：

上述脚本使用 WSUS 脱机扫描文件 (wsusscn2.cab) 来执行扫描，并获取与 MBSA 提供的相同缺失更新的信息。 MBSA 还依赖于 wsusscn2.cab 来确定给定系统中缺少哪些更新，而无需连接到任何联机服务或服务器。 wsusscn2.cab 文件仍然可用，目前没有删除或替换它的计划。 wsusscn2.cab 文件仅包含 Microsoft 更新提供的安全更新、更新汇总和 Service Pack 的元数据;它不包含有关非安全更新、工具或驱动程序的任何信息。

更多信息

对于安全合规性和桌面/服务器强化，建议使用 Microsoft 安全基线和安全合规性工具包。

• Windows 安全基线
• 下载 Microsoft 安全合规性工具包 1.0
• Microsoft 安全指南博客