Was ist Microsoft Baseline Security Analyzer und seine Verwendungsmöglichkeiten?

Microsoft Baseline Security Analyzer (MBSA) wird verwendet, um die Patchcompliance zu überprüfen. MBSA hat auch mehrere weitere Sicherheitsüberprüfungen für Windows, IIS und SQL Server durchgeführt. Leider wurde die Logik hinter diesen zusätzlichen Prüfungen seit Windows XP und Windows Server 2003 nicht aktiv verwaltet. Änderungen an den Produkten haben seitdem viele dieser Sicherheitsüberprüfungen veraltet gemacht, und einige ihrer Empfehlungen sind gegenproduktiv.

MBSA wurde größtenteils in Situationen verwendet, in denen weder Microsoft Update noch ein lokaler WSUS- oder Configuration Manager-Server verfügbar war, oder als Compliancetool, um sicherzustellen, dass alle Sicherheitsupdates in einer verwalteten Umgebung bereitgestellt wurden. Während MBSA, Version 2.3, unterstützung für Windows Server 2012 R2 und Windows 8.1 eingeführt hat, ist sie mittlerweile veraltet und nicht mehr entwickelt. MBSA 2.3 wird nicht aktualisiert, um Windows 10 und Windows Server 2016 vollständig zu unterstützen.

Hinweis

Gemäß unserer SHA-1-Deprecation-Initiativeist die Wsusscn2.cab-Datei nicht mehr mit SHA-1 und der SHA-2-Suite von Hashalgorithmen (insbesondere SHA-256) doppelt signiert. Diese Datei ist jetzt nur noch mit SHA-256 signiert. Administratoren, die digitale Signaturen für diese Datei überprüfen, sollten jetzt nur noch einzelne SHA-256-Signaturen erwarten. Ab der Datei vom August 2020 Wsusscn2.cab gibt MBSA den folgenden Fehler zurück: "Die Katalogdatei ist beschädigt oder ein ungültiger Katalog." beim Versuch, mithilfe der Offlinescandatei zu scannen.

Die Lösung

Ein Skript kann Ihnen bei einer Alternative zur Patchkompatibilitätsprüfung von MBSA helfen:

Zum Beispiel:

 VBS-Skript.
 PowerShell-Skript.

Die vorherigen Skripts verwenden die WSUS-Offlinescandatei (wsusscn2.cab), um eine Überprüfung durchzuführen und die gleichen Informationen zu fehlenden Updates wie die bereitgestellte MBSA abzurufen. MbSA stützte sich auch auf die wsusscn2.cab, um festzustellen, welche Updates in einem bestimmten System fehlten, ohne eine Verbindung mit einem Onlinedienst oder Server herzustellen. Die wsusscn2.cab Datei ist weiterhin verfügbar, und es gibt derzeit keine Pläne, sie zu entfernen oder zu ersetzen. Die wsusscn2.cab-Datei enthält nur die Metadaten von Sicherheitsupdates, Updaterollups und Service Packs, die über Microsoft Update verfügbar sind. Enthält keine Informationen zu nicht sicherheitsrelevanten Updates, Tools oder Treibern.

Weitere Informationen

Für die Sicherheitscompliance und die Desktop-/Serverhärtung empfehlen wir die Microsoft Security Baselines und das Security Compliance Toolkit.