Was ist Microsoft Baseline Security Analyzer und seine Verwendung?What is Microsoft Baseline Security Analyzer and its uses?

Microsoft Baseline Security Analyzer (MBSA) wird verwendet, um die Patchkonformität zu überprüfen.Microsoft Baseline Security Analyzer (MBSA) is used to verify patch compliance. MBSA hat auch mehrere andere Sicherheitsüberprüfungen für Windows, IIS und SQL Server.MBSA also performed several other security checks for Windows, IIS, and SQL Server. Leider wurde die Logik für diese zusätzlichen Überprüfungen seit Windows XP und Windows Server 2003 nicht aktiv beibehalten.Unfortunately, the logic behind these additional checks had not been actively maintained since Windows XP and Windows Server 2003. Änderungen an den Produkten seitdem viele dieser Sicherheitsüberprüfungen veraltet und einige ihrer Empfehlungen als gegenproduktiv gerendert.Changes in the products since then rendered many of these security checks obsolete and some of their recommendations counterproductive.

MBSA wurde hauptsächlich in Situationen verwendet, in denen weder Microsoft Update noch ein lokaler WSUS- oder Configuration Manager-Server verfügbar war, oder als Compliancetool, um sicherzustellen, dass alle Sicherheitsupdates in einer verwalteten Umgebung bereitgestellt wurden.MBSA was largely used in situations where neither Microsoft Update nor a local WSUS or Configuration Manager server was available, or as a compliance tool to ensure that all security updates were deployed to a managed environment. Während in MBSA, Version 2.3, Unterstützung für Windows Server 2012 R2 und Windows 8.1 eingeführt wurde, ist sie veraltet und wurde nicht mehr entwickelt.While MBSA version 2.3 introduced support for Windows Server 2012 R2 and Windows 8.1, it has since been deprecated and no longer developed. MBSA 2.3 wurde nicht aktualisiert, um Windows 10 und Windows Server 2016 vollständig zu unterstützen.MBSA 2.3 is not updated to fully support Windows 10 and Windows Server 2016.

Hinweis

In Übereinstimmung mit unserer Sha-1-Abgrenzungs-Initiative ist die Wsusscn2.cab-Datei nicht mehr dual signiert und verwendet sha-1 und die SHA-2-Suite von Hashalgorithmen (insbesondere SHA-256). In accordance with our SHA-1 deprecation initiative, the Wsusscn2.cab file is no longer dual-signed using both SHA-1 and the SHA-2 suite of hash algorithms (specifically SHA-256). Diese Datei ist jetzt nur mit SHA-256 signiert.This file is now signed using only SHA-256. Administratoren, die digitale Signaturen für diese Datei überprüfen, sollten jetzt nur noch einzelne SHA-256-Signaturen erwarten.Administrators who verify digital signatures on this file should now expect only single SHA-256 signatures. Ab der Datei vom August 2020 Wsusscn2.cab MBSA den folgenden Fehler zurück: "Die Katalogdatei ist beschädigt oder ein ungültiger Katalog".Starting with the August 2020 Wsusscn2.cab file, MBSA will return the following error "The catalog file is damaged or an invalid catalog." beim Versuch, die Offlinescandatei zu scannen.when attempting to scan using the offline scan file.

Die LösungThe Solution

Ein Skript kann Ihnen bei einer Alternative zur Patch-Compliance-Überprüfung von MBSA helfen:A script can help you with an alternative to MBSA’s patch-compliance checking:

Zum Beispiel:For example:

 VBS Script
 PowerShell script
VBS script PowerShell script

Die vorstehenden Skripts nutzen die WSUS-Offlinescandatei (wsusscn2.cab), um eine Überprüfung durchzuführen und dieselben Informationen zu fehlenden Updates wie mbSA zu erhalten.The preceding scripts leverage the WSUS offline scan file (wsusscn2.cab) to perform a scan and get the same information on missing updates as MBSA supplied. MBSA stützte sich auch auf die wsusscn2.cab, um zu bestimmen, welche Updates in einem bestimmten System fehlten, ohne eine Verbindung mit einem Onlinedienst oder Server herzustellen.MBSA also relied on the wsusscn2.cab to determine which updates were missing from a given system without connecting to any online service or server. Die wsusscn2.cab ist weiterhin verfügbar, und es gibt derzeit keine Pläne, sie zu entfernen oder zu ersetzen.The wsusscn2.cab file is still available and there are currently no plans to remove or replace it. Die wsusscn2.cab enthält die Metadaten von nur Sicherheitsupdates, Updaterollups und Service Packs, die von Microsoft Update verfügbar sind. Er enthält keine Informationen zu nicht sicherheitssenkten Updates, Tools oder Treibern.The wsusscn2.cab file contains the metadata of only security updates, update rollups and service packs available from Microsoft Update; it does not contain any information on non-security updates, tools or drivers.

Weitere InformationenMore Information

Für die Sicherheitskonformität und die Desktop-/Serversicherheit empfehlen wir die Microsoft Security Baselines und das Security Compliance Toolkit.For security compliance and for desktop/server hardening, we recommend the Microsoft Security Baselines and the Security Compliance Toolkit.