Microsoft Baseline Security Analyzer とその使用方法

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Microsoft Baseline Security Analyzer (MBSA) は、パッチのコンプライアンスを確認するために使用されます。 MBSA では、Windows、IIS、およびSQL Serverに関するその他のいくつかのセキュリティ チェックも実行しました。 残念ながら、これらの追加チェックの背後にあるロジックは、Windows XP と Windows Server 2003 以降、アクティブに維持されていませんでした。 それ以降の製品の変更により、これらのセキュリティ チェックの多くが廃止され、推奨事項の一部が逆効果になりました。

MBSA は、Microsoft Update のローカル WSUS または Configuration Manager サーバーが利用できない状況や、すべてのセキュリティ更新プログラムがマネージド環境に展開されていることを確認するためのコンプライアンス ツールとして、主に使用されていました。 MBSA バージョン 2.3 では、Windows Server 2012 R2 とWindows 8.1のサポートが導入されましたが、その後非推奨となり、開発が終了しました。 MBSA 2.3 は、Windows 10とWindows Server 2016を完全にサポートするようには更新されません。

注

SHA-1 非推奨の取り組みに従って、sha-1 と SHA-2 スイートのハッシュ アルゴリズム (特に SHA-256) の両方を使用して、Wsusscn2.cab ファイルがデュアル署名されなくなりました。 このファイルは SHA-256 のみを使用して署名されるようになりました。 このファイルでデジタル署名を検証する管理者は、SHA-256 署名を 1 つだけ必要とするようになりました。 2020 年 8 月の Wsusscn2.cab ファイル以降、MBSA は、オフライン スキャン ファイルを使用してスキャンしようとすると、次のエラー "カタログ ファイルが破損しているか、無効なカタログです" を返します。

解決策

スクリプトは、MBSA のパッチ コンプライアンス チェックの代替手段として役立ちます。

• WUA を使用してオフライン更新スキャンします。これには、サンプルの .vbs スクリプトが含まれています。 PowerShell の代替方法については、「WUA を使用して PowerShell を使用してオフライン更新スキャンする」を参照してください。

次に、例を示します。

上記のスクリプトでは 、WSUS オフライン スキャン ファイル (wsusscn2.cab) を使用してスキャンを実行し、指定された MBSA と同じ情報を取得します。 MBSA はまた、wsusscn2.cab に依存して、オンライン サービスまたはサーバーに接続せずに、特定のシステムから欠落している更新プログラムを特定しました。 wsusscn2.cab ファイルは引き続き使用でき、現在、削除または置き換える予定はありません。 wsusscn2.cab ファイルには、Microsoft Update から入手できるセキュリティ更新プログラム、更新プログラムのロールアップ、およびサービス パックのみのメタデータが含まれています。セキュリティ以外の更新プログラム、ツール、ドライバーに関する情報は含まれません。

詳細情報

セキュリティ コンプライアンスとデスクトップ/サーバーのセキュリティ強化の場合は、Microsoft セキュリティ ベースラインとセキュリティ コンプライアンス ツールキットをお勧めします。

• Windows のセキュリティ基本計画
• Microsoft セキュリティ コンプライアンス ツールキット 1.0 をダウンロードする
• Microsoft セキュリティ ガイダンス ブログ