Microsoft Baseline Security Analyzer とその用途について

Microsoft Baseline Security Analyzer (MBSA) を使用して、パッチの準拠を確認します。 MBSA は、その他のセキュリティ チェックWindows、IIS、およびサーバーのSQL Server。 残念ながら、これらの追加チェックの背後にあるロジックは、XP およびサーバー 2003 Windows以降Windows維持されません。 その後の製品の変更により、これらのセキュリティ チェックの多くは廃止され、推奨事項の一部は逆効果になりました。

MBSA は、Microsoft Update もローカルの WSUS サーバーも Configuration Manager サーバーも使用できない状況や、すべてのセキュリティ更新プログラムが管理環境に展開された状態を確保するためのコンプライアンス ツールとして使用されました。 MBSA バージョン 2.3 では、R2 および Windows Server 2012 および Windows 8.1 のサポートが導入されましたが、その後は廃止され、開発されなくなりました。 MBSA 2.3 は更新され、データのWindows 10サポートWindows Server 2016。

注意

SHA-1非推奨イニシアチブに従って、Wsusscn2.cab ファイルは SHA-1 と SHA-2 スイートのハッシュ アルゴリズム (特に SHA-256) の両方を使用してデュアル署名されなくなりました。 このファイルは、SHA-256 のみを使用して署名されています。 このファイルでデジタル署名を確認する管理者は、1 つの SHA-256 署名のみを必要とします。 MBSA は、2020 年 8 月の Wsusscn2.cab ファイルから、"カタログ ファイルが破損または無効なカタログ" というエラーを返します。 オフライン スキャン ファイルを使用してスキャンを試行する場合。

ソリューション

スクリプトは、MBSA のパッチコンプライアンスチェックの代わりに役立ちます。

次に、例を示します。

 VBS スクリプト。
 PowerShell スクリプト。

上記のスクリプトでは 、WSUS オフライン スキャン ファイル (wsusscn2.cab) を使用してスキャンを実行し、MBSA が提供する更新プログラムの不足に関する情報と同じ情報を取得します。 MBSA は、オンライン サービスwsusscn2.cabサーバーに接続せずに、特定のシステムから欠落している更新プログラムを特定するために、このサーバーにも依存しました。 このwsusscn2.cabは引き続き使用できます。現在、ファイルを削除または置き換える予定はありません。 このwsusscn2.cabには、Microsoft Update から利用可能なセキュリティ更新プログラム、更新プログラムのロールアップ、およびサービス パックのメタデータだけが含まれます。セキュリティ以外の更新プログラム、ツール、またはドライバーに関する情報は含まれています。

詳細情報

セキュリティ コンプライアンスとデスクトップ/サーバーの強化のために、Microsoft セキュリティ ベースラインとセキュリティ コンプライアンス ポリシーをお勧Toolkit。