O que é o Analisador de Segurança da Linha de Base da Microsoft e seus usos?
O MBSA (Analisador de Segurança da Linha de Base da Microsoft) é usado para verificar a conformidade do patch. O MBSA também realizou várias outras verificações de segurança para Windows, IIS e SQL Server. Infelizmente, a lógica por trás dessas verificações extras não tinha sido mantida ativamente desde Windows XP e Windows Server 2003. As alterações nos produtos desde então tornaram muitas dessas verificações de segurança obsoletas e algumas de suas recomendações contraproducentes.
O MBSA foi amplamente usado em situações em que o Microsoft Update um WSUS local ou Configuration Manager servidor não estava disponível ou como uma ferramenta de conformidade para garantir que todas as atualizações de segurança fossem implantadas em um ambiente gerenciado. Embora o MBSA versão 2.3 tenha introduzido suporte para Windows Server 2012 R2 e Windows 8.1, ele foi preterido e não foi mais desenvolvido. O MBSA 2.3 não é atualizado para dar suporte total a Windows 10 e Windows Server 2016.
Observação
De acordo com nossa iniciativa de preterimento sha-1, o arquivo Wsusscn2.cab não é mais assinado duplamente usando sha-1 e o pacote SHA-2 de algoritmos de hash (especificamente SHA-256). Este arquivo agora está assinado usando apenas SHA-256. Os administradores que verificam assinaturas digitais neste arquivo agora devem esperar apenas assinaturas únicas do SHA-256. A partir do arquivo Wsusscn2.cab de agosto de 2020, o MBSA retornará o seguinte erro "O arquivo de catálogo está danificado ou um catálogo inválido" ao tentar verificar usando o arquivo de verificação offline.
Solução
Um script pode ajudá-lo com uma alternativa à verificação de conformidade de patch do MBSA:
- Usar WUA para verificar Atualizações Offline, que inclui um script .vbs de exemplo. Para obter uma alternativa do PowerShell, consulte Usando WUA para verificar Atualizações Offline com o PowerShell.
Por exemplo:
Os scripts anteriores usam o arquivo de verificação offline do WSUS (wsusscn2.cab) para executar uma verificação e obter as mesmas informações sobre atualizações ausentes fornecidas pelo MBSA. O MBSA também se baseou no wsusscn2.cab para determinar quais atualizações estavam ausentes de um determinado sistema sem se conectar a nenhum serviço ou servidor online. O arquivo wsusscn2.cab ainda está disponível e no momento não há planos para removê-lo ou substituí-lo. O arquivo wsusscn2.cab contém os metadados de apenas atualizações de segurança, rollups de atualização e pacotes de serviço disponíveis no Microsoft Update; ele não contém nenhuma informação sobre atualizações, ferramentas ou drivers que não são de segurança.
Mais informações
Para conformidade de segurança e para o endurecimento da área de trabalho/servidor, recomendamos as Linhas de Base de Segurança da Microsoft e o Kit de Ferramentas de Conformidade de Segurança.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de