次の方法で共有


Microsoft Baseline Security Analyzer とその使用方法

Microsoft Baseline Security Analyzer (MBSA) は、パッチのコンプライアンスを確認するために使用されます。 MBSA では、Windows、IIS、および SQL Server に対して他のいくつかのセキュリティ チェックも実行しました。 残念ながら、これらの追加チェックの背後にあるロジックは、Windows XP と Windows Server 2003 以降、アクティブに維持されていませんでした。 それ以降の製品の変更により、これらのセキュリティ チェックの多くが廃止され、推奨事項の一部が逆効果になりました。

MBSA は、Microsoft Update のローカル WSUS または Configuration Manager サーバーが利用できない状況や、すべてのセキュリティ更新プログラムがマネージド環境に展開されていることを確認するためのコンプライアンス ツールとして、主に使用されていました。 MBSA バージョン 2.3 では、Windows Server 2012 R2 と Windows 8.1 のサポートが導入されましたが、その後非推奨となり、開発が終了しました。 MBSA 2.3 は、Windows 10 および Windows Server 2016 を完全にサポートするように更新されていません。

SHA-1 非推奨の取り組みに従って、sha-1 と SHA-2 スイートのハッシュ アルゴリズム (特に SHA-256) の両方を使用して、Wsusscn2.cab ファイルがデュアル署名されなくなりました。 このファイルは SHA-256 のみを使用して署名されるようになりました。 このファイルでデジタル署名を検証する管理者は、SHA-256 署名を 1 つだけ必要とするようになりました。 2020 年 8 月の Wsusscn2.cab ファイル以降、MBSA は、オフライン スキャン ファイルを使用してスキャンしようとすると、次のエラー "カタログ ファイルが破損しているか、無効なカタログです" を返します。

解決策

スクリプトは、MBSA のパッチ コンプライアンス チェックの代替手段として役立ちます。

次に、例を示します。

VBS スクリプトを示すスクリーンショット。 PowerShell スクリプトを示すスクリーンショット。

上記のスクリプトでは 、WSUS オフライン スキャン ファイル (wsusscn2.cab) を使用してスキャンを実行し、指定された MBSA と同じ情報を取得します。 MBSA はまた、wsusscn2.cab に依存して、オンライン サービスまたはサーバーに接続せずに、特定のシステムから欠落している更新プログラムを特定しました。 wsusscn2.cab ファイルは引き続き使用でき、現在、削除または置き換える予定はありません。 wsusscn2.cab ファイルには、Microsoft Update から入手できるセキュリティ更新プログラム、更新プログラムのロールアップ、およびサービス パックのみのメタデータが含まれています。セキュリティ以外の更新プログラム、ツール、ドライバーに関する情報は含まれません。

詳細情報

セキュリティ コンプライアンスとデスクトップ/サーバーのセキュリティ強化の場合は、Microsoft セキュリティ ベースラインとセキュリティ コンプライアンス ツールキットをお勧めします。