什么是Microsoft基线安全分析器及其用途?
Microsoft基线安全分析器 (MBSA) 用于验证修补程序符合性。 MBSA 还对 Windows、IIS 和 SQL Server 执行了多项其他安全检查。 遗憾的是,自 Windows XP 和 Windows Server 2003 以来,这些额外检查背后的逻辑一直没有得到积极维护。 此后,产品的变化使其中许多安全检查过时,其一些建议适得其反。
MBSA 主要用于Microsoft更新本地 WSUS 或 Configuration Manager 服务器不可用的情况,或者用作合规性工具,以确保将所有安全更新部署到托管环境。 虽然 MBSA 版本 2.3 引入了对 Windows Server 2012 R2 和 Windows 8.1 的支持,但此后它已被弃用,不再开发。 MBSA 2.3 未更新为完全支持 Windows 10 和 Windows Server 2016。
注意
根据 SHA-1 弃用计划,Wsusscn2.cab 文件不再使用 SHA-1 和 SHA-2 哈希算法套件进行双签名, (特别是 SHA-256) 。 此文件现在仅使用 SHA-256 进行签名。 验证此文件数字签名的管理员现在应仅需要单个 SHA-256 签名。 从 2020 年 8 月 Wsusscn2.cab 文件开始,当尝试使用脱机扫描文件进行扫描时,MBSA 将返回以下错误“目录文件已损坏或目录无效”。
解决方案
脚本可帮助你替代 MBSA 的修补程序符合性检查:
- 使用 WUA 脱机扫描更新,其中包括示例 .vbs 脚本。 有关 PowerShell 替代方法,请参阅 使用 WUA 通过 PowerShell 脱机扫描更新。
例如:
上述脚本使用 WSUS 脱机扫描文件 (wsusscn2.cab) 来执行扫描,并获取与 MBSA 提供的相同缺失更新的信息。 MBSA 还依赖于 wsusscn2.cab 来确定给定系统中缺少哪些更新,而无需连接到任何联机服务或服务器。 wsusscn2.cab 文件仍然可用,目前没有删除或替换它的计划。 wsusscn2.cab 文件仅包含Microsoft Update 提供的安全更新、更新汇总和 Service Pack 的元数据;它不包含有关非安全更新、工具或驱动程序的任何信息。
更多信息
对于安全合规性和桌面/服务器强化,建议使用Microsoft安全基线和安全合规性工具包。