Che cos'è Microsoft Baseline Security Analyzer e i relativi usi?
Microsoft Baseline Security Analyzer (MBSA) viene usato per verificare la conformità delle patch. MBSA ha anche eseguito diversi altri controlli di sicurezza per Windows, IIS e SQL Server. Sfortunatamente, la logica alla base di questi controlli aggiuntivi non era stata mantenuta attivamente dopo Windows XP e Windows Server 2003. Le modifiche apportate ai prodotti da allora hanno reso obsoleti molti di questi controlli di sicurezza e alcune raccomandazioni controproduttive.
MBSA è stato usato in gran parte nelle situazioni in cui Microsoft Update un server WSUS o Configuration Manager locale non era disponibile o come strumento di conformità per garantire che tutti gli aggiornamenti della sicurezza fossero distribuiti in un ambiente gestito. Mentre MBSA versione 2.3 ha introdotto il supporto per Windows Server 2012 R2 e Windows 8.1, da allora è stato deprecato e non più sviluppato. MBSA 2.3 non viene aggiornato per supportare completamente Windows 10 e Windows Server 2016.
Nota
In conformità con l'iniziativa di deprecazione SHA-1, il file Wsusscn2.cab non è più con doppio segno usando sia SHA-1 che la suite sha-2 di algoritmi hash (in particolare SHA-256). Questo file è ora firmato usando solo SHA-256. Gli amministratori che verificano le firme digitali in questo file devono ora aspettarsi solo firme SHA-256 singole. A partire dal file di Wsusscn2.cab di agosto 2020, MBSA restituirà l'errore seguente "Il file di catalogo è danneggiato o un catalogo non valido". Quando si tenta di eseguire l'analisi usando il file di analisi offline.
Soluzione
Uno script consente di usare un'alternativa al controllo della conformità alle patch di MBSA:
- Uso di WUA per analizzare la disponibilità di aggiornamenti offline, che include uno script vbs di esempio. Per un'alternativa a PowerShell, vedere Uso di WUA per analizzare gli aggiornamenti offline con PowerShell.
Ad esempio:
Gli script precedenti usano il file di analisi offline WSUS (wsusscn2.cab) per eseguire un'analisi e ottenere le stesse informazioni sugli aggiornamenti mancanti forniti da MBSA. MBSA si basava anche sul wsusscn2.cab per determinare quali aggiornamenti non erano presenti in un determinato sistema senza connettersi a un servizio online o a un server. Il file wsusscn2.cab è ancora disponibile e attualmente non è previsto di rimuoverlo o sostituirlo. Il file wsusscn2.cab contiene i metadati solo degli aggiornamenti della sicurezza, degli aggiornamenti cumulativi e dei Service Pack disponibili in Microsoft Update; non contiene informazioni su aggiornamenti, strumenti o driver non di sicurezza.
Altre informazioni
Per la conformità alla sicurezza e per la protezione avanzata desktop/server, è consigliabile usare Le baseline di sicurezza Microsoft e Security Compliance Toolkit.