什麼是Microsoft基準安全性分析器及其用途?
Microsoft比較基準安全性分析器 (MBSA) 用來驗證修補程式合規性。 MBSA 也會對 Windows、IIS 和 SQL Server 執行數個其他安全性檢查。 可惜的是,自 Windows XP 和 Windows Server 2003 以來,這些額外檢查背後的邏輯並未積極維護。 之後產品中的變更使其中許多安全性檢查已過時,而其部分建議會產生反作用。
MBSA 主要用於Microsoft無法使用更新本機 WSUS 或 Configuration Manager 伺服器的情況,或是作為合規性工具,以確保所有安全性更新都已部署至受控環境。 雖然 MBSA 2.3 版導入了對 Windows Server 2012 R2 和 Windows 8.1 的支援,但之後已過時且不再開發。 MBSA 2.3 不會更新為完全支援 Windows 10 和 Windows Server 2016。
注意
根據我們的 SHA-1 淘汰計劃,Wsusscn2.cab 檔案不再使用 SHA-1 和 SHA-2 套件的哈希演算法進行雙重簽署, (特別是 SHA-256) 。 此檔案現在只使用 SHA-256 進行簽署。 驗證此檔案上數位簽名的系統管理員現在應該只會預期單一 SHA-256 簽章。 從 2020 年 8 月 Wsusscn2.cab 檔案開始,MBSA 會在嘗試使用離機掃描檔案掃描時,傳回下列錯誤「目錄檔案已損毀或目錄無效」。
解決方案
文本可協助您進行 MBSA 修補程式合規性檢查的替代方案:
- 使用 WUA 離線掃描更新,其中包含範例 .vbs 腳本。 如需PowerShell替代方案,請 參閱使用WUA透過PowerShell離機掃描更新。
例如:
上述腳本會使用 WSUS 離線掃描檔案 (wsusscn2.cab) 來執行掃描,並取得與 MBSA 所提供之遺漏更新相同的資訊。 MBSA 也依賴 wsusscn2.cab 來判斷指定系統遺漏哪些更新,而不需要連線到任何在線服務或伺服器。 wsusscn2.cab 檔案仍可供使用,而且目前沒有移除或取代該檔案的計劃。 wsusscn2.cab 檔案只包含可從 Microsoft Update 取得的安全性更新、更新匯總和 Service Pack 的元數據;它不包含任何有關非安全性更新、工具或驅動程序的資訊。
其他資訊
針對安全性合規性和桌面/伺服器強化,我們建議使用Microsoft安全性基準和安全性合規性工具組。