O que é o Analisador de Segurança da Linha de Base da Microsoft e as respetivas utilizações?
O Microsoft Baseline Security Analyzer (MBSA) é utilizado para verificar a conformidade de patches. O MBSA também efetuou várias outras verificações de segurança para Windows, IIS e SQL Server. Infelizmente, a lógica subjacente a estas verificações adicionais não tinha sido mantida ativamente desde o Windows XP e o Windows Server 2003. As alterações nos produtos desde então tornaram muitas destas verificações de segurança obsoletas e algumas das suas recomendações contraproducentes.
O MBSA foi utilizado em grande parte em situações em que o Microsoft Update não estava disponível num servidor WSUS ou Configuration Manager local ou como uma ferramenta de conformidade para garantir que todas as atualizações de segurança foram implementadas num ambiente gerido. Embora a versão 2.3 do MBSA tenha introduzido suporte para o Windows Server 2012 R2 e o Windows 8.1, foi entretanto preterido e já não foi desenvolvido. O MBSA 2.3 não está atualizado para suportar totalmente o Windows 10 e o Windows Server 2016.
Observação
De acordo com a nossa iniciativa de preterição SHA-1, o ficheiro Wsusscn2.cab já não tem assinatura dupla com sha-1 e o conjunto SHA-2 de algoritmos hash (especificamente SHA-256). Este ficheiro está agora assinado apenas com SHA-256. Os administradores que verificarem assinaturas digitais neste ficheiro devem agora esperar apenas assinaturas SHA-256 únicas. A partir do ficheiro de Wsusscn2.cab de agosto de 2020, o MBSA devolverá o seguinte erro "O ficheiro do catálogo está danificado ou um catálogo inválido" ao tentar analisar com o ficheiro de análise offline.
Solução
Um script pode ajudá-lo com uma alternativa à verificação de conformidade de patches do MBSA:
- Utilizar o WUA para Procurar Atualizações Offline, que inclui um script .vbs de exemplo. Para obter uma alternativa ao PowerShell, veja Utilizar o WUA para Procurar Atualizações Offline com o PowerShell.
Por exemplo:
Os scripts anteriores utilizam o ficheiro de análise offline do WSUS (wsusscn2.cab) para efetuar uma análise e obter as mesmas informações sobre atualizações em falta fornecidas pelo MBSA. O MBSA também se baseou no wsusscn2.cab para determinar que atualizações estavam em falta num determinado sistema sem ligar a qualquer serviço ou servidor online. O ficheiro wsusscn2.cab ainda está disponível e não existem atualmente planos para o remover ou substituir. O ficheiro wsusscn2.cab contém os metadados de apenas atualizações de segurança, update rollups e service packs disponíveis a partir do Microsoft Update; não contém informações sobre atualizações, ferramentas ou controladores não relacionados com segurança.
Mais informações
Para conformidade de segurança e para proteção do ambiente de trabalho/servidor, recomendamos as Linhas de Base de Segurança da Microsoft e o Toolkit de Conformidade de Segurança.