| F. | Was ist der MBSA 2.0? | ||||||||||||||||||||||||||||||||||||||
| A. | Der Microsoft Baseline Security Analyzer (MBSA) 2.0 ist ein leicht zu verwendendes Tool, das kleinen und mittleren Unternehmen dabei hilft ihren Sicherheitsstatus zu prüfen; außerdem bietet es eine Anleitung zur Behebung von Sicherheitsproblemen. Verbessern Sie Ihr Sicherheitsmanagement durch den Einsatz des MBSA, um so Fehlkonfigurationen und fehlende Sicherheitsupdates auf Ihren Computersystemen aufzuspüren. | ||||||||||||||||||||||||||||||||||||||
| F. | In welchem Verhältnis steht der MBSA 2.0 zu anderen Technologien von Microsoft Update? | ||||||||||||||||||||||||||||||||||||||
| A. | Der MBSA 2.0 bietet erweiterte Möglichkeiten zur Sicherheitskonfiguration, die diejenigen anderer Update-Technologien von Microsoft übersteigen. Außerdem wurde der MBSA 2.0 dafür entwickelt, zusammen mit Microsoft Update (MU), Windows Server Update Services (WSUS) und dem SMS Inventory Tool für Microsoft Updates (ITMU) eingesetzt zu werden, um so den Update-Status von Zielcomputern zu beobachten und zu verifizieren. Der MBSA 2.0 ist konsistent mit den anderen genannten Tools, weil er ebenso wie diese auf der gemeinsamen Infrastruktur des Windows Update Agents (WUA) aufbaut. | ||||||||||||||||||||||||||||||||||||||
| F. | Unterstützt der MBSA 2.0 dieselben Produkte wie der MBSA 1.2.1? | ||||||||||||||||||||||||||||||||||||||
| A. | Der MBSA 1.2.1 und 2.0 unterstützen dieselben Produkte zur Prüfung von Sicherheitskonfigurationen. Zur Auffindung von Sicherheitsupdates unterstützt der MBSA alle Produkte, die auch von Microsoft Update unterstützt werden; letzteres ist die offizielle Quelle für alle zukünftigen Sicherheitsupdates. Einige Produkte sind noch kein Bestandteil von Microsoft Update, und deshalb sind Updates zu diesen Produkten noch nicht erhältlich. Dazu gehören Office 2000, verschiedene Endverbraucher-Anwendungen sowie Produkte, die keinen Support mehr erhalten, wie beispielsweise Windows NT4. Microsoft empfiehlt, dass Kunden, die hauptsächlich Windows 2000-, Office XP-, Exchange 2000- sowie SQL 2000 SP4-Umgebungen nutzen, auf den MBSA 2.0 zu aktualisieren. Zug um Zug werden alle Produkte von Microsoft durch Microsoft Update unterstützt, und dann wird der MBSA 2.0 sie automatisch ebenfalls unterstützen. Zum MBSA 1.2.1 werden keine neuen Produkte mehr hinzugefügt. Wenn der Katalog von Microsoft Update volle Parität mit MBSA 1.2.1 erreicht, wird MBSA 1.2.1 nicht mehr länger unterstützt, und alle Kunden sollten auf den MBSA 2.0 umsteigen. Weitere Informationen zur Produktunterstützung für Microsoft Update finden Sie unter http://support.microsoft.com/kb/895660/en-us | ||||||||||||||||||||||||||||||||||||||
| F. | Welche Betriebssysteme und Anwendungen scannt der MBSA? | ||||||||||||||||||||||||||||||||||||||
| A. | Der MBSA 2.0 scannt Fehlkonfigurationen sowie fehlende Sicherheitsupdates für eine Vielzahl von Microsoft-Produkten. Das Scannen von Fehlkonfigurationen wird für Windows 2000, Windows XP, Windows Server 2003, Microsoft Internet Information Services (IIS) 5.0, 5.1 und 6.0, Microsoft Internet Explorer (IE) 5.01 und höher, Microsoft SQL Server 7.0 und 2000 sowie Microsoft Office 2000, XP und 2003 unterstützt. Das Scannen von Sicherheitsupdates basiert auf dem Microsoft Update-Katalog. Eine Übersicht der Produkte, die der MBSA 2.0 auf fehlende Sicherheitsupdates prüfen kann, finden Sie im Artikel 895660 der Microsoft Knowledgebase. Die Liste der Produkte wird sich mit der Zeit verändern, da neue Programme zum Scannen über Microsoft Update veröffentlicht werden. Hinweis: Produkte, die nicht auf einem zu scannenden Computer installiert sind, werden vom MBSA V2.0 nicht auf Sicherheitsupdates geprüft und erscheinen nicht in der Tabelle "Überprüfungsergebnisse für Sicherheitsupdates" im Bericht. | ||||||||||||||||||||||||||||||||||||||
| F. | Wie kann ich sicherstellen, dass ein Scannen mit dem MBSA es den Nutzern nicht ermöglicht, die Website von Microsoft Update zu besuchen und Updates zu installieren, die ich nicht freigegeben habe? | ||||||||||||||||||||||||||||||||||||||
| A. | Die Features des MBSA 2.0, mit denen Microsoft Update konfiguriert wird, können sowohl in der Windows-basierten als auch der Befehlszeilenversion deaktiviert werden; außerdem gibt es eine Gruppenrichtlinieneinstellung für automatische Updates, mit der der Zugang blockiert werden kann. Weitere Informationen zur Benutzung und den Auswirkungen bei der Verwendung dieser Gruppenrichtlinieneinstellung finden Sie im Artikel 326686 der Microsoft Knowledgebase. | ||||||||||||||||||||||||||||||||||||||
| F. | Welche Arten von Updates wird der MBSA 2.0 unterstützen? | ||||||||||||||||||||||||||||||||||||||
| A. | Jedes Update, das über Microsoft Update als Sicherheitsupdate, Update-Rollup oder Service Pack veröffentlicht wird, können Sie mit dem MBSA 2.0 scannen. Diese Arten von Updates werden von Microsoft wie folgt definiert: Sicherheitsupdate - Ein in großem Umfang veröffentlichter Fix für eine produktspezifische, sicherheitsrelevante Anfälligkeit. Sicherheitsanfälligkeiten werden nach ihrer Schwere im Sicherheitsbulletin von Microsoft klassifiziert: als kritisch, wichtig, mittel oder niedrig. Update-Rollup - Eine getestete, kumulative Zusammenstellung von Hotfixes, Sicherheitsupdates, kritischen Updates sowie Updates, die für eine einfachere Bereitstellung zusammengefasst werden. Ein Rollup zielt im Allgemeinen auf ein bestimmtes Gebiet - wie Sicherheit - oder eine Komponente eines Produkts - wie Internet Information Services (IIS). Service Pack - Eine getestete, kumulative Zusammenstellung von Hotfixes, Sicherheitsupdates, kritischen Updates sowie Updates und zusätzlichen Fixes für Probleme, die intern seit der Veröffentlichung des Produkts gefunden wurden. Servicepacks können auch eine begrenzte Zahl an von Kunden gewünschten Veränderungen oder Features umfassen. Wenn Sie unternehmenseigene Hotfixes auf dem zu scannenden Computer installiert haben, wird die Überwachung diese Updates beobachten, basierend auf der Dateiversion, wie sie von Microsoft festgelegt wurde. Typischerweise werden Dateien mit einer neueren als der erwarteten Version akzeptiert, außer Microsoft hat festgelegt, dass die neuere Version der Datei nicht sicher ist; in diesem Fall wird ein Update im Bericht angeboten. Hinweis: Updates wie das Microsoft Windows-Tool zum Entfernen bösartiger Software werden vom MBSA 2.0 zur Installation angeboten, weil Sie bestimmte Sicherheitsaspekte betreffen. Dieses Tool ist als Update-Rollup klassifiziert. | ||||||||||||||||||||||||||||||||||||||
| F. | Was ist der Unterschied zwischen dem MBSA 2.0 und Microsoft Update? | ||||||||||||||||||||||||||||||||||||||
| A. | Microsoft Update ist eine Website, die einen einzelnen Computer scannen kann, fehlende beziehungsweise notwendige Updates findet und diese dann zusammen installiert. Der MBSA ermöglicht eine gleichzeitige Prüfung vieler Computer in einem Unternehmen auf fehlende beziehungsweise notwendige Updates – durch Scannen über eine Netzwerkverbindung. Dadurch, dass der MBSA es ermöglicht, Computer für Microsoft Update zu konfigurieren, hilft er Kunden beim Einsatz von Windows Update dabei, andere Produkte von Microsoft leichter zu aktualisieren. Dies liegt daran, dass durch die Konfiguration mit dem MBSA die Scanleistung verbessert wird und dass die automatischen Updates auf dem Zielcomputer von Microsoft Update Meldungen erhalten. Wenn die automatischen Updates zum Herunterladen und der Installation von Updates konfiguriert werden, bringt der Wechsel der automatischen Updates von Windows Update zu Microsoft Update erhöhte Sicherheit. Der MBSA führt die Installation von Updates nicht selbst durch, er sucht nur nach Updates und bietet die Möglichkeit, den Computer so zu konfigurieren, dass er Microsoft Update für das Updatemanagement einsetzt. Hinweis: Microsoft Update bietet den Benutzern außerdem auch nicht auf die Sicherheit bezogene Updates wie "kritische Updates" und "Optionale Updates". Diese nicht auf die Sicherheit bezogenen Updates werden vom MBSA nicht angeboten. | ||||||||||||||||||||||||||||||||||||||
| F. | Muss ich weiter den MBSA 1.2.1 einsetzen – jetzt, wo der MBSA 2.0 verfügbar ist? | ||||||||||||||||||||||||||||||||||||||
| A. | Im Zuge der Veröffentlichung von Microsoft Update wird die Zahl der unterstützten Produkte weiter steigen. Wir empfehlen Benutzern mit der folgenden Produktbasis, den MBSA 2.0 einzusetzen:
Der MBSA 2.0 bietet außerdem im MBSA 1.2.1 nicht verfügbare Überprüfung für die folgenden Produkte und Komponenten:
Einige der vom MBSA 1.2.1 unterstützten Produkte werden jedoch nicht von Beginn an von Microsoft Update unterstützt, so dass der MBSA 2.0 sie zunächst nicht überprüfen kann:
Basierend auf den Produkten, deren Updates über Microsoft Update veröffentlicht werden, können die meisten Benutzer MBSA 2.0 sofort einsetzen. Bitte schauen Sie regelmäßig im Artikel 895660 der Microsoft Knowledgebase, bevor Sie den MBSA 1.2.1 nicht mehr einsetzen. Bitte beachten Sie, dass der vom MBSA 1.2.1 verwendete Überprüfungskatalog MSSecure.XML nicht länger verwendet und ab dem ersten Quartal 2006 auch nicht mehr aktualisiert wird. Benutzer, die diese Datei dann noch verwenden, verpassen eventuell die neuesten Sicherheitsupdates. | ||||||||||||||||||||||||||||||||||||||
| F. | Ersetzt der MBSA 2.0 das Enterprise Scan Tool (EST)? | ||||||||||||||||||||||||||||||||||||||
| A. | Nicht sofort. Obwohl Microsoft Update seine Inhalts- und Überprüfungsmöglichkeiten erweitert hat, gibt es einige Produkte, deren Sicherheitsupdates noch nicht komplett in Microsoft Update verlagert sind. Diese werden weiter von früheren Versionen der EST-Tools gescannt:
| ||||||||||||||||||||||||||||||||||||||
| F. | Wie arbeitet der MBSA 2.0 mit dem Systems Management Server (SMS) zusammen? | ||||||||||||||||||||||||||||||||||||||
| A. | Der SMS 2003 Service Pack 1 besitzt ein integriertes Tool, um direkt auf den Windows Update Agent zuzugreifen und nach Sicherheitsupdates zu suchen; er verwendet nicht den MBSA 2.0 zum Scannen. Weitere Informationen zum Inventar-Tool für Microsoft Update und zur Verwendung des SMS 2003 bei der Bereitstellung von Sicherheitsupdates finden Sie auf der Website zum SMS 2003 Security Patch Management. | ||||||||||||||||||||||||||||||||||||||
| F. | Wie arbeitet der MBSA 2.0 mit den Windows Server Update-Diensten zusammen? | ||||||||||||||||||||||||||||||||||||||
| A. | Der MBSA 2.0 bietet Unterstützung bei der Durchführung der Sicherheitsupdates während eines Scans mit dem Update Services-Server, dem jeder gescannte Computer zugeordnet ist. Außerdem ist auch eine Einzelprüfung für Kunden ohne Update Services-Server möglich. Administratoren können einzelne Optionen in der grafischen Benutzeroberfläche des MBSA oder über die Befehlszeile steuern, um so die vom Update Services-Server freigegebene Liste der Updates zu ignorieren oder ausschließlich zu verwenden. Standardmäßig wird dieser Teil der Überprüfung durchgeführt unter Einbeziehung der Liste der freigegebenen Sicherheitsupdates auf dem Update Services-Server und unter Einbeziehung der kompletten Liste aller verfügbaren Sicherheitsupdates aus dem Microsoft-Updatekatalog. Über Updates, die vom Update Services-Server für den zu scannenden Computer nicht freigegeben sind, wird der Benutzer zunächst nur informiert. Zu Updates, die freigegeben, aber nicht auf dem Zielcomputer installiert sind, erhält der Benutzer eine entsprechende Warnung. Der MBSA bietet eine erweiterte Update-Services-Option, die es Zielcomputern ohne zugewiesenen Update Services-Server erlaubt, einen Fehler zu melden, so dass sie vom Helpdesk eindeutig identifiziert werden können. Über die Befehlszeile wird diese Option durch Eingabe von /wa (WSUS freigegeben) aktiviert. Computer, die nicht über einen Update Services-Srever in einer kontrollierten Umgebung verwaltet werden, unterliegen gegebenenfalls einem höheren Risiko und müssen identifiziert werden. | ||||||||||||||||||||||||||||||||||||||
| F. | Welche Sprachen werden vom MBSA 2.0 unterstützt? | ||||||||||||||||||||||||||||||||||||||
| A. | Der MBSA 2.0 wurde für vier Sprachen lokalisiert (Englisch, Deutsch, Französisch und Japanisch). Die zugrunde liegende Updatesuche wird Zielcomputer in jeder Sprache scannen, die von Microsoft Update und den Windows Server-Updatediensten unterstützt wird. Diese Überprüfungskataloge erlauben es dem MBSA 2.0, einen Zielcomputer jeder beliebigen Sprache zu scannen und passende Ergebnisse in der Sprache des scannenden Computers anzuzeigen (also des Computers, auf dem der MBSA 2.0 installiert ist). Wenn Berichte in Sprachen eingesehen werden, die nicht dieselben wie die der MBSA-Installation sind, wird der Bericht möglicherweise in mehreren Sprachen angezeigt. | ||||||||||||||||||||||||||||||||||||||
| F. | Gibt es Einschränkungen, wie der MBSA Suchkatalog (WSUSSCAN.CAB) von Nicht-Microsoft-Tools genutzt werden kann? | ||||||||||||||||||||||||||||||||||||||
| A. | Nicht direkt, aber diese Datei wird unterstützt, wenn sie in Verbindung mit der öffentlichen Windows-Schnittstelle für Anwendungsprogrammierer (Application Programming Interface – API) genutzt wird, die der Windows Update Agent beinhaltet. Die API akzeptiert diese Datei nur mit einer gültigen digitalen Signatur von Microsoft und setzt sie für einen Scan des spezifizierten Computers ein. Für Details hierzu sollten Sie einen Blick in das Windows Server Update Services Software Development Kit (SDK) werfen. | ||||||||||||||||||||||||||||||||||||||
| F. | Gibt es Einschränkungen bei der Integration von MBSA 2.0 mit Produkten von Drittanbietern? | ||||||||||||||||||||||||||||||||||||||
| A. | Die Redistribution des MBSA 2.0 erfordert eine Lizenzvereinbarung mit Microsoft, um Rechte und Einschränkungen festzulegen. Bitte kontaktieren Sie die ISV-Mitarbeiter bei Microsoft, wenn Sie an einer Vereinbarung zur Redistribution interessiert sind. Weitere Informationen finden Sie unter https://partner.microsoft.com/global/competency/isvsolutions/ | ||||||||||||||||||||||||||||||||||||||
| F. | Welche Versionen des MBSA erhalten Support? | ||||||||||||||||||||||||||||||||||||||
| A. | Die Product Support Services (PSS) unterstützen den MBSA 2.0. Wegen der verbesserten Überprüfungsmöglichkeiten von Microsoft Update empfehlen wir Kunden, so schnell wie möglich zum MBSA 2.0 zu wechseln, um so die Vorteile verbesserten Scannens nach Updates zu nutzen. Der MBSA 1.2.1 wird so lange weiter vom PSS unterstützt, wie der MBSA 2.0 wegen fehlender Verfügbarkeit von Produktupdates in Microsoft Update sich für einen Kunden als noch nicht passend erweist. Beachten Sie, dass der Überprüfungskatalog MSSecure.XML, der vom MBSA 1.2.1 genutzt wird, ab dem ersten Quartal 2006 nicht mehr aktualisiert wird. Benutzer, die auf diese Datei nach Anfang 2006 zugreifen, erhalten eventuell nicht mehr die neuesten Sicherheitsupdates. | ||||||||||||||||||||||||||||||||||||||
| F. | Wo bekomme ich einen kompletten Überblick der Änderungen der Befehlzeilenoptionen im MBSA 2.0? | ||||||||||||||||||||||||||||||||||||||
| A. | Eine komplette Liste der Änderungen finden Sie in den Hinweisen zur Veröffentlichung (den release notes). Detaillierte Beschreibungen der Optionen sind Bestandteil der MBSA-Hilfe. Beide sind über den "Hilfe"- Link in der Navigationsleiste des MBSA zu erreichen. | ||||||||||||||||||||||||||||||||||||||
| F. | Wie kann ich feststellen, ob ich über eine aktuelle Version der Datei wsusscan.cab verfüge? | ||||||||||||||||||||||||||||||||||||||
| A. | Weil Client-Rechner zusätzlich zum Offline-Katalog von einer Online-Quelle gescannt werden können (Microsoft Update oder ein zugewiesener Update Services-Server), kann der Bericht einen Punkt namens "Katalogsynchronisierungsdatum" enthalten. Wenn der Offline-Katalog eingesetzt wurde, wird die Zeit, zu der dieser Katalog erstellt wurde, im Bericht angezeigt und kann dazu genutzt werden, festzustellen, ob der aktuelle Katalog genutzt wurde. Um Ihre Version des Offline-Katalogs herauszufinden, gehen Sie bitte folgendermaßen vor:
| ||||||||||||||||||||||||||||||||||||||
| F. | Welche ist die aktuelle Version des MBSA, und wie kann ich diese erkennen? | ||||||||||||||||||||||||||||||||||||||
| A. | Die aktuelle Version des MBSA ist Version 2.0, welche auf einigen Computern auch als 2.0.xxxx.x angezeigt wird. Das xxxx.x bezieht sich auf den Build der Version. Die offizielle Versionsnummer erscheint, wenn Sie den Link "Über den Microsoft Baseline Security Analyzer" anklicken. Wenn Sie den MBSA 1.2.1 einsetzen, wird Ihnen während des Starts der grafischen Benutzeroberfläche ein Hinweis angezeigt, dass eine neue Version verfügbar ist, weil der MBSA 2.0 veröffentlicht wurde. Wenn sowohl der MBSA 1.2.1 als auch der MBSA 2.0 auf demselben Computer installiert sind, erscheint in MBSA 1.2.1 dieser Hinweis nicht. Wenn der MBSA 2.0 später entfernt wird, erscheint der Hinweis auf die neue Version wieder im MBSA 1.2.1. | ||||||||||||||||||||||||||||||||||||||
| F. | Welche Betriebssysteme werden vom Microsoft Baseline Security Analyzer 2.0 (MBSA 2.0) unterstützt? | |||||||||||||||||||||||||
| A. | Der MBSA kann installiert und betrieben werden unter: Microsoft Windows 2000 Service Pack 3 oder höher, Windows XP Home Edition, Windows XP Professional sowie Windows Server 2003. Der MBSA kann im Netzwerk betrieben werden, um Computer zu scannen, die mit folgenden Betriebssystemen laufen: Microsoft Windows 2000 Server, Windows 2000 Workstation, Windows XP Professional, Windows XP Embedded sowie Windows Server 2003. Der MBSA kann zwar auf Computern mit Windows XP Home Edition als Betriebssystem installiert und für lokale Scans eingesetzt werden, jedoch kann ein Computer mit Windows XP Home Edition nicht über das Netz auf Fehlkonfigurationen gescannt werden. Windows XP Professional kann über das Netz gescannt werden, wenn es innerhalb einer Domäne betrieben wird. Wenn dies nicht der Fall ist, kann ein Computer unter Windows XP Professional nur dann über das Netz gescannt werden, wenn die lokalen Sicherheitseinstellungen auf "Klassisch" gesetzt werden - lokale Benutzer authentifizieren sich als sie selbst, und die einfache Dateifreigabe ist deaktiviert. Der Windows Update Agent ist Voraussetzung zum Scannen von Sicherheitsupdates und wird separat in der MBSA-Hilfe und anderen Sektionen dieser FAQ behandelt. Der MBSA 2.0 läuft nicht unter Windows NT 4.0, Windows 95, 98 oder ME-Systemen. Windows x64-Versionen können nur auf Updates gescannt werden (nicht auf Fehlkonfigurationen). Versionen von Windows XP Embedded und Windows IA64 können nur über das Netz nach Updates gescannt werden (nicht lokal). Das Windows 2000 Datacenter wird vom Windows Update Agent nicht unterstützt. | |||||||||||||||||||||||||
| F. | Unterstützt der MBSA 2.0 Computer-Cluster, um in SQL Server Fehlkonfigurationen feststellen zu können? | |||||||||||||||||||||||||
| A. | SQL Server-Cluster können lokal auf Fehlkonfigurationen gescannt werden, einige besondere Überprüfungen sind jedoch nun in der MBSA-Hilfe für bestimmte Beschränkungen bei einem Scan über eine Netzwerkverbindung aufgeführt. Das Scannen nach Sicherheitsupdates läuft mit dem Windows Update Agent. | |||||||||||||||||||||||||
| F. | Was passiert, wenn ich den Windows Update Agent nicht bereitgestellt habe und einen Scan beginne? | |||||||||||||||||||||||||
| A. | Der MBSA 2.0 wird automatisch versuchen, den Windows Update Agent zu installieren. Wenn dieses Feature deaktiviert wurde, ist der erforderliche Agent möglicherweise auf dem gescannten Computer nicht vorhanden. In diesem Fall enthält der Bericht eine Fehlermeldung für den gescannten Computer. Folgende Fehlermeldungen weisen auf das Problem hin:
| |||||||||||||||||||||||||
| F. | Wenn ich den MBSA 2.0 deinstalliere, wird dann auch der Windows Update Agent deinstalliert? | |||||||||||||||||||||||||
| A. | Nein. Der Windows Update Agent ist ein wichtiger Bestandteil der Sicherheitssoftware, die es Ihnen ermöglicht, Updates von einem Update Services-Server oder von Microsoft Update herunterzuladen. Eine frühere Version des Windows Update Agent ist außerdem Bestandteil des Windows Server 2003 SP1 und Windows XP SP2. Alle Computer mit einer Internetverbindung, die mit Windows 2000 SP3 oder höher und der Option "Automatische Updates" betrieben werden, laden selbst automatisch die aktuelle Version des Windows Update Agenten herunter. | |||||||||||||||||||||||||
| F. | Warum benötigt der MBSA 2.0 eine Client-Software auf dem Zielcomputer? | |||||||||||||||||||||||||
| A. | Windows Update Agent ist eine Komponente von Windows. Diese Komponente bietet seit dem Windows XP Service Pack 2 Funktionen zum Updatemanagement. Eine neuere Version dieser Komponente mit Funktionalität zum Scannen über eine Netzwerkverbindung wurde mit Windows Server 2003 Service Pack 1 bereitgestellt sowie als separates Installationspaket für Computer in isolierten Netzwerken. Computer mit einer Internetverbindung oder zugeordnetem Update Services-Server, die eine ältere Version des Dienstes Automatische Updates nutzen, aktualisieren automatisch auf die neueste Version. Zukünftige Servicepacks von Windows werden diese Komponente als Standard enthalten. Für Kunden, die Client-Rechner ohne Internetverbindung oder Update Services-Server betreiben, bietet der MBSA 2.0 die Möglichkeit, diese Komponente von Windows automatisch bereitzustellen. | |||||||||||||||||||||||||
| F. | Benötigt der MBSA 2.0 einen Update Services-Server? | |||||||||||||||||||||||||
| A. | Der MBSA 2.0 arbeitet ohne WSUS, aber wenn er in einer WSUS-Umgebung eingesetzt wird, meldet er automatisch den Updatestatus inklusive der Administratoreneinstellungen für die von WSUS freigegebenen Updates. | |||||||||||||||||||||||||
| F. | Welche Dienste und Ports sind für den Betrieb des MBSA notwendig? | |||||||||||||||||||||||||
| A. | Die erforderlichen Dienste sind im Abschnitt Systemanforderungen der Datei Readme.html angegeben (wird mit dem MBSA installiert) sowie in der MBSA-Hilfedatei (verlinkt in der linken Fensterhälfte der grafischen Benutzerschnittstelle des MBSA). Die Anforderungen umfassen den Remote-Registrierungsdienst, den Serverdienst, den Dienst für die gemeinsame Verwendung von Druckern und Dateien sowie den Dienst für automatische Updates. Die Datei wsusscan.cab wird von der Microsoft-Website gemäß Ihrer Einstellungen im Internet Explorer über HTTP heruntergeladen. Computer-Scans über eine Netzwerkverbindung werden über die TCP-Ports 135, 139 und 445 durchgeführt. In einer Umgebung mit mehreren Domänen, in der eine Firewall oder ein Router mit Filterfunktion die Netzwerke trennt, müssen die TCP-Ports 135, 139 und 445 sowie die UDP-Ports 137 und 138 offen sein. Nur dann kann sich der MBSA mit dem Computer über das Netzwerk verbinden und sich authentifizieren, um den Zielcomputer zu scannen. | |||||||||||||||||||||||||
| F. | Warum werden leere Kennwörter unter Windows XP Home Edition nicht angezeigt? | |||||||||||||||||||||||||
| A. | Der MBSA untersucht keine lokalen Benutzerkonten mit leeren Kennwörtern auf Computern unter Windows XP mit einfacher Dateifreigabe (dies beinhaltet Computer mit Windows XP Home Edition und Computer mit Windows XP Professional, die keiner Domäne zugewiesen sind und keine einfach Dateifreigabe verwenden). Standardmäßig erlauben es diese Computer nicht, dass sich Konten mit leeren Kennwörtern über das Netzwerk anmelden. | |||||||||||||||||||||||||
| F. | Gibt es eine kurze Referenz, in der die unterstützten Plattformen und die Funktionsweise mit dem MBSA 2.0 aufgelistet sind? | |||||||||||||||||||||||||
| A. | Ja, die folgende Tabelle zeigt die Unterstützung für jede Plattform. Einige Plattformen erhalten in dieser Version eine eingeschränkte Unterstützung. Windows 2000 SP3 ist als Minimum erforderlich, zusätzlich zur Verfügbarkeit von Windows-Produkten für jeden Prozessortyp.
* Wenn Computer gescannt werden, die mit Windows XP Embedded Edition betrieben werden oder Itanium-basiert sind (IA64), muss der Administrator WUA und Microsoft Update manuell installieren und konfigurieren. | |||||||||||||||||||||||||
| F. | Muss ich den MBSA 1.2.1 deinstallieren, bevor ich den MBSA 2.0 installieren kann? | ||||||||||
| A. | Nein, der MBSA 2.0 wird in einem separaten Ordner installiert und kann gemeinsam mit dem MBSA 1.2.1 betrieben werden. Wenn Sie die Veränderungen in der Funktionalität vom MBSA 1.2.1 zum MBSA 2.0 genau kennen, können Sie den MBSA 1.2.1 über "Programme hinzufügen oder entfernen" deinstallieren. Vor dem Entfernen des MBSA 1.2.1 empfehlen wir Ihnen, Artikel 895660 der Microsoft Knowledgebase zu lesen, um eine komplette Abdeckung der Produkte in Ihrer Umgebung zu garantieren. | ||||||||||
| F. | Wie kann ich den MBSA 2.0 in einer sicheren Umgebung einsetzen, die eine Authentifizierung über einen Proxyserver erfordert? | ||||||||||
| A. | Der MBSA 2.0 verwendet Ihre Einstellungen im Internet Explorer für den Download. Verwenden Sie die Seite "Internetoptionen" im Menü "Extras" des Internet Explorers, um diese Einstellungen zu konfigurieren. Um die Proxy-Einstellungen im Internet Explorer zu konfigurieren, müssen Sie folgendermaßen vorgehen:
| ||||||||||
| F. | Der MBSA benutzt Dateien, die er aus dem Internet herunterlädt, aber der Computer, den ich zum Scannen meines Netzwerks einsetzen will, hat keinen Internetzugang. Wie kann ich den MBSA in diesem Fall einsetzen? | ||||||||||
| A. | Führen Sie den Scan über den mbsacli-Befehl in der Befehlzeile aus; verwenden Sie den Parameter /nd (do not download) nach dem Kopieren der notwendigen Dateien auf den Computer. Es gibt drei erforderliche Dateiarten:
Nach dem Herunterladen der Dateien von der Microsoft-Website kopieren Sie diese bitte in das folgende Verzeichnis auf dem Computer, der den Scan nach Sicherheitsupdates ausführt: C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.0\Cache Wichtig: Um sicherzustellen, dass der MBSA Zugang zu den neuesten Versionen dieser Dateien hat, sollten Sie diese wöchentlich oder nach jeder Veröffentlichung von Sicherheitsbulletins durch Microsoft herunterladen. Dies ist besonders wichtig im Falle des Sicherheits-Update-Katalogs (wsusscan.cab), weil Microsoft eine aktualisierte Version dieser Datei veröffentlicht, wenn Sicherheitsbulletins veröffentlicht oder aktualisiert wurden. Wenn Sie den MBSA einsetzen, um Prüfungen von Sicherheitsupdates auf Computern über das Netzwerk auszuführen, stellt der MBSA den Windows Update Agent für den zu prüfenden Computer bereit. Eine Version des Windows Update Agents (WindowsUpdateAgent20-ia64.exe) für Itanium-basierte Computer ist ebenfalls auf der Website von Microsoft verfügbar. Der MBSA stellt diese Version nicht bereit, also müssen Sie den Windows Update Agent auf Itanium-basierten Computern installieren und bereitstellen, bevor Sie eine Prüfung von Sicherheitsupdates auf diesen Computern durchführen. | ||||||||||
| F. | Wie kann ich einen Computer scannen, der von einer Firewall geschützt wird? | ||||||||||
| A. | Schritt1: Alle Systemanforderungen prüfen. Der MBSA kann keine Computer über das Netzwerk scannen, der von einer Firewall geschützt wird, außer die Firewall ist so konfiguriert, dass die für den Scan durch den MBSA notwendigen Ports geöffnet sind. Der Computer muss so konfiguriert sein, dass folgende Bedingungen erfüllt sind:
Die Scans von Computern über das Netzwerk werden durch den TCP-Port 135, einen dynamischen oder statischen DCOM-Port sowie die Ports 139 und 445 ausgeführt. In einer Umgebung mit mehreren Domänen, in denen eine Firewall oder ein als Filter arbeitender Router die Netzwerke trennt, müssen die TCP-Ports 135, 139 und 445 sowie die UDP-Ports 137 und 138 offen sein. Nur dann kann sich der MBSA mit dem Computer über das Netzwerk verbinden und sich authentifizieren, um den Zielcomputer zu scannen. Sie müssen diese Ports auf dem zu scannenden Computer öffnen, wenn eine Personal Firewall benutzt wird. Hinweis: Die Verwendung von DCOM für Scans über ein Netzwerk in Verbindung mit einer Windows Firewall benötigt eventuell in allen Versionen von Windows XP ein Hotfix, das nach SP2 veröffentlicht wurde – wie in Artikel 895200 der Microsoft Knowledgebase beschrieben ("Availability of the Windows XP COM+ Hotfix Rollup Package 9"). Schritt2: COM+ konfigurieren Der Windows Update Agent implementiert eine API für das Scannen über ein Netzwerk, basierend auf DCOM. DCOM belegt standardmäßig einen dynamischen Port, aber eine Firewall blockiert den Zugriff auf diese Ports, außer sie werden mit der folgenden Prozedur ausdrücklich geöffnet. Das Scannen durch eine Firewall über einen statischen Port kann folgendermaßen eingerichtet werden:
Schritt 3: Gruppenrichtlinien verwenden (optional) Als Alternative zum Scannen über einen statischen Port und eine Ausnahme in der Firewall können Sie auch Gruppenrichtlinien verwenden, um bestimmte administrative Möglichkeiten zur Umgehung von Firewall-Einstellungen auf Zielcomputern bereitzustellen. Die Vorgehensweise dafür ist dokumentiert in Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 im Abschnitt "Deploying Windows Firewall Settings With Group Policy". Im Einzelnen sollten die folgenden Einstellungen berücksichtigt werden. Windows Firewall: Administration über ein Netzwerk zulassen. Wird verwendet, um eine Konfiguration über ein Netzwerk zuzulassen – mit Tools wie der Microsoft Management Console (MMC) und Windows Management Instrumentation (WMI). Windows Firewall: Gemeinsame Datei- und Druckerbenutzung zulassen. Legt fest, ob eine gemeinsame Datei- und Druckerbenutzung zulässig sind. Der Windows Update Agent benutzt DCOM für das Scannen über ein Netzwerk und muss ebenfalls abhängig von Ihren Firewall-Einstellungen konfiguriert werden. Das Konto, das zum Scannen über DCOM verwendet wird, muss lokale Administratorrechte besitzen. | ||||||||||
| F. | Wenn ich versuche, Artikel 890859 der Microsoft Knowledgebase umzusetzen und WUA in einem Windows 2000-Abbild bereitstelle, bekomme ich den Fehler "Fehlendes CD-ROM-Abbild auf dem Server". | ||||||||||
| A. | Dieses Problem kann mit Hilfe von Artikel 835264 der Microsoft Knowledgebase gelöst werden: "Error message when you upload a RIPrep copy of a Windows XP image or of a Windows 2000 image to a RIS server”. | ||||||||||
| F. | Wie funktionieren die neuen Scan-Optionen der Advanced-Update-Dienste? |
| A. | Ein Scan greift standardmäßig auf den Update Services-Server zurück, dem der Client-Rechner zugeordnet ist (wenn dies der Fall ist), sowie auf den Microsoft Update-Katalog. Die Ergebnisse werden verglichen, und alle nicht freigegebenen Update Services-Updates werden im Bericht markiert (mit einem blauen Stern). Dies ermöglicht dem MBSA, Best-Practice-Empfehlungen zu den Einstellungen jedes Updates abzugeben, mit oder ohne einen Update Services-Server. Mit den erweiterten Optionen können Sicherheitsprüfer auswählen, dass sie nicht mit der Update Services-Liste der freigegebenen Updates scannen, oder Update Services-Administratoren können auswählen, dass sie nicht mit der Microsoft Update-Liste der verfügbaren Updates scannen und sich nur auf das freigegebene Set von Updates konzentrieren. Wenn ein Administrator sich dafür entscheidet, nicht mit der Liste der verfügbaren Updates von Microsoft Update zu scannen, können Client-Rechner ohne einen Update Services-Server nicht gescannt werden und geben einen Fehler aus; so zeigen sie an, dass sie eventuell nicht über die richtige Zusammenstellung gemanagter Updates verfügen. |
| F. | Wie schnell kann der MBSA 2.0 einen oder mehrere Computer auf Sicherheitsupdates prüfen? |
| A. | Die Leistung hängt ab von der Geschwindigkeit der Verbindung zur Website von Microsoft Update oder dem Update Services-Server. Außerdem ist entscheidend, wann der Client-Rechner zuletzt seinen Katalog mit dem Server synchronisiert hat. Die Anzahl und Art der installierten Produkte kann auch die Leistung eines Scans beeinflussen. Prüfen Sie die Dauer der Scans auf Ihrer eigenen Hardware und mit Ihren Servereinstellungen, weil die Leistung dementsprechend schwanken kann. Hinweis: Das Scannen von verschiedenen Fehlkonfigurationen kann die Dauer des Prozesses verlängern, besonders wenn auf schwache Kennwörter geprüft wird. |
| F. | Wie viele Computer kann der MBSA 2.0 simultan scannen? |
| A. | Das Scannen mit dem MBSA 2.0 findet nicht parallel statt, außer es sind mehrere Kopien des MBSA 2.0 zur selben Zeit im Einsatz, um verschiedene Computer zu scannen. Sie können Mbsacli.exe verwenden in Verbindung mit dem Listen-Parameter /listfile (Liste von Computernamen oder IP-Adressen), um Computer zu scannen, die in einer Textdatei mit Computernamen oder IP-Adressen aufgeführt sind. Diese Datei darf maximal 100 MB groß sein. Durch Skripte (kein Bestandteil des MBSA 2.0-Downloadpakets) können Administratoren diese Textdatei durch einen Update Services-Server oder ein Active Directory füllen. |
| F. | Wie viele verschiedene Sicherheitsupdatekataloge unterstützt der MBSA 2.0 beim Scannen? |
| A. | Frühere Versionen des MBSA setzten beim Scannen nur auf einen Offline-Katalog. Weil die Größe dieses Katalogs mit der Zeit wächst, kann die Performance des Netzwerks abnehmen. Durch die Integration in die Windows Server Update-Services kann der MBSA 2.0 beim Scan den Katalog des Update Services-Server des Client-Rechners benutzen, wie auch den Microsoft Update Websitekatalog. Diese Server-basierten Kataloge sind die bevorzugten Quellen, aber der MBSA kann automatisch den Offline-Katalog nutzen, wenn dies notwendig sein sollte. Wenn kein Update Services-Server dem Zielcomputer zugeordnet ist, wendet sich der MBSA automatisch an die Microsoft Update Website. Die bevorzugte Nutzung der Server-basierten Kataloge beschleunigt das Scannen und entlastet das Netzwerk, weil die Technologie des Update Services-Server und der Microsoft Update-Website bei der Synchronisation mit dem lokalen Katalog auf dem Client-Rechner nur die Veränderungen seit der letzten Synchronisation abgleicht. Wenn die automatischen Updates aktiviert sind, läuft diese Synchronisation nach einem lokalen Zeitplan, also wird der MBSA-Scan mit der Windows Update Agent Windows API sehr kurze Synchronisationszeiten aufweisen. |
| F. | Vorherige Versionen des MBSA versuchten während des Scannens immer eine .cab-Datei herunterzuladen; warum tut der MBSA 2.0 dies nicht? |
| A. | Der MBSA lädt die Datei Wsusscan.cab beim ersten Scan herunter oder immer, wenn die Datei auf der Website von Microsoft aktualisiert wurde. Internetaktivität seitens des MBSA 2.0 kann komplett verhindert werden, wenn folgende Parameter im Befehlzeilen-Tool gesetzt werden (wie in der MBSA-Hilfe beschrieben): /nvc (keine Prüfung der Tool-Version), /catalog (Offline-Katalogdatei) und /nd (nicht herunterladen). Hinweis: Um sicherzustellen, dass der MBSA Zugang zu den aktuellen Versionen dieser Dateien hat, sollten Sie diese wöchentlich oder nach jeder Veröffentlichung von Sicherheitsbulletins durch Microsoft herunterladen. Dies ist besonders wichtig im Falle des Sicherheitsupdate-Katalogs (wsusscan.cab), weil Microsoft eine aktualisierte Version dieser Datei veröffentlicht, wenn Sicherheitsbulletins veröffentlicht oder aktualisiert wurden. |
| F. | Was ist mit dem HFNetChk-artigen Scan vorhergehender Versionen des MBSA passiert? |
| A. | Die bisherige MBSA-Suchmaschine wurde durch den Windows Update Agent ersetzt, und sie wurde vollständig in den MBSA-Scan integriert. Für Benutzer, die an den /HF-Modus des Scannens aus früheren Versionen des MBSA gewöhnt sind, existiert eine einfache Lösung mit Mbsacli.exe und Wusscan.dll, die den Parameter /xmlout (XML-Daten) nutzt. Dieser Parameter bietet eine einfache Ausgabe im XML-Format über die Konsole, was die Integration mit anderen Lösungen schnell und einfach gestaltet. Die Ausgabe beinhaltet alle Datenelemente des /HF-Modus sowie zusätzliche Daten. |
| F. | Warum wurden verschiedene Befehlzeilenoptionen wie -nosum und -z aus dem MBSA 2.0 entfernt? |
| A. | Die MBSA 2.0-Suchmaschine basiert auf dem Windows Update Agent, und die Logik beim Scannen von Updates basiert auf Regeln, die im Microsoft Update-Katalog definiert sind. Die Optionen aus älteren Versionen des MBSA, mit denen bestimmte logische Abfragen aktiviert oder deaktiviert werden konnten, sind aufgrund der fortschrittlichen Technologie des MSBA 2.0 nicht mehr notwendig. Details zu den Veränderungen dieser Befehlzeilenoptionen finden Sie in den Hinweisen zur Veröffentlichung und der MBSA-Hilfe. |
| F. | Unterstützt der MBSA 64-Bit-Versionen von Windows? |
| A. | Ja. MBSA 2.0 kann Computer mit 64-Bit-Versionen von Windows (x64-Prozessor) lokal und über eine Netzwerkverbindung auf Sicherheitsupdates scannen. Eine Prüfung häufiger Fehlkonfigurationen wird nicht unterstützt. In der MBSA-Hilfe finden Sie eine detaillierte Beschreibung der Überprüfung von Sicherheitsupdates und Fehlkonfigurationen sowie deren Einschränkungen auf 64-Bit-Plattformen. IA64-Prozessoren können mit dem MBSA über eine Netzwerkverbindung gescannt werden, wenn sie bereits über die notwendige Version des Windows Update Agent und die passenden Konfigurationseinstellungen für Microsoft Update (empfohlen), sowie über die richtigen Firewall-Einstellungen verfügen. |
| F. | Unterstützt der MBSA Windows XP Embedded? |
| A. | Ja. Der MBSA 2.0 kann Windows XP Embedded über ein Netzwerk nach Sicherheitsupdates scannen. Das Überprüfen häufig auftretender Sicherheits-Fehlkonfigurationen wird beim Scannen von Windows XP Embedded nicht unterstützt. In der MBSA-Hilfe finden Sie eine detaillierte Beschreibung des Scannens auf Sicherheitsupdates und Fehlkonfigurationen, sowie die Einschränkungen dieser Funktionen auf den genannten Plattformen. Hinweis: Alle weiteren Systemanforderungen des MBSA 2.0 müssen erfüllt sein. Prüfen Sie diese mit dem Hersteller des Computers oder dem Systemadministrator. Diese Anforderungen beinhalten den Remote-Registrierungsdienst, Serverdienst und so weiter und können in der MBSA-Hilfe eingesehen werden. |
| F. | Welche Ergebnismeldungen kann ich bei einem Scan mit dem MBSA 2.0 erwarten? |
| A. | Zusätzlich zu den laufenden Meldungen, die in das Ereignisprotokoll eingetragen werden, können weitere Meldungen erscheinen – basierend auf der neuen Netzwerk-Installationssoftware, die der MBSA verwendet, um den Zielcomputer zu konfigurieren, damit dieser den Windows Update Agent oder Microsoft Update zum Scannen einsetzt. Beispiel: Ereignistyp:Information |
| F. | Welche Art von Pfaden kann ich mit dem Parameter /catalog (Offline-Katalogdatei) für einen lokalen Scan in der Befehlzeile verwenden? |
| A. | Sie müssen die Katalogdatei auf den lokalen Computer kopieren, bevor Sie mit dem Scan beginnen und einen lokalen Pfad zur Datei anlegen. Wenn Sie das MBSA-Befehlzeilen-Tool (Mbsacli.exe) verwenden, um den lokalen Computer zu scannen, können Sie keinen Universal Naming Convention (UNC)-Pfad und kein zugeordnetes Netzlaufwerk als Argument des Parameters /catalog (Offline-Katalogdatei) verwenden. Beispiele für gültige Befehlzeilen sind: Mbsacli.exe /catalog wsusscan.cab (Aktuelles Verzeichnis) |
| F. | Warum enthalten einige Punkte des Berichts ein blaues Icon und einen Link mit dem Text "Vorgehensweise zur Behebung"? | ||||||||
| A. | Bei einigen Punkten wird eher ein Best-Practice-Vorschlag gemacht, als einen Hinweis auf Fehler oder mögliche Risiken zu geben. Diese Punkte enthalten dann einen Link mit Korrekturschritten und Anleitungen, die genau beachtet werden sollten. Beispiele hierfür sind:
Der Punkt "Unvollständige Updates” ist nur dann mit einem gelben Icon versehen (mögliches Risiko), wenn sich mindestens ein unterstütztes Update im Status "Neustart erforderlich" befindet. Weil andere Updates ebenfalls diesen Status besitzen könnten, dies aber nicht festgestellt werden kann, weil sie aus älteren Versionen des Installers stammen, kann eine komplette Prüfung und somit eine vollständige Freigabe nicht erfolgen. Die Prüfung der Windows Firewall liefert nur dann ein grünes Icon (vollständige Freigabe), wenn die Firewall ohne irgendwelche Ausnahmen aktiviert ist. Alle anderen Konfigurationen liefern ein blaues Icon, weil dann immer Details zu den Ausnahmen öffentlich werden könnten. Die beiden Prüfungen von SQL Server (Servicekonten und Sysadmin-Rollenmitglieder) liefern immer ein blaues Icon, weil eine vollständige Freigabe eventuell nicht Bestandteil der Support-Richtlinie für Produkte ist, die MSDE oder WMSDE-Derivative des SQL Server 2000 weiter verteilen. Nur die Produkte, die MSDE oder WMSDE nutzen, können die Sicherheit der Konfiguration bewerten. | ||||||||
| F. | Wofür werden die neuen Spalten "Größtmögliche Schwere eines Schadens" und "Download" im Bericht benutzt? | ||||||||
| A. | Die größtmögliche Schwere hängt mit der entsprechenden Bewertung in dem von Microsoft veröffentlichten Sicherheitsbulletin zusammen. In einem bestimmten Sicherheitsbulletin kann es verschiedene betroffene Produkte mit verschiedenen Bewertungen bezüglich ihrer Verwundbarkeit geben. Die größtmögliche Schwere eines Schadens repräsentiert das Produkt im Bulletin, das die höchste Stufe an Verwundbarkeit aufweist. Dieser Wert erlaubt Administratoren eine bessere Priorisierung von Update-Risiken und der Dringlichkeit von Bereitstellungen. Der "Download”-Link erlaubt einen direkten Zugang zu dem Updatepaket, das die Behebung des Sicherheitsproblems ermöglicht. Dieses im Bericht verlinkte Updatepaket ist das passende Software-Update, das gemäß der Konfiguration des gescannten Computers erforderlich ist. Wenn Sie einen Bericht von einem anderen Computer aus betrachten, vergessen Sie nicht, dass das Updatepaket für letzteren eventuell unpassend ist. Hinweis: Der MBSA 1.2.1 benutzte den Ausdruck "kritisch” für jedes fehlende Sicherheits-Update. Im MBSA 2.0 basiert die Bewertung nun auf dem Sicherheitsbulletin. | ||||||||
| F. | Der Befehl "Kopieren” auf der Seite "Wählen Sie einen Sicherheitsreport für die Betrachtung aus" funktioniert nicht; warum kann ich keine Zeilen kopieren, die einzelne Berichte betreffen? | ||||||||
| A. | Dies ist eine bekannte Einschränkung im MBSA 2.0. Bitte wählen Sie einen Bericht aus, verwenden Sie dann den "Kopieren"-Befehl, oder nutzen Sie die Rollup-Skriptbeispiele, sobald diese für die neue Berichtstufe verfügbar sind. | ||||||||
| F. | Warum ist das Datum der Katalogsynchronisation in meinem Bericht leer? | ||||||||
| A. | Dieser Wert ist Bestandteil des Berichts, wenn der Offline-Katalog für einen Scan verwendet wurde. Wenn der Sicherheitsupdate-Katalog Microsoft Update (Offline) beinhaltet, wird dies der Fall sein. Die Verwendung des Befehlzeilen-Parameter /catalog (Offline-Katalogdatei) kann sicherstellen, dass dieser Wert für alle Berichte zur Verfügung steht. Er erlaubt präzisere Vergleiche von Berichten, die auf einem bestimmten Zeitpunkt basieren – für Kunden, die dieses Feld in vorhergehenden Versionen des MBSA genutzt haben. | ||||||||
| F. | Wie verwende ich das Katalogsynchronisationsdatum, das im Bericht erscheint? | ||||||||
| A. | Dieser Wert (beispielsweise 2005-02-22T02:58:07Z) zeigt Datum und Zeit an, zu denen die Offline-Katalogdatei aus dem Microsoft-Update-Katalog erstellt wurde. Dieser Wert befindet sich nur in Berichten, wenn der Offline-Katalog für den Scan eingesetzt wurde. Mit dem Befehlzeilenparameter /catalog (Offline-Katalogdatei) können sie sicherstellen, dass dieser Wert in allen Berichten verfügbar ist. So erzielen Sie einen präziseren Vergleich von Berichten, die auf einem bestimmten Zeitpunkt basieren – für Kunden, die dieses Feld in vorhergehenden Versionen des MBSA genutzt haben. Wenn der Offline-Katalog upgedatet wurde und Sie einen Bericht betrachten, der auf einem älteren Offline-Katalog basiert, zeigt der Bericht in einer Erinnerungsfunktion einen solchen Wert an, beispielsweise: *** Ein neuer Sicherheitsupdate-Katalog ist verfügbar. Bitte führen Sie einen erneuten Scan durch, um nach den neuesten Sicherheitsupdates zu suchen. Veröffentlicht am 2004-12-02T10:49:03Z *** Diese Nachricht erscheint nicht, wenn Microsoft Update oder Update Services-Servers für den Scan benutzt werden, aber alle Berichte zeigen ihr Alter in Tagen an, ähnlich dem folgenden Beispiel (betrachtet am 31.03.2005): Scan-Datum: 3/30/2005 2:49 PM*** Dieser Bericht ist 1 Tag alt. *** | ||||||||
| F. | Warum zeigt der MBSA-Bericht manchmal die IP-Adresse des Microsoft Loopback Adapter an anstelle des primären Adapters, den der Computer für den Netzwerkzugang benutzt? | ||||||||
| A. | Dies kann öfter vorkommen, abhängig von der Anschlussordnung der installierten Adapter. Sowohl die Adapter-Anschlussordnung als auch die Anzahl der installierten Adapter beeinflussen das Ergebnis. Die konsistenteste Identifikation der gescannten Computer erhalten Sie, wenn Sie die Computernamen nutzen, insbesondere wenn die IP-Adressen von einem Dynamic Host Configuration Protocol (DHCP) zur Verfügung gestellt werden. | ||||||||
| F. | Wenn ich einen Windows Small Business Server scanne, sehe ich ein rotes Icon für einen "SBS Backup User" in der Zonenüberprüfung des Internet Explorers; ist das normal? | ||||||||
| A. | Ja, das ist ein bekanntes Problem bei Produkten für Windows Small Business Server. Es kann auftreten, wenn der SBS Backup User mindestens einmal für ein Backup eingesetzt wurde, und wird so lange bestehen, bis dasselbe Benutzerkonto mindestens einmal interaktiv an der Konsole angemeldet wurde. | ||||||||
| F. | Gibt es immer noch Schwierigkeiten, wenn ich Computer oder Computer in Domänen scanne, die ein kaufmännisches "und" (&) in ihren Namen enthalten? | ||||||||
| A. | Diese Einschränkung besteht im MBSA 2.0 nicht mehr. | ||||||||
| F. | Kann ich die MBSA-Rollup-Skripte mit dem MBSA 2.0 weiter benutzen? | ||||||||
| A. | Kurz nach der Veröffentlichung des MBSA 2.0 werden die Rollup-Skripte aktualisiert und um das neue Berichtformat des MBSA 2.0 erweitert. Bis die Beispielskripte aktualisiert sind, schauen Sie sicherheitshalber auf der MBSA-Homepage nach Updates zu den Skripten für den MBSA 2.0. | ||||||||
| F. | Was ist, wenn ich eine Textausgabe benötige, nicht XML, genau so, wie es der MBSA 1.2 mit /HF gemacht hat? | ||||||||
| A. | Eine Textausgabe bietet Mbsacli.exe standardmäßig. Dies kann mit dem Parameter /qt (stille Textausgabe) unterdrückt werden; es liefert dieselbe Ausgabe wie die Option /ld (Berichtdetails auflisten). | ||||||||
| F. | Warum erscheinen einige installierte Updates nicht im Bericht? | ||||||||
| A. | Updates, die in den neuen Abschnitten des Berichts erscheinen, repräsentieren Software, die Ihren Computer schützt und nicht von irgendwelchen neueren Updates ersetzt wurde. Viele Updates von Microsoft sind kumulativ und beinhalten frühere Fixes, so dass häufig zusätzliche Stufen des Schutzes mitgeliefert werden. Die Fixes, die aus früheren Updates in den aktuell installierten Updates integriert sind, können aus dem Sicherheitsbulletin oder der Fix-Liste für das Update entnommen werden. Außerdem können Sie beim Installieren eines Updates den neuen Abschnitt des Berichts verwenden, um sicherzustellen, dass das Update installiert wurde: durch erneutes Scannen des Computers, nachdem die Installation des Updates abgeschlossen ist (dazu ist ein Neustart des Computers erforderlich). | ||||||||
| F. | Kann ich das Bewertungssystem verändern, das der MBSA nutzt, um so Objekte, die ich für nicht gefährlich halte, zu markieren? | ||||||||
| A. | Nein, die Bewertungen im MBSA 2.0 können nicht modifiziert werden. Sie können jedoch ein Skript zum Herausfiltern jener Objekte einsetzen, die sie nicht beobachten wollen oder für die sie keinen Bericht benötigen. | ||||||||
| F. | Wie sollte ich die Bewertung als "schwerwiegendes Risiko” einordnen, die der MBSA 2.0 im Bericht verwendet? | ||||||||
| A. | Diese Bewertung hilft Ihnen, das Risiko zu priorisieren und zu managen, das mit den genannten Erkenntnissen aus dem Sicherheitsbulletin verbunden ist. Ein Link auf zusätzliche Informationen finden Sie am Ende jedes MBSA 2.0-Berichts; dort werden die Ergebnisdetails für Sicherheitsupdate-Prüfungen verwendet. Besuchen Sie die Website von Microsoft, um die Bedeutung der einzelnen Bewertungen zu verstehen und um festzustellen, welche Mittel Sie in Ihrer Umgebung anwenden können. | ||||||||
| F. | Was bedeuten die roten, gelben und blauen Icons in den MBSA-Scan-Berichten? | ||||||||
| A. | Der MBSA zeigt verschiedene Icons in den Spalten des Berichts, abhängig davon, ob Fehlkonfigurationen auf dem gescannten Computer gefunden wurden. Es gibt zwei unterschiedliche Arten von Prüfungen, die vom MBSA durchgeführt werden – eine Prüfung auf Fehlkonfigurationen und eine Prüfung auf Sicherheitsupdates: In der Prüfung auf Fehlkonfigurationen wird ein rotes X verwendet, wenn eine kritische Prüfung fehlgeschlagen ist (Beispiel: Ein Benutzer besitzt ein leeres Kennwort). Ein gelbes X wird verwendet, wenn eine nichtkritische Prüfung fehlgeschlagen ist (Beispiel: Ein Konto besitzt ein Kennwort, das nicht verfällt). Ein grünes Häkchen wird angezeigt, wenn die Prüfung positiv verläuft (es wurden keine Probleme bei dieser speziellen Prüfung gefunden). Ein blauer Stern wird angezeigt, wenn es eine bessere Möglichkeit des Schutzes gibt (Beispiel: Prüfen, ob die Überwachung aktiviert ist), oder wenn zusätzliche Informationen zum gescannten Computer vorliegen (Beispiel: Die Betriebssystemversion des gescannten Computers). Bei der Prüfung von Sicherheitsupdates wird ein rotes X angezeigt, wenn der MBSA bestätigt, dass ein Sicherheitsupdate auf dem gescannten Computer fehlt. Ein gelbes X wird für Warnhinweise verwendet (Beispiel: Auf dem Computer fehlt das aktuelle Service Pack oder Update-Rollup). Ein blauer Stern zeigt an, dass ein Update auf dem Computer nicht verfügbar ist, weil es auf dem Update Services-Server nicht freigegeben wurde. Die Bewertungen der Systemkonfigurationsprüfung können nicht manuell verändert werden. Hinweis: Versionen vor dem MBSA 2.0 könnten einen blauen Stern für bestimmte Updates anzeigen. Dies ergab sich aus Begrenzungen der Suchmaschine, die im MBSA 2.0 nicht mehr bestehen; deshalb wurde diese Markierung aus den Prüfungen nach Sicherheitsupdates entfernt. | ||||||||
| F. | Wie erleichtert der MBSA 2.0 die Auffindung von teilweise installierten Updates? | ||||||||
| A. | Einige Updates ersetzen Dateien, die aktuell von Windows verwendet werden. Einige Dateien werden während des Hochfahrens von Windows in den Arbeitsspeicher geladen und verbleiben dort bis zum nächsten Neustart. Updates, die über automatische Updates, Windows Update oder Microsoft Update installiert werden, zeigen dies im MBSA-Bericht an: Ein teilweise installiertes Update wird als nicht installiert angezeigt, weil ein Neustart erforderlich ist. Zusätzlich dazu erlaubt jedes Update, das mit Update.exe, Version 6.1 oder höher, gepackt wurde, dem MBSA 2.0 eine Prüfung des Gesamt-Systemstatus auf einen erforderlichen Neustart, wenn die Prüfung auf Fehlkonfigurationen läuft. Diese Prüfung ist nicht mit einem bestimmten Update verbunden, zeigt aber die möglichen Risiken, die mit einem Produkt-Update ohne baldigen Neustart des Computers verbunden sind. Die MBSA-Hilfe beinhaltet Anleitungen dazu, wie Sie ein Update-Paket daraufhin prüfen können, mit welcher Version des Installers es erstellt wurde. | ||||||||
| F. | Wie identifiziert MBSA 2.0 ein einzelnes Bulletin, das mehrere Produkte betrifft? | ||||||||
| A. | Updates für mehrere Produkte innerhalb desselben Bulletins werden als verschiedene Produktfamilien in der Rubrikspalte der Berichtzusammenfassung angezeigt. Jede produktspezifische Variation innerhalb des Bulletins enthält normalerweise eine andere Knowledgebase-Artikelnummer. In einigen Fällen können jedoch mehrere Updates innerhalb derselben Produktkategorie stattfinden. Wenn ein Sicherheitsbulletin sowohl den Windows Media Player als auch SQL Server betrifft, erscheinen in der Berichtzusammenfassung zwei separate Rubriken mit zwei separaten Ergebnisdetails. In diesem Beispiel würden beide Rubriken dieselbe Bulletin-Identifikationsnummer aufweisen, nach der Standardnamenskonvention für Update-Titel wäre die Knowledgebase-Artikelnummer aufgeführt, und in der Spalte Beschreibung wäre ein Link zum passenden Support-Artikel auf der Website. Ein anderer Fall ist der, dass mehr als ein Produkt innerhalb derselben Familie existiert, so wie der Windows Messenger und der Windows Media Player (beide sind Komponenten von Windows). In diesem Beispiel gäbe es separate Updates im selben Ergebnisdetails-Abschnitt des Berichts, aber beide würden die gleiche Bulletin-ID teilen. Wenn ein produktspezifischer Knowledgebase-Artikel-ID (KBID) benötigt wird, kann der Bericht in jedem XML-Betrachterprogramm eingesehen werden (wie Notepad oder Internet Explorer), und das KBID-Attribut wird die Artikelnummer enthalten. Außerdem werden kurz nach der Veröffentlichung von Microsoft Update zusätzliche IDs in veröffentlichten Updates in den MBSA 2.0-Bericht integriert. Sie werden sich direkt auf individuelle Fehlkonfigurationen beziehen, die im Bulletin behandelt werden (typischerweise in einem "CAN-..."- oder "CVE-..."-Format, wie im aktuellen Sicherheitsbulletin aufgelistet). Eine neue Version des MBSA 2.0 wird nicht benötigt, nur die neuen Daten, die mit den veröffentlichten Updates herausgegeben werden. | ||||||||
| F. | Sortiert der MBSA 2.0 die Ergebnisse eines Sicherheitsupdate-Scans? | ||||||||
| A. | Nein, die Ergebnisse werden im Bericht in der Reihenfolge gelistet, in der sie an den MBSA aus dem Windows Update Agent zurückgegeben werden. Diese Version des MBSA unterstützt kein benutzerseitiges Sortieren in den Berichten; die Berichte können allerdings im Excel-Format exportiert werden und dann über ein Skript sortiert oder weiterverarbeitet werden, um so einer anderen Anwendung in einem bestimmten Format zur Verfügung zu stehen. | ||||||||
| F. | Warum bekomme ich das Windows-Tool zum Entfernen bösartiger Software als fehlendes Service Pack oder Update-Rollup angezeigt? | ||||||||
| A. | MBSA berichtet auch über sicherheitsbezogene Best-Practices. Das Windows-Tool zum Entfernen bösartiger Software ist ein kumulatives, monatliches Update, das die Reste bekannter bösartiger Software entfernt, die sich eventuell noch auf einem Computer befinden – auch, nachdem das entsprechende Sicherheitsbulletin auf den Computer angewendet wurde. Wenn dieses Tool nicht regelmäßig ausgeführt wird, könnten bösartige Dateien oder Einstellungen auf dem Computer verbleiben. | ||||||||
| F. | Warum haben einige Updates keine Link in der Beschreibungsspalte der Berichtdetails? | ||||||||
| A. | Einige Updates, die über Microsoft Update veröffentlicht werden, beinhalten keine Links, aber in den meisten Fällen bietet der Sicherheitsbulletin-Link dem Benutzer Zugang zu den benötigten Informationen. In Zukunft werden alle Updates, die über Microsoft Update veröffentlicht werden, diese Links automatisch enthalten. | ||||||||
| F. | Wo liegen die MBSA-Sicherheitsberichte? | ||||||||
| A. | Die Sicherheitsberichte sind als .mbsa-Dateien im XML-Format gespeichert in: %Benutzerprofil%\SicherheitsScans. Die Installation des MBSA 2.0 erzeugt eine Dateiverbindung für Windows, was Betrachten und Managen (bewegen und löschen) eines Berichts vereinfacht. Dieser Ort kann nicht verändert werden, und Berichte können mit der MBSA-Benutzerschnittstelle nicht umbenannt oder bewegt werden. | ||||||||
| F. | Wie kann mir der MBSA 2.0 mit meinen Windows NT 4.0-Computern helfen? | ||||||||
| A. | Der MBSA 2.0 meldet eine kritische Warnung während der Versionskontrolle des Betriebssystems, die anzeigt, dass diese Betriebssystemversion nicht länger unterstützt wird. Diese Prüfung hilft bei der Identifizierung von Computern, die nicht auf Sicherheitsupdates gescannt werden können und deshalb eine Sicherheitsbedrohung für die Umgebung darstellen. Das Scannen von Computern, die mit Windows NT 4.0 betrieben werden, wird nicht unterstützt; wenn jedoch eine solche Konfiguration innerhalb einer Domäne oder einem IP-Bereich existiert, bleibt der MBSA stabil. Andere Prüfungen werden durchgeführt, aber die Ergebnisse dieser Prüfungen werden nicht unterstützt. | ||||||||
| F. | Warum erscheinen einige Fehlkonfigurationen von SQL Server mit einer anderen Bewertung als bei früheren Versionen des MBSA? | ||||||||
| A. | Basierend auf den verschiedenen Arten, auf die MSDE von einer Anwendung genutzt werden kann, die MSDE weiter verteilt, wurde diese Prüfung von einer nicht-kritischen Warnung im MBSA 1.2.x zu einer Best-Practice-Meldung (blauer Stern) im MBSA 2.0 geändert. Die Prüfung wurde geändert, weil einige Konfigurationen von SQL und MSDE als lokales System in einer sicheren Konfiguration laufen, abhängig davon, wie die Anwendung, die SQL Server oder MSDE einsetzt, aufgebaut ist. Der MBSA kann nicht die besonderen Funktionen jeder Anwendung, die SQL Server oder MSDE nutzt, prüfen. Sie sollten prüfen, ob alle Konfigurationen von SQL Server oder MSDE, die bei Ihnen laufen, mit den niedrigsten Rechten ausgestattet sind, wie von Softwarehersteller vorgegeben. | ||||||||
| F. | Kann ich den MBSA 2.0 einsetzen, um nicht unterstützte Versionen von Windows zu identifizieren, während ich scanne? | ||||||||
| A. | Beginnend mit dem MBSA 2.0 enthalten alle Berichte, die gescannte Computer mit Windows NT 4.0 betreffen, eine kritische Warnung in der Windows-Prüfung auf Fehlkonfigurationen, also im Punkt Betriebssystemversion. Frühere Versionen des MBSA würden Bewertungsinformationen für diese Version von Windows ausgeben, zusammen mit der Empfehlung, Windows 2000 oder höher zu installieren. Weil das Scannen mit den Windows Server Update Services nur ab Windows 2000 Service Pack 3 und höher unterstützt wird, betrachtet es Microsoft als kritisch für seine Kunden, sich der Windows NT 4.0 Computer bewusst zu sein, die keine Sicherheitsupdates mehr erhalten. | ||||||||
| F. | Warum bekomme ich den Fehler "Windows Update Agent ist nicht installiert Stellen Sie sicher, dass der lokale Computer mit den Standardeinstellungen gescannt wurde, oder installieren Sie den Agenten manuell"? | ||||||
| A. | Scannen über ein Netzwerk erfordert, dass die aktuelle Version des Windows Update Agent auf dem Computer installiert ist, auf dem der MBSA läuft, also müssen Sie ihn installieren bevor Sie mit dem Scan beginnen. Obwohl der MBSA ein Feature bietet, mit dem Sie den Agenten automatisch installieren können, ist auch eine manuelle Installation möglich. Sie erhalten das Installationsprogramm im Microsoft Download Center über einen der folgenden Links, passend zur Art des Computers, der den Fehler meldet:
|