Fragen und Antworten zum Microsoft Baseline Security Analyzer (MBSA) 1.2.1

Ja. Folgende Einschränkungen müssen beachtet werden:

Die Daten in der Katalogdatei stellen geistiges Eigentum von Microsoft dar und sind somit urheberrechtlich geschützt. Die Veränderung der Daten kann zu einer fehlerhaften oder inkonsistenten Erkennung von fehlenden Updates führen. Microsoft kann jederzeit Änderungen am Schema und an den Daten vornehmen. Die Daten des Katalogs können ebenfalls über KB-Artikel, Security Bulletins und externe Ressourcen bezogen werden. Aus technischen Gründen können Daten zu bestimmten Security Bulletins aus dem Katalog entfernt werden. Welche Daten in der Datei vorhanden und welche nicht vorhanden sind, hat, außer für die Updateerkennung durch den MBSA, keine Bedeutung. Die Informationen in der Datei basieren auf den im Downloadcenter veröffentlichten Paketen zu den Security Bulletins. Es ist normal, dass die Informationen in der Datei aktueller sind. Für Updates, die nicht sicherheitsbezogen sind (zum Beispiel Hotfixes), stehen im Katalog möglicherweise keine Detailinformation zur Verfügung.

Die Verwendung des Katalogs (mssecure.xml) außerhalb des MBSA wird nicht unterstützt. Fehler und fehlende Daten in der XML-Datei werden nur dann korrigiert, wenn Sie sich auf ein vom MBSA unterstütztes Szenario auswirken. Technische Fragen werden vom Produktsupport nicht beantwortet. Je nach Einzelfall wird jedoch so gut wie möglich eine angemessene Hilfe angeboten. Die Datei selbst darf nicht zusammen mit einem Produkt verteilt werden, welches nicht von Microsoft stammt. Neben der Verletzung der Urheberrechte von Microsoft würde dies auch dazu führen, dass die Datei nicht aktualisiert wird und somit veraltet ist. Kritische Sicherheitsupdates können so möglicherweise nicht mehr erkannt werden. MBSA wurde so entwickelt, dass er den Katalog bei jedem Einsatz automatisch aktualisiert. Der MBSA selbst darf nicht weiterverteilt werden. Er darf nicht in Produkte integriert werden, die nicht von Microsoft stammen.

Der Microsoft-Support (PSS) unterstützt nur die aktuellste Version des MBSA - dies ist im Moment die Version 1.2.1. Die vom MBSA zur Identifizierung von fehlenden Sicherheitsupdates verwendete Datei mssecure.xml unterscheidet sich bei MBSA 1.2+ von den XML-Dateien aus älteren Versionen.

Seit dem 20.04.2004 wird die mssecure.xml-Datei älterer Versionen nicht mehr aktualisiert. Daher sind alle Scans durch den MBSA 1.1.1 oder ältere Versionen unvollständig.

Benutzer, die eine ältere Version als MBSA 1.2.1 ausführen, werden mittels einer Benachrichtigung über die Verfügbarkeit der Version 1.2.1 informiert.

Nein. Der Deinstallation aller älteren Versionen wird bei der Installation des MBSA 1.2.1 automatisch durchgeführt.

Nein.

Die aktuellste Version des MBSA ist Version 1.2.1 - an einigen Stellen wird diese Version auch als Versionsnummer 1.2.4013.0 angezeigt. Die Bezeichnung 4013.0 gibt die Buildnummer wieder. Die offizielle Versionsnummer erhalten Sie über den Link "Über Microsoft Baseline Security Analyzer". Wenn Sie den MBSA 1.2 starten, werden Sie über die Verfügbarkeit einer neuen Version (1.2.4013.0) benachrichtigt.

Genauere Informationen zu diesem Thema finden Sie in der Datei readme.html im Abschnitt "#firewall". Wenn Sie einen Remotescan eines Windows XP Service Pack 2-Computers durchführen möchten, müssen folgende Voraussetzungen erfüllt sein:

Der MBSA kann unter Microsoft® Windows® 2000 Server, Windows 2000 Professional, Windows XP Home Edition, Windows XP Professional und Windows Server 2003 installiert und ausgeführt werden. Das Tool kann Maschinen unter Microsoft Windows NT® 4.0 Server, Windows NT 4.0 Workstation, Windows 2000 Server, Windows 2000 Workstation, Windows XP Professional, Windows XP Home Edition und Windows Server 2003 scannen. Auf Computern unter Windows 95, 98 oder Me kann der MBSA nicht ausgeführt werden.

Für Windows XP SP2 ist der neue MBSA 1.2.1 zwingend erforderlich. Benutzer des MBSA 1.2 werden hierüber beim Start des MBSA automatisch informiert (bei einer bestehenden Internetverbindung).

Der MBSA V1.2.1 scant Windows NT 4.0, Windows 2000, Windows XP, Microsoft Internet Information Services (IIS) 4.0, 5.0 und 6.0 Microsoft Internet Explorer (IE) 5.01 und höher, Microsoft SQL Server 7.0 und 2000 und Microsoft Office 2000, Microsoft Office XP und Microsoft Office 2003 auf falsche Sicherheitseinstellungen.

In der folgenden Tabelle finden Sie alle Produkte, die vom MBSA 1.1.1 und 1.2.2 auf fehlende Sicherheitsupdates gescannt werden können.

Anmerkung: Produkte, die auf der gescannten Maschine nicht installiert sind, werden vom MBSA 1.2.1 nicht auf fehlende Sicherheitsupdates überprüft - außerdem werden sie in der Ergebnisliste nicht angezeigt.

Produkte, die nicht in der Tabelle aufgeführt sind, werden nicht auf fehlende Sicherheitsupdates gescannt (hierzu gehören auch Front Page-Servererweiterungen und Outlook Express). Auch das Scannen von Windows Embedded- oder 64-Bit-Systemen wird nicht unterstützt.

Der MBSA 1.2.1 steht in den folgenden Sprachen zur Verfügung: Englisch, Deutsch, Japanisch und Französisch. Seit dem 15.04.04 gibt es auch die mssecure.xml-Datei in diesen vier Sprachen. Bei einem Scan wird automatisch die richtige Version heruntergeladen. Wenn die passende lokalisierte Version nicht zur Verfügung steht, verwendet der MBSA die englische Version. Die Checksummenüberprüfung für die Sicherheitsupdates wird in diesem Fall deaktiviert.

Die Sicherheitsberichte werden standardmäßig als XML-Datei im Verzeichnis %userprofile%\SecurityScans gespeichert.

Einige Sicherheitsupdates, die von Microsoft herausgegeben werden, enthalten Warnungen oder Arbeitsanweisungen, die nicht so einfach gescannt werden können. Ein Beispiel hierfür ist MS99-041. Hier ist kein Patch enthalten, sondern ein Tool, über das die Benutzer einen bestimmten Dienst auf ihren Systemen verändern können. Diese Security Bulletins werden als "Hinweis" oder "Warnung" gekennzeichnet. Solange der Schalter -s nicht verwendet wird, zeigt HFNetChk diese Meldungen an. Auch der MBSA zeigt diese Warnungen und Hinweise an. Sie werden mit einem blauen Stern gekennzeichnet. Der Stern bedeutet also, dass nicht festgestellt werden konnte, ob der Security Bulletin Hotfix angewandt wurde. Die Einträge werden auch dann weiterhin im Sicherheitsbericht angezeigt, wenn der Benutzer einen dieser Hotfixes anwendet. Weitere Informationen über die Hinweis-Nachrichten finden Sie im KB-Artikel unter http://support.microsoft.com/default.aspx?scid=kb;de-de;306460&sd=tech.

Außerdem können dem Benutzer verschiedene Updates angezeigt werden, die eine aktuellere Dateiversion als erwartet haben (im Sicherheitsbericht durch ein gelbes X gekennzeichnet). Dies kann durch die Installation von nicht sicherheitsbezogenen Updates passieren. Da der MBSA 1.2.1 nur Sicherheitsupdates scannt und nur deren Dateiversionen und Checksummen in der mssecure.xml-Datei enthalten sind, kann er nicht feststellen, ob andere Dateien durch nicht sicherheitsbezogene Updates aktualisiert wurden.

Der MBSA und Windows Update (WU) analysieren das System auf unterschiedliche Art und Weise. WU kümmert sich nicht um kritische Updates des Betriebssystems. Im Gegensatz dazu prüft der MBSA (über HFNetChk) auf fehlende Sicherheitsupdates des Betriebssystems und anderer Microsoft Produkte (wie z. B. SQL Server).

Es gibt außerdem Sicherheitsupdates, die erneut veröffentlich werden (z. B. MS02-008 und MS02-009). Der MBSA stellt sicher, dass Sie auf Ihrem System immer die aktuellste Version aller Sicherheitsupdates installiert haben. Wenn Sie die Originalversion des MS02-008- oder MS02-009- Updates installiert haben, und wenn eine aktuellere Version dieser Updates verfügbar ist, zeigt der MBSA dieses Update als nicht installiert an. Windows Update erkennt möglicherweise nicht, dass eine aktuellere Version verfügbar ist. Microsoft arbeitet an dieser inkonsequenten Verhaltensweise, so dass der MBSA, Windows Update, Microsoft Software Update Services und die SMS-Sicherheitspatchverwaltung alle dieselben Verfahren zur Ermittelung der installierten Sicherheitsupdates verwenden. So soll sichergestellt werden, dass alle Kunden mit jedem Werkzeug die gleichen Ergebnisse erhalten. Wenn der MBSA ein bereits installiertes Sicherheitsupdate als fehlend anzeigt, dann überprüfen Sie bitte im entsprechenden Security Bulletin, ob ein neues Update verfügbar ist.

Einige Updates ersetzen Dateien, die gerade von Windows verwendet werden. Einige Dateien werden bei Start von Windows in den Speicher geladen - sie werden erst bei einem wiederholten Start neu geladen. Da der MBSA nur prüft, ob sich die erforderlichen Dateien auf der Festplatte befinden, zeigt er auch dann Updates als installiert an, wenn diese aufgrund eines fehlenden Neustarts noch nicht von Windows verwendet werden. Tools wie SMS, SUS und viele Drittanbieterprodukte sind in der Lage festzustellen, ob der Neustart für die Umsetzung eines Updates erforderlich ist.

Der MBSA zeigt unterschiedliche Symbole im Bericht an. Diese hängen davon ab, ob eine Sicherheitslücke auf den überprüften Maschinen gefunden wurde oder nicht. Beim Fehlschlag der Überprüfung einer kritischen Systemkonfiguration wird ein rotes X angezeigt (zum Beispiel ein fehlendes Sicherheitsupdate oder ein Benutzer mit leerem Kennwort). Ein gelbes X zeigt an, dass eine nicht-kritische Überprüfung fehlschlägt (z. B. ein Konto mit einem Kennwort, das nicht abläuft). Ein grünes Häkchen bedeutet, dass der entsprechende Test bestanden wurde. Für Empfehlungen zu Vorgehenseisen wird ein blauer Stern verwendet (z. B. eine Überprüfung, ob die Überwachung aktiviert ist). Bei Tests, die eine einfache Information zur Verfügung stellen, wird ein blaues Informationssymbol verwendet (z. B. Betriebssystemversion der gescannten Maschine).

Bei der Überprüfung der Sicherheitsupdates steht ein rotes X für ein fehlendes Sicherheitsupdate, ein gelbes X für Warnungen (z. B. aktuellstes Service Pack nicht installiert) und ein blauer Stern für Hinweise (z. B. bei Sicherheitsupdates, bei denen nicht festgestellt werden konnte, ob sie auf der Maschine installiert sind). Diese Einstellungen können im Moment nicht geändert oder neu zugewiesen werden. Es ist jedoch möglich, Hinweise und Warnungen zu unterdrücken. Verwenden Sie hierzu die Option -s (bei mbsacli.exe /hf und mbsacli.exe). Außerdem können Sie über die Option -fq die Anzeige einzelner Sicherheitsupdates unterdrücken (bei mbsacli.exe /hf).

Dieser Fehler kann dann auftreten, wenn die auf der gescannten Maschine installierte IIS-Version höher ist als die auf der Maschine, auf der der MBSA ausgeführt wird. Außerdem kann der Fehler darauf hindeuten, dass auf der Maschine, von der Scan ausgeführt wird, die IIS-Common-Files nicht installiert sind. Wenn der Fehlercode (0X80070005) zurückgegeben wird, bedeutet dies, dass die gescannte IIS-Maschine den Zugriff verweigert hat. Dies kann zum Beispiel passieren, wenn die Remotemaschine mit IIS über "net use" authentifiziert und gescannt wird. Da die "net use"-Verbindung keine Autorisierung für die IIS-Administration umfasst, schlagen die entsprechenden Aufrufe fehl. Zusätzliche Informationen hierzu finden Sie im Abschnitt "Systemanforderungen" der Datei readme.html (wurde zusammen mit dem MBSA installiert) oder in der MBSA-Hilfedatei (eine Verknüpfung finden Sie im linken Bereich des MBSA). Beachten Sie, dass die IIS 6.0-Common-Files für einen Remotescan eines Servers mit IIS 6.0. auf der lokalen Maschine vorhanden sein müssen.

Bei Windows XP-Maschinen, die die einfache Dateifreigabe nutzen, zeigt der MBSA keine lokalen Konten mit leeren Kennwörtern an (dies gilt für Windows XP Home Edition und Windows XP Professional, die keiner Domäne angehören). Bei diesen Maschinen ist standardmäßig keine Anmeldung über das Netzwerk mit Konten mit leeren Passwörtern möglich (dies gilt für alle Anmeldeaktivitäten außer der Anmeldung direkt am Computer selbst).

Ja. Der MBSA ersetzt den MPSA. Er enthält alle früheren MPSA-Tests und führt zusätzliche Anwendungstests (z. B. IIS und SQL) durch. Außerdem kann er zum Scannen von Servern und Arbeitsstationen verwendet werden. Dies ist sowohl lokal als auch über das Netzwerk möglich.

Der MBSA V1.2.1 stellt über die Kommandozeilenschnittstelle (mbsacli.exe) sämtliche Schalter von HFNetChk zur Verfügung. Er kann nun Tests im MBSA-Stil und im HFNetChk-Stil durchführen.

Benutzer, die sich mit dem eigenständigen Tool HFNetChk auskennen, können den MBSA V1.2.1 verwenden, um die gleichen Scans durchzuführen. Die Kommandozeilenschnittstelle des MBSA V1.2.1 verfügt über einen Schalter (/hf), über den ein Scan im HFNetChk-Stil durchgeführt werden kann. Benutzer können "mbsacli.exe /hf" gefolgt von einem gültigen HFNetChk-Schalter aufrufen. Benutzer, die hfnetchk.exe in Scripten verwenden, können diesen Aufruf einfach durch "mbsacli.exe /hf" gefolgt von einem gültige HFNetChk-Schalter ersetzen.

Der MBSA umfasst die gesamte Funktionalität von HFNetChk. HFNetChk prüft nur auf Sicherheitsupdates und Servicepacks. Der MBSA bietet über eine einfach zu nutzende Schnittstelle zusätzliche Funktionalitäten. Dies schließt z. B. die Prüfung von Windows-Arbeitsstationen und -Servern auf häufige Fehlkonfigurationen im Sicherheitsbereich ein. Es wird unter anderem die Passwortqualität geprüft, IIS- und SQL-Server werden auf Sicherheitsfehlkonfigurationen getestet und Microsoft Office und der Internet Explorer werden auf falsch konfigurierte Sicherheitszonen geprüft.

Sie können eine signierte deutsche mssecure.xml-Datei über die folgende Microsoft-Website herunterladen: http://go.microsoft.com/fwlink/?LinkId=18121. Speichern Sie diese Datei im MBSA Installationsordner.

Lokalisierte mssecure.cab-Dateien finden Sie unter:

Wenn der Download der CAB-Datei fehlschlägt, versuchen alte Versionen des MBSA eine unkomprimierte XML-Datei von der folgenden Webseite herunterzuladen: http://www.microsoft.com/technet/security/search/mssecure.xml. Die aktuelleren Versionen des MBSA (V1.1.1 und höher) versuchen ausschließlich die signierte CAB-Datei über das Download Center herunterzuladen - sie unternehmen keinen anderen Versuch. Durch dieses Vorgehen wird verhindert, dass Kunden eine veraltete XML-Datei verwenden.

Der Scan nach Updates für Microsoft Office-Produkte erfordert eine andere Vorgehensweise:

Anmerkung: Wenn Sie die Dateien manuell herunterladen, sollten Sie dies regelmäßig durchführen. So stellen Sie sicher, dass Sie über die aktuellsten Dateien verfügen. Bei neuen Security Bulletins oder deren Aktualisierung werden diese von Microsoft erneuert.

Microsoft unterstützt die Verwendung der Datei mssecure.xml nur dann, wenn sie mit dem MBSA oder dem SMS Feature Pack zusammen verwendet wird. Wenn dies für neue Features von MBSA und SMS notwendig wird, nimmt Microsoft möglicherweise Änderungen am Schema der Datei vor. Das Schema wird daher nicht dokumentiert.

Der MBSA lädt die mssecure.cab-Datei herunter, die der Sprachversion der Maschine entspricht, die gescannt werden soll. Wenn zum Beispiel eine Remotemaschine mit einer japanischen Windows-Version gescannt wird, versucht der MBSA die japanische mssecure.cab-Datei herunterzuladen. Wenn die lokalisierte Datei nicht zur Verfügung steht, verwenden alle MBSA-Versionen die englische Dateiversion. Dateien zu Sicherheitsupdates werden in der Sprache der mssecure.cab-Datei angezeigt. Wenn zum Beispiel ein deutsche MBSA auf einem französischen Rechner ausgeführt wird und eine französische Maschine gescannt wird, dann werden die Ergebnisse in Deutsch angezeigt. Dies gilt allerdings nicht für Informationen, die vom gescannten System zur Verfügung gestellt werden (zum Beispiel Daten oder Dateinamen).

Sie finden die erforderlichen Dienste im Abschnitt "Systemanforderungen" der Datei readme.html (wurde zusammen mit dem MBSA installiert) oder in der MBSA-Hilfedatei (eine Verknüpfung finden Sie im linken Bereich des MBSA). Das Herunterladen der mssecure.cab-Datei wird über HTTP durchgeführt. Scans werden über die TCP-Ports 139 und 445 ausgeführt. In Umgebungen mit mehreren Domänen, in denen zwei Netzwerke durch Router oder Firewalls getrennt sind, müssen die TCP-Ports 139 und 445 und die UDP-Ports 137 und 138 geöffnet werden. Ansonsten kann der MBSA keine Verbindung erstellen und eine Authentifizierung mit der Remotemaschine durchführen.

Der MBSA V1.2.1 bietet die Möglichkeit, einen Scan der Sicherheitsupdates gegen einen lokalen SUS-Server durchzuführen. Ein solcher Scan kann über die Benutzeroberfläche oder die Kommandozeile angestoßen werden. Alle Sicherheitsupdates, die auf dem SUS-Server als "freigegeben" markiert sind (auch die Updates, die zusammengefasst wurden), werden durch den MBSA gescannt. Weitere Informationen zu SUS finden Sie unter http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp (englischsprachig).

Das SMS 2.0 Software Update Services Feature Pack bietet Unternehmenskunden eine Lösung zur Verwaltung von Sicherheitspatches für Windows NT 4.0, Windows 2000 und Windows XP Clients. Das Feature Pack verwendet die MBSA-Technologie, um ständig automatisch Clientcomputer auf installierte und anwendbare Sicherheitsupdates zu scannen. Die gewonnen Daten werden für den Systems Management Server konvertiert und dort als Inventurberichte angezeigt. Sie können von einem zentralen Punkt aus über webbasierte Berichte abgerufen werden. Administratoren können die aktuellsten Windows-Updates zur Verteilung über den Systems Management Server direkt bei Microsoft auswählen. Weitere Informationen finden Sie unter http://www.microsoft.com/smserver/evaluation/overview/featurepacks/default.asp (für SMS 2.0) oder http://www.microsoft.com/smserver/evaluation/capabilities/patch.asp (für SMS 2003). Wenn Sie einen SMS-Server für die Sicherheitsscans verwenden, müssen Sie kein Upgrade auf MBSA 1.2.1 durchführen, da in Bezug auf die Logik des Sicherheitsscans keine Unterschiede zwischen MBSA 1.2 und MBSA 1.2.1 vorliegen.

Der MBSA akzeptiert NetBIOS-Computer- und -Domänennamen - jedoch keine DNS-Computer- oder -Domänennamen. NetBIOS-Domänennamen und -Computernamen müssen das folgende Format verwenden: domäne\computername oder arbeitsgruppe\computername.

Der MBSA (GUI- und Kommandozeilenversion) kann bis zu 10.000 Maschinen gleichzeitig scannen. Wenn eine Domäne oder ein Netzwerk mit mehr als 10.000 Maschinen gescannt wird, werden mehrere Scans für je 10.000 Maschinen durchgeführt. Wenn mbsacli.exe mit der Option -fh (NetBIOS-Namen werden über eine Textdatei angegeben) oder dem Schalter -fip (Textdatei mit IP-Adressen) verwendet wird, liegt das Maximum bei 256 Namen oder IP-Adressen.

Ja, das Tool wird vom Microsoft-Support (PSS) unterstützt. Benutzer können technische Fragen auch direkt in der öffentlichen MBSA-Newsgroup stellen. News-Server: msnews.microsoft.comNewsgroup: microsoft.public.security.baseline_analyzer

Es steht eine öffentliche Newsgroup zur Verfügung:News-Server: msnews.microsoft.comNewsgroup: microsoft.public.security.baseline_analyzer