MBSA 2.1 よく寄せられる質問

Microsoft Baseline Security Analyzer (MBSA) 2.1 は、中小規模のシステムや環境でマイクロソフトが推奨するセキュリティ設定に従いながら、各コンピュータのセキュリティ状態の確認、特定の改善策やガイダンスの入手に役立てるため、容易に使用できるツールです。MBSA を使用すると、コンピュータの一般的なセキュリティ上の誤った構成および不足しているセキュリティ更新プログラムが検出され、セキュリティ管理プロセスが強化されます。

MBSA 2.1 は Microsoft Update および Windows Server Update Services (WSUS) のサーバーでインストールした最新の Windows Update エージェント (WUA) のクライアント向けに完全なサポートを提供します。MBSA 2.1 は Windows Vista および Windows Server 2008 向けに、更新されたグラフィカル インターフェイス、64-bit 版インストーラ、MBSA ツールおよび脆弱性評価 (VA) チェックのサポートを提供します。また、SQL Server 2005 および Windows XP Embedded プラットフォーム用の VA チェックも改善、更新されました。

MBSA 2.0.1 の更新版である MBSA 2.1 は、完全な Windows Update エージェントのサポートを提供し、「コンピュータに旧バージョンのクライアントおよびセキュリティのデータ ベースが含まれています…」の警告を解決、Windows Vista および Windows Server 2008 のプラットフォーム向けスキャンの完全なサポート、さらに Windows Embedded プラットフォーム向けのサポートも改善されました。

MBSA 2.0 は、マイクロソフトの他の更新のテクノロジよりもさらに、幅広くセキュリティの構成を確認します。 さらに、MBSA 2.1 は対象となるコンピュータのセキュリティ更新プログラムの適用状況を確認するために、Microsoft Update (MU)、Windows Server Update Services (WSUS)、SMS Inventory Tool for Microsoft Updates (ITMU) および System Center Configuration Manager (SCCM) 2007 と連動して使用するように設計されています。MBSA 2.1 は一般的な Windows Update エージェント (WUA) インフラストラクチャも使用しているため、その他のツールとの一貫性を提供します。

いいえ。MBSA 1.2.1 と 2.0 は、脆弱性評価 (VA) のチェックでは同じ製品をサポートしています。セキュリティ更新プログラムの検出では、MBSA は、Microsoft Update がサポートする全ての製品をサポートします。しかしながら、Microsoft Update には、まだ追加されていない製品がいくつかあります。そのため、これらの製品に関しては検出できません。検出できない製品は、Office 2000 および多様なコンシューマ用アプリケーション、サポートを既に終了した Windows NT 4.0 などです。マイクロソフトは、お客様が主に Windows 2000 以降、Office XP 以降、Exchange 2000 以降 および SQL 2000 SP4 以降のバージョンを利用している場合は、MBSA 2.1 に移行することを推奨します。将来的には、マイクロソフトの全製品が、Microsoft Update を通じてサポートされる予定です。MBSA の最新バージョンは、それらを自動的にサポートします。MBSA 1.2.1 はサポートを終了したため、今後新しい製品は追加されません。サポートされているバージョンの MBSA については、MBSA の Web サイト を参照して下さい。

MBSA 2.1 は様々なマイクロソフト製品に不足しているセキュリティ更新プログラムのスキャンだけでなく、管理的な脆弱性についてもスキャンします。 管理的な脆弱性に対するスキャンは、Windows 2000、Windows XP、Windows Server 2003、Microsoft Internet Information Services (IIS) 5.0, 5.1 および 6.0、Microsoft Internet Explorer 5.01, 5.5 および 6.0 (Internet Explorer 6.0 for Windows XP SP2 および Internet Explorer 6.0 for Windows Server 2003 を含む)、Microsoft SQL Server 7.0、SQL Server 2000 および SQL Server 2005、Microsoft Office 2000、Office XP および Office 2003 でサポートされています。

セキュリティ更新プログラムのスキャンは Microsoft Update カタログに基づいています。不足しているセキュリティ更新プログラムについて MBSA 2.1 が確認できる製品については、WSUS のサポートする製品 (英語情報) を参照して下さい。新しい検出の仕組みは Microsoft Update を介して提供されるため、製品の一覧は時間とともに変更されます。

注: MBSA はスキャンされたコンピュータにインストールされていない製品については、セキュリティ更新プログラムの確認を行わず、これらをスキャン結果に表示しません。

MBSA は WSUS で管理しているクライアントを検出し、WSUS の管理者が許可している正しい更新プログラムだけを提供します。 また、MBSA では、管理者が構成をできるため、グラフィカルおよびコマンド ラインでセキュリティ更新プログラムを評価する場合に Microsoft Update の Web サイトを使用しません。MBSA の完全なスキャン レポートには、wsusscn2.cab ファイルを使用している WSUS サーバー、Microsoft Update ライブの Web サイトまたは Microsoft Update (オフライン) など、どのソースでセキュリティの状態を評価したかが含まれます。また各更新プログラムに適したダウンロード先も提供します。

MBSA は、Microsoft Update でセキュリティ更新プログラム、更新プログラムのロールアップまたは Service Pack として公開する更新プログラムをすべてスキャンできます。まれに、セキュリティに関する問題で例外があります。マイクロソフトは、これらの更新プログラムを次のように定義しています。

セキュリティ更新プログラム- 製品のセキュリティに関連する脆弱性に対し広範にリリースされる修正プログラム。セキュリティ上の脆弱性はその深刻度に基づき評価されます。マイクロソフト セキュリティ情報では、この深刻度を「緊急」、「重要」、「警告」、または「注意」と評価しています。

更新プログラムのロールアップ - 修正プログラム、セキュリティ更新プログラム、重要な更新プログラムおよび簡単に適用するためにパッケージ化された更新プログラムにテストが実施された累積的なセット。一般的に、ロールアップは、セキュリティまたは Internet Information Services (IIS) などの製品のコンポーネントのような特定のエリアを対象とします。

Service Pack - 製品のリリース以降、社内で確認された問題に対する別の修正プログラムと同様に、すべての修正プログラム、セキュリティ更新プログラム、重要な更新プログラムおよびテストをした更新プログラムの累積的なセット。Service Pack にはユーザーから要望のあったデザイン変更や機能が含まれる場合もあります。

スキャンされたコンピュータに修正プログラムをインストールしている場合、マイクロソフトが決定したファイルのバージョンに基づき検出が確認されます。マイクロソフトがより最新のバージョンのファイルを安全でないと判断した場合 (この場合、更新プログラムはレポートで提供されます) を除き、通常は予定しているバージョンよりも新しいバージョンのファイルは受け付けられます。

注: 悪意のあるソフトウェアの削除ツールのような更新プログラムは特定のセキュリティ問題に関連しているため、MBSA で提供されます。このツールは更新プログラムのロールアップに分類されます。

Microsoft Update は、インターネットと、Microsoft Update Web サイトに接続可能な各コンピュータをスキャンし、不足している、または必要な更新プログラムを提示し、それらをまとめてインストールできます。MBSA は、企業環境内の複数のコンピュータに不足している、または必要な更新プログラムを一度ずつ、またはリモートでスキャンします。この場合、対象のコンピュータがインターネットや Microsoft Update の Web サイトへアクセス可能かどうかについては関係ありません。MBSA は、コンピュータの構成を Microsoft Update 向けに設定できるため、Windows および Microsoft Update をご利用のお客様が別のマイクロソフト製品をより簡単に更新できます。それは、MBSA がこの構成タスクを実施した場合に、スキャンの機能が強化され、対象のコンピュータの自動更新で Microsoft Update からの通知を受け取れるからです。自動更新で更新プログラムのダウンロードとインストールを有効にしていれば、Windows Update からの自動更新で、強化されたセキュリティが提供されます。MBSA は更新プログラムをインストールしません。更新プログラムをスキャンするだけですが、Microsoft Update を更新プログラムの管理に使用するようにコンピュータを構成する機能が含まれています。

注: Microsoft Update は「重要な更新」および「追加で選択できる更新プログラム」など、セキュリティ以外の更新プログラムもユーザーに提供します。MBSA は、これらのセキュリティ以外の更新プログラムを提供しません。

SMS 2003 Service Pack 1 および SCCM 2007 のすべてのバージョンをはじめ、SMS および SCCM に含まれている総合的なツールは、Windows Update エージェントに直接アクセスしてセキュリティ更新プログラムをスキャンします。そのため現在は MBSA でスキャンを行いません。SMS のセキュリティ スキャンは MBSA を使用しなくなりましたが、SMS 2003、SCCM 2007、WSUS Server、SBS Server および MBSA に導入している Microsoft Update の技術が使用されています。

MBSA は、Update Services サーバーに割り当てられている各コンピュータのセキュリティ更新プログラムのスキャンおよび Update Services サーバーを持たないお客様のためのスタンドアロン スキャンの実行をサポートします。 管理者は MBSA で、Update Services が許可しているセキュリティ更新プログラムを特にスキャンするか無視するか選択できます。既定でセキュリティ スキャンは Update Services サーバーの許可しているセキュリティ更新プログラムおよび Microsoft Update カタログで利用可能なセキュリティ更新プログラムの完全な一覧について実行されます。 Update Services サーバーで許可されていない更新プログラムは情報のスコアのみが提供され、累積的なセキュリティ評価のスコアをカウントされません。許可されている更新プログラムで対象となるコンピュータにインストールされていないものについては、適切な警告が提供され、セキュリティのリスクであると考えられます。

MBSA は対象のコンピュータに Update Services サーバーが含まれていない場合にエラーを報告するような、詳細な Update Services オプションを提供しているので、ヘルプデスクで明確に特定できます。コマンド プロンプトでは、/wa (WSUS が許可) オプションで提供されます。

MBSA は 4 種類の言語 (英語、ドイツ語、フランス語および日本語) にローカライズされています。基本的な更新プログラムの検出では、Microsoft Update および Windows Server Update Service 技術を使用して、対象のコンピュータを、サポートされるすべての言語で正確にスキャンします。

直接ではありませんが、このファイルは Windows Update エージェントが提供した Windows アプリケーション プログラミング インターフェイス (API) と連動して使用される場合にサポートされます。API はこのファイルをマイクロソフトからの有効なデジタル署名でのみ受け取り、それを使用して指定されたコンピュータのスキャンを実行します。詳細は、 Windows Server Update Services Software Development Kit (SDK) (英語情報) をご覧下さい。

エンド ユーザーが MBSA EULA (使用許諾契約書) に同意する必要があります。これは、MBSA がサード パーティのソリューションに組み込まれ、別の方法で配布されるのを防ぎます。

Product Support Services (PSS) および Customer Support Services (CSS) は、最新のバージョンの MBSA のみをサポートしています。

クライアントは、オフラインのカタログ (wsusscn2.cab) 同様、オンライン ソース (Microsoft Update または割り当てられた Update Services サーバー) を使用してスキャンできるため、レポートには「カタログの同期日」が含まれます。 オフラインのカタログが使用される場合、レポートにカタログが生成された時間を表示し、最新のカタログが使用されているかどうか判断するために使用できます。オフライン カタログのバージョンを確認するには、次の手順に従って下さい。

ステップ 1: ファイルがない場合、http://go.microsoft.com/fwlink/?LinkId=76054 からダウンロードし、それを C:\Documents and Settings\<username>\Local Settings\Application Data\Microsoft\MBSA\2.1\Cache\wsusscn2.cab に保存します。どのフォルダを使用しても構いませんが、これは MBSA がダウンロード後にファイルを保存する場所になります。

ステップ 2: アーカイブ ファイルの種類 *.cab を表示可能なプログラムを使用してC:\Documents and Settings\<username>\Local Settings\Application Data\Microsoft\MBSA\2.1\Cache\wsusscn2.cab を開きます。

ステップ 3: wsusscn2.cab ファイルから package.cab を開き、次に その中の package.xml ファイルを開きます

ステップ 4: CreationDate に関して、OfflineSyncPackage ヘッダー内容を表示します。これは "2005-06-01T18:42:49Z" (例) などの値に設定する必要があります。マイクロソフトがファイルを生成した時間を確認するために使用します。

MBSA の最新バージョンは 2.1 で、これは About Microsoft Baseline Security Analyzer のリンクの画面またはコマンドラインのインターフェイスで実行した場合、2.1.2102.0 とも表示されます。新しいバージョンの MBSA がリリースされる場合、MBSA は新しいバージョンの MBSA が利用可能であることを画面およびコマンドラインのインターフェイスで自動的にレポートします。コマンドラインのインターフェイスでは、/nvc のオプションでこのチェックを無効にできます。

MBSA は Windows 2000 Service Pack 4 以降のバージョン、Windows XP Home Edition、Windows XP Professional、Windows Server 2003、Windows Vista および Windows Server 2008 でインストール、実行およびスキャンできますが、いくつか注意が必要です。MBSA を Windows XP Home Edition にインストールし、ローカル スキャンすることはできますが、Windows XP Home Edition で実行しているコンピュータの管理上の脆弱性をリモート スキャンすることはできません。 ドメインに属している場合、Windows XP Professional をリモートでスキャンできます。ドメインに属していない場合、Windows XP Professional を実行しているコンピュータは、ローカル セキュリティ設定が [クラシック - ローカルユーザーがローカルユーザーとして認証する] に設定され、簡易ファイルの共有が無効にされた後にのみ、リモートでスキャンされます。

MBSA は Windows XP Embedded および Windows IA64 のプラットフォームでは動作しませんが、これらのプラットフォームに対するリモート スキャンは完全にサポートされています。このバージョンで必要な Windows Update エージェントがサポートされていないため、MBSA は Windows 2000 Datacenter をサポートしていません。

クラスタ化された SQL Server の構成は、ローカルでの管理上の脆弱性のスキャンをサポートしています。リモート スキャンの特定の制限については、MBSA のヘルプに記載されています。セキュリティ更新プログラムのスキャンは Windows Update エージェントを使用します。

MBSA の旧バージョンでは、対象のコンピュータで自動的に最新の Windows Update エージェントのインストールを試行しました。 MBSA 2.1 では、既定の構成は管理者が [Microsoft Update とスキャンの前提条件に対してコンピュータを構成する] を選択しない限り、すべての更新された WUA はインストールされません。 この機能を有効にしない限り、スキャンされたコンピュータに必要な WUA クライアントが存在しません。そのため下記の一覧にある警告が増加します。しかし、既定で管理者の同意なく対象のコンピュータを変更することができなくなります。セキュリティ スキャンの実行に必要な WUA エージェントが存在しない、または必要なバージョンよりも前のバージョンである場合、MBSA の完全なスキャン レポートには以下のエラー通知のいずれかが含まれます。

または

いいえ。Windows Update エージェントは Windows のプラットフォームの中心となる部分で、セキュリティの点からも重要です。これにより Update Services サーバーまたは Microsoft Update から必要に応じて更新プログラムの入手ができます。自動更新が構成されていて Windows 2000 SP3 以降のバージョンを実行し、インターネットに接続しているすべてのコンピュータ、または、Microsoft Update にアクセスしている場合は、自動的に最新バージョンの WUA クライアントに更新されます。

統合化された Windows Update エージェントにより各クライアントの接続がより安全になります。クライアント ベースのアプローチは、マルウェア、ウイルス、安全性が低いスキャン ツールによるクライアント アクセスを阻止します。確実に最新のセキュリティ更新プログラムを決定するには、MBSA に適宜、最新の Windows Update エージェントをインストールさせることです。MBSA で、[Microsoft Update とスキャンの前提条件に対してコンピュータを構成する] のオプションまたはコマンド ラインのインターフェイスの /ia オプションを使用し、この Windows のコンポーネントを自動で展開できます。

いいえ。MBSA 2.0 が WSUS サーバーで管理されているコンピュータをスキャンする場合、更新プログラムの状況を自動的にレポートします。そのレポートには WSUS が許可した更新プログラム用の管理者設定が含まれています。

必要なサービスは、MBSA ヘルプ ファイルをご覧下さい。(MBSA のユーザー インターフェイスの左のウィンドウにリンクされています)。これらの要件には、リモート レジストリ サービス、Server サービス、Workstation サービス、ファイルおよび印刷共有サービスおよび自動更新サービスが含まれます。wsusscn2.cab ファイルはマイクロソフトの Web サイトから、各 Internet Explorer の設定に基づき HTTP ベースでダウンロードされます。リモート コンピュータのスキャンは TCP ポート 135, 139 および 445 で実行されます。2 種類のネットワークをファイアウォールまたはフィルタリングのルータが分割している環境では、TCP ポート 135, 139、445 および、UDP ポート 137、138 は、MBSA がスキャンされているリモート コンピュータへ接続および認証するために、開かれている必要があります。

MBSA は簡易ファイル共有を使用し Windows XP を実行するコンピュータ (Windows XP Home Edition を実行しているコンピュータ、ドメインに属さず、簡易ファイル共有を有効にしている Windows XP Professional を実行しているコンピュータを含む) では、パスワードを入力していないユーザー アカウントにフラグを付けません。既定では、これらのコンピュータはネットワーク上でパスワードのないアカウントにリモートでログオンすること、またはその他のログオンの実行 (主要なコンソール ログオン画面でのログオン実行は除く) を許可しません。

はい。この表では各プラットフォームに対するサポート状況について説明しています。プラットフォームによっては、このバージョンで制限付きでサポートしています。各プロセッサの種類向けの Windows 製品の入手の可能性に加え、Windows 2000 SP4 は最低限の要件です。

* Windows XP Embedded Edition または Itanium-based (IA64) を実行しているコンピュータをスキャンする場合、管理者は適切な WUA クライアントを手動でインストールまたは構成する必要があります。

はい。Microsoft Update は Office 2000 をサポートしていません。そのため MBSA は Office 2000 製品用のセキュリティ更新プログラムのスキャンを行いません。また、MBSA および Microsoft Update は管理インストール ポイント (AIP) からの Office のインストールをサポートしません。AIP については、サポート技術情報 903773 : 「Microsoft Update または Windows Server Update Services を使用した場合、Microsoft Office の更新プログラムが表示されない」で、詳細をご覧下さい。

いいえ。最新バージョンの MBSA 2.x は別のフォルダにインストールされ、MBSA 1.2.1 と同時に実行できます。 MBSA 1.2.1 と MBSA 2.0 の機能の変更を確認した後、[プログラムの追加と削除] を使用して MBSA 1.2.1 をアンインストールできます。マイクロソフトは MBSA 1.2.1 を削除する前に、サポート技術情報 895660 を確認し、各環境での製品の完全な対象範囲を確認することを推奨します。

MBSA はダウンロードを実行するために Internet Explorer の設定を使用します。この設定を構成するには、Internet Explorer のインターネット オプションのページを使用して下さい。

Internet Explorer でプロキシ設定を構成するために、次の手順に従って下さい。

スキャンを行う場合、mbsacli のコマンド ライン ユーティリティを、nd (ダウンロードしない) パラメータ付きで使用するか、GUI を使用してスキャンできます。スキャンの実行前に、スキャンを行うコンピュータに必要なファイルをコピーして下さい。必要なファイルは 3 種類です。

マイクロソフトの Web サイトからファイルをダウンロードしたら、上述のファイルをすべてセキュリティ更新プログラムのスキャンを実行するコンピュータの次のフォルダにコピーします: C:\Documents and Settings\<ユーザー名>\Local Settings\Application Data\Microsoft\MBSA\2.1\Cache

重要: MBSA が各ファイルの最新バージョンに確実にアクセスさせるために、毎週またはマイクロソフトのセキュリティ情報のリリース後に、これらのファイルをダウンロードします。マイクロソフトでは新しいセキュリティ情報の公開またはセキュリティ情報を更新すると、このファイルの更新版をリリースするため、特にセキュリティ更新プログラムのカタログ (Wsusscn2.cab) は重要です。 MBSA を実行してリモート コンピュータでセキュリティ更新プログラムの確認をする場合、MBSA はリモート コンピュータに Windows Update エージェントを適用します。Itanium-based のコンピュータで ia64 バージョンの Windows Update エージェント (WindowsUpdateAgent30-ia64.exe) を利用できますが、MBSA はこのバージョンを自動で適用しません。Itanium-based のコンピュータでは、セキュリティ スキャンの前にインストールおよび構成を行う必要があります。

MBSA がコンピュータとの通信に使用するポートを開くようにファイアウォールが構成されていない限り、ファイアウォールの保護によりリモート コンピュータのスキャンはできません。Windows Update エージェントは DCOM ベースのインターフェイスのリモート スキャンを実装しています。スキャンに使用するアカウントには、ローカルの管理者権限が必要です。また、コンピュータの構成は次の条件を満たす必要があります。

リモート コンピュータのスキャンは TCP ポート 135、動的または静的な DCOM ポート、ポート 139 および 445 を使用して実行されます。ファイアウォールまたはフィルタリング ルータが 2 種類のネットワークを分割している環境では、MBSA がスキャンしているリモート コンピュータへの接続および認証を行うために、TCP ポート 135、139、445 および UDP ポート 137、139 が開かれている必要があります。パーソナル ファイアウォールを使用している場合、これらのポートがリモートのファイアウォールで開くことを許可する必要があります。

注: すべてのバージョンの Windows XP の Windows ファイアウォールのリモート スキャンで DCOM を使用するには、サポート技術情報 895200 「Windows XP COM+ 修正プログラム ロールアップ パッケージ 9」で説明されているように、SP2 以降の修正プログラムが必要な場合があります。お客様は、これらのプロセスで使用するために、COM+ 更新プログラム (サポート技術情報 908620) をインストールして、この修正プログラムを入手することが必要な場合があります。

ステップ 2: 管理されていないコンピュータを設定する

DCOM は既定で動的ポートを割り当てますが、以下の手順を使用してそれらのポートが明示的に開かれない場合、ファイアウォールがそれらのポートへのアクセスをブロックします。

ステップ 3: 管理されたコンピュータを設定する

グループ ポリシー を使用して、対象のコンピュータに特定の管理的なファイア ウォールおよび COM+ の構成を展開します。「グループ ポリシーを使用して Windows ファイアウォールの設定を展開する」のセクションの Microsoft Windows XP Service Pack 2 向け Windows ファイアウォール設定の導入で説明しているように、グループ ポリシーのエディタを使用して必要な構成を作成します。

Windows ファイアウォールの設定: 以下の Windows ファイアウォールの設定を使用します。

Using the Windows Firewall INF File in Microsoft Windows XP Service Pack 2 (英語情報) の「Enabling Remote Administration」および「Adding Static Ports to Windows Firewall’s Default Exceptions List」のセクションで Windows ファイアウォール用の管理テンプレートで利用できる構成の詳細を説明しています。

COM+ の構成: Windows Update エージェント用の COM+ のエンドポイントのレジストリ設定は、スタートアップ スクリプトの一部として構成できます。スタートアップ スクリプトの割り当て方法に関するガイダンスは、コンピュータ スタートアップ スクリプトを割り当てるで説明しています。スクリプトには次のコマンドが含まれる必要があります。 HKEY_LOCAL_MACHINE\Software\Classes\AppID\{B366DEBE-645B-43A5-B865-DDD82C345492}\Endpoints REG_MULTI_SZ “ncacn_ip_tcp,0,n” (n は使用を決定したポート番号です)

スキャンが既定で使用するのはクライアントに割り当てられた Update Service サーバー (もしある場合は Microsoft Update カタログ) です。結果を比較し、許可されない Update Service の更新プログラムについてはレポートに情報スコア (青い星) が与えられます。このため、MBSA は、Update Services サーバーの有無に関わらず、各更新プログラム用の設定について最善策のガイダンスをレポートできます。

セキュリティ監査役は、詳細オプションで、スキャンに許可された更新プログラムの Update Services の一覧を使用しない、または Update Services の管理者が、スキャンに Microsoft Update 一覧の利用可能な更新プログラムを使用しないことを選択でき、許可された更新プログラムのセットのみに焦点をあてることができます。

管理者が Microsoft Update で利用可能な更新プログラムの一覧をスキャンに使用しないと選択する場合、Update Services サーバーのないクライアントはスキャンされず、エラーが返され、正しいセットの管理された更新プログラムを取得していない可能性があると示されます。

特定のクライアントに対する最初のスキャンは通常よりも長くかかりますが、その後は Microsoft Update および WUA が構成されているので早く終わります。後続のスキャンでは、クライアントがサーバーからカタログを同期した時期と同じく、Microsoft Update のサイトまたは Update Services サーバーへの接続スピードによりパフォーマンスが変わります。インストールされている製品の数や種類もパフォーマンスに影響します。パフォーマンスはさまざまですので、必ずコンピュータのハードウェア設定やサーバー設定に基づくタイミングを確認して下さい。

注: 各種の管理上の脆弱性をスキャンする場合 (特に弱いパスワードを確認する場合)、時間がかかる可能性があります。

異なるコンピュータを同時にスキャンするために MBSA 2.0 の複数のコピーを実行していない限り、MBSA のスキャンは平行して行われません。Mbsacli.exe は、新しい /listfile (コンピュータ名または IP アドレスの一覧) パラメータで使用され、コンピュータ名または IP アドレスを含むテキスト ファイルに記載されているコンピュータをスキャンできます。このファイルの最大サイズは 100 MB です。スクリプト (MBSA のダウンロード パッケージでは提供されません) を使用して、管理者はこのテキスト ファイルを Update Services サーバー対象グループまたは Active Directory から処理できます。

MBSA は初期のスキャン時またはマイクロソフトの Web サイトでファイルが変更された時に Wsusscn2.cab ファイルをダウンロードします。MBSA によるインターネットの動作状況は、MBSA ヘルプで説明しているコマンド ツールの /nvc (ツールのバージョンのチェックなし)、/catalog (オフライン カタログ ファイル) および /nd (ダウンロードしない) パラメータを使用して、ダウンロードを行わないように指定できます。

注: MBSA が、これらのファイルの最新バージョンに確実にアクセスするには、毎週またはマイクロソフトのセキュリティ情報のリリース後、ファイルをダウンロードする必要があります。これはセキュリティ更新プログラムのカタログ (Wsusscn2.cab) について特に重要です。それは、マイクロソフトが新しいセキュリティ情報の公開、またはセキュリティ情報の更新に伴い、このファイルの更新バージョンが常にリリースされるからです。

以前の MBSA の検出エンジンは Windows Update エージェントに置き換わり、完全に MBSA スタイルのスキャンに統合されました。MBSA の以前のバージョンの /HF モードのスキャンに慣れているユーザーについては、/xmlout (xml data) パラメータを使用することにより Mbsacli.exe および Wusscan.dll のみを必要とする軽量のソリューションが提供されます。このパラメータは XML 形式でコンソールに基本的な出力を提供し、迅速に、また簡単に別のソリューションと統合されます。この出力には /HF モードおよびその他のすべてのデータ要素が含まれます。

/HF パラメータは、更新された MBSA の機能に置き換わりますが、管理上の脆弱性を含まないローカルのセキュリティ更新プログラムのスキャンは最小限の MBSA のファイルで実行できます。

ローカルのセキュリティ更新プログラムのスキャンを実行するために、MBSACLI.EXE および WUSSCAN.DLL のファイルを MBSA の完全なインストールからローカルのコンピュータの新しいディレクトリにコピーします。また、最新版のセキュリティ更新プログラムのカタログ (Wsusscan2.cab) のファイルをダウンロードし、C:\Documents and Settings\<ユーザー名>\Local Settings\Application Data\Microsoft\MBSA\2.0\Cache のディレクトリに置いて下さい。

MBSA 2.0 を使用して対象のコンピュータを初めてスキャンする場合、またはローカルのコンピュータの WUA クライアントが最新のバージョンに更新されていることを確認したい場合、承認のカタログおよび最新の Windows Update エージェントのインストーラのファイルを同じ C:\Documents and Settings\ユーザー名\Local Settings\Application Data\Microsoft\MBSA\2.0\Cache ディレクトリに置く必要があります。

/XMLOUT スイッチを使用すると、このモードでスキャンの結果が表示されます。また、MBSA のコマンド ライン機能のサブセットだけが、このモード ("MBSA lite") で利用できます。

/xmlout のパラメータを使用している場合、明示的に XML の出力を標準コンソールのリダイレクトで使用しているファイルにリダイレクトする必要があります。また、MBSA の完全なレポート ファイルと異なる形式を確認するため、XML の結果は MBSA とは別に処理する必要があります。 このパラメータが優れている点は、一台のコンピュータで更新プログラムを確認するだけの場合、MBSA 2.0 の完全なインストール パッケージを回避することです。最低限のコンピュータの要件が満たされていれば、必要なのは、上記のエンジン ファイルだけです。

はい。MBSA 2.1 は Windows の x86、x64 および ia64 プラットフォームのセキュリティ更新プログラムのスキャンを完全にサポートします。MBSA 2.1 は x86、x64 プラットフォームの脆弱性評価 （VA） をサポートします。

はい。Windows Update エージェントが存在していれば (Windows XP Embedded のすべてのバージョンが WUA クライアントをサポートする訳ではありません) MBSA 2.0 はセキュリティ更新プログラムについて Windows XP Embedded をリモートでスキャンします。Windows XP Embedded をスキャンする時に、一般的なセキュリティ上の誤った構成のスキャンもサポートします。セキュリティ更新プログラムのスキャンおよび管理上の脆弱性の確認機能の具体的な説明およびこれらのプラットフォームの制限については、MBSA ヘルプをご覧下さい。

注: すべての MBSA のシステム要件を満たす必要があるため、コンピュータの製造元またはシステム管理者にお問い合わせ下さい。MBSA のヘルプ ファイルの一覧にあるように、これらの要件には、ワークステーション、サーバー サービス、リモート レジストリ サービス、ファイル サービスと印刷サービス、そして最新の WUA クライアントが含まれています。

イベント ログに書き込まれる現行の監査メッセージに加え、MBSA が使用する新しいリモート インストーラに基づき追加のイベントが書き込まれ、対象のコンピュータがWindows Update エージェントまたは Microsoft Update を使用してスキャンするように構成されます。以下はイベントの例です。

Event Type:Information
Event Source:MBSA
Event Category:None
Event ID:1
Date:3/12/2005
Time:1:33:44 PM
User:domain\username
Computer:computer
Description:
Security analysis complete.
Scanned from nnn.nnn.n.n.
Microsoft Baseline Security Analyzer version 2.1.nnnn.0.

For more information, see Help and Support Center at 
http://go.microsoft.com/fwlink/events.asp

スキャンを実行する前にカタログ ファイルをローカル コンピュータにコピーし、ローカル パスをファイルに配置する必要があります。

MBSA コマンド ライン ツール (Mbsacli.exe) を使用してローカル コンピュータをスキャンする場合、Universal Naming Convention (UNC) パスまたは /catalog (オフライン カタログ ファイル) パラメータに対する引数としてマップされたネットワーク ドライブを使用することはできません。

有効なコマンド例:

Mbsacli.exe /catalog wsusscn2.cab (現在のディレクトリ)
Mbsacli.exe /catalog c:\catalogs\wsusscn2.cab (完全修飾パス)
Mbsacli.exe /catalog \folder\wsusscn2.cab (相対パス)

いくつかのチェックは失敗したまたは危険である可能性のある評価ではなく、最善策の評価を返します。これらのチェックは入念に検討する必要のあるチェックについての修正方法およびガイダンスへのリンクを提供します。この例には次のチェックが含まれます。

未完了の更新プログラムのチェックは、少なくとも 1 つのサポートされた更新プログラムが再起動が必要である状態である場合、黄色のアイコン (危険である可能性がある) をレポートするだけです。古いバージョンのインストーラ、完全なチェックにパッケージされ、このため渡される評価が提供されないため、確認できない状態であるその他の更新プログラムも存在する可能性もあるためです。

Windows ファイアウォールのチェックは、ファイアウォールが例外なく有効である場合のみ、緑色のアイコン (チェックに合格した評価) をレポートします。すべてのその他の構成は、例外ポリシーがコンピュータの管理者により安全であると判断されている場合、設定の詳細を公開する手段として青いアイコンをレポートします。

2 つの SQL Server チェック (サービス アカウントおよび Sysadmin ロール メンバ) は常に青色のアイコンをレポートします。この理由はチェックに合格した評価は SQL Server 2000 の MSDE または WMSDE デリバティブを再配布する製品についてのサポート ポリシー内でない場合があるためです。MSDE または WMSDE を使用する製品のみが構成のセキュリティにアクセスできます。

最大深刻度は、マイクロソフトが公開するセキュリティ情報の最大深刻度と一致します。特定のセキュリティ情報について、異なる深刻度を持ついくつかの影響を受ける製品がある場合があります。最大深刻度は、セキュリティ情報で最も高い深刻度を持つ影響を受ける製品に関連する深刻度を表します。

この値により、管理者は更新プログラムの危険性および展開の緊急性に優先順位をつけることができます。ダウンロード アイテムにより、セキュリティ問題に対する修正を含む更新プログラムのパッケージに直接アクセスできるようになります。レポートによりリンクされたこの更新プログラムのパッケージは、スキャンされたコンピュータの構成に基づき必要とされる実際のソフトウェアの更新プログラムです。別のコンピュータについてのレポートを検討する場合、更新プログラムのパッケージはレポート ビューアを実行しているコンピュータにおいては適切でない場合がありますので、更新プログラムのパッケージをダウンロードする際に注意が必要です。

この値 (例: 2005-02-22T02:58:07Z) はオフライン カタログのファイルが Microsoft Update のカタログから生成された日付と時間を示しています。この値は、オフライン カタログがスキャンに使用された時にレポートに含まれます。/catalog (オフラインのカタログ ファイル) コマンド ライン パラメータを使用することにより、この値はすべてのレポートに利用でき、MBSA の以前のバージョンのこのフィールドを使用していたお客様について、ある時点に基づくレポートのさらに正確な比較が可能となります。オフライン カタログが更新され、古いオフライン カタログに基づくレポートを表示している場合、レポート ビューアはこのような値を含むリマインダを提供します。例は次の通りです。

*** A new security update catalog is available. Please scan again to check for the latest security updates published 2004-12-02T10:49:03Z ***

このメッセージは Microsoft Update または Update Services サーバーがスキャンに使用されている場合、表示されませんが、すべてのレポートは日数を提供し、次のようになります。(2005 年 3 月 31 日に表示された場合)

Scan date:3/30/2005 2:49 PM*** This report is 1 day old. ***

これはインストールされているアダプタのバインド順により、起こることがあります。アダプタのバインド順およびインストールされているアダプタの数の両方がこれに影響を及ぼす可能性があります。スキャンされたコンピュータを一貫して識別するために、特に IP アドレスが動的ホスト構成プロトコル (DHCP) により割り当てられている場合、コンピュータ名を使用することを推奨します。

はい、これは Windows Small Business Server 製品の既知の問題です。これは SBS Backup User が少なくとも 1 回バックアップ タスクにより使用されている場合表示される可能性があり、また同じユーザー アカウントが少なくとも 1 回コンソールで対話的にログインされるまで表示され続けます。

はい。更新されたサンプルは Microsoft ダウンロード センター (英語情報) で入手できます。 Microsoft Office Visio 2007 Connector for MBSA 2.1 もダウンロードすることを推奨します。これはスクリプトのサンプルで提供されたものよりもさらに多くの機能を提供するでしょう。

Mbsacli.exe を使用する場合、テキスト出力は既定で提供されます。これは /qt (自動テキスト出力) パラメータを使用して中断することができます。また、これは /ld (レポートの詳細を表示する) オプションにより提供される出力と同じです。

レポートのセキュリティ更新プログラムのセクションに記載されている更新プログラムは新しい更新プログラムにより置き換えられていないアイテムを示しています。マイクロソフトがリリースした多くの更新プログラムは累積的で、以前の修正を含んでいます。このため、追加のレベルの保護も提供されている場合が一般的です。以前の更新プログラムからの修正で、現在インストールされている更新プログラムに含まれているものはセキュリティ情報または更新プログラムの fixlist から入手できます。また、更新プログラムをインストールする場合、レポートのこのセクションを使用して、更新プログラムのインストールが完了 (コンピュータの再起動の必要性も含む) したら、再度コンピュータをスキャンすることにより、更新プログラムがインストールされたことを確認することができます。

いいえ、MBSA で使用されるチェックおよび評価は変更できません。しかし、スクリプトを使用して、監視またはレポートの対象としなくてもよいアイテムをフィルタすることはできます。

これらの評価はセキュリティ情報で確認された事項に関連する危険性に優先順位をつけ、管理する手助けとなります。結果の詳細を使用して、セキュリティ更新プログラムのチェックについての追加情報のリンクが、MBSA の各レポートの下の部分に提供されます。こちらの Microsoft Web サイトで、各評価の詳細およびそれらをどのように環境に適用するかに関する詳細をご覧ください。

MBSA は、脆弱性がスキャンされたコンピュータで確認されたかどうかにより、レポートの評価欄に異なるアイコンを表示します。MBSA により実行されるチェックの種類には 2 つの明確な種類があります。それは管理上の脆弱性のチェックとセキュリティ更新プログラムのチェックです。

管理上の脆弱性のチェックについて、重要なチェックが失敗した場合 (例: 空白のパスワードを持つユーザーがいる)、赤色の X が使用されます。重要以外のチェックが失敗した場合 (例: 無期限のパスワードを持つアカウントがある)、黄色の X が使用されます。チェックに合格すると (つまり、特定のチェックについて何の問題も確認されなかった場合)、緑色のチェックマークが使用されます。青色のアスタリスクが最善策のチェック （例: 監査が有効であるかどうかチェック） に使用され、青色のアスタリスクの情報のアイコンはスキャンされているコンピュータに関する情報 (例: スキャンされているコンピュータのオペレーティング システムのバージョン) を提供するチェックに使用されます。

セキュリティ更新プログラムのチェックについて、MBSA がスキャンされているコンピュータでセキュリティ更新プログラムが不足していることを確認した場合、赤色の X が使用されます。黄色の X が警告メッセージに使用され (例: コンピュータに最新の Service Pack または更新プログラムのロールアップが適用されていない)、青色の星印が、Update Service サーバーで許可されていないため、更新プログラムがコンピュータで利用できないことを示す情報メッセージについて使用されます。評価は変更できません。またシステム構成のチェックに再割り当てすることはできません。

いくつかの更新プログラムは、Windows が現在使用しているファイルを置き換えるもので、Windows が再起動されるまで完全にインストールされません。自動更新、Windows Update または Microsoft Update を使用してインストールされた更新プログラムは MBSA のレポートでこの状態を示します。部分的にインストールされた更新プログラムは、再起動が必要であるため、インストールされていないとレポートされます。さらに、再起動するまで完全に適用されない更新プログラムも完了したスキャン レポートの「管理上の脆弱性」のセクションに示されています。この管理上の脆弱性チェックは更新プログラムに特有ではありませんが、製品の更新時や更新プログラムが再起動を要求した際にコンピュータを再起動しない場合についての潜在的な危険を反映しています。MBSA のヘルプには、インストーラのこのバージョンでパッケージされている場合、更新プログラムのパッケージを精査し、確認するために使用できる説明書が含まれています。

同じセキュリティ情報で提供される複数の製品用の更新プログラムは、レポートのサマリの問題のコラムに別の製品のファミリとして示されます。セキュリティ情報に記載されている各製品固有の種類には通常、異なるサポート技術情報の番号がありますが、同じ製品のカテゴリ内に複数の更新プログラムがある場合もあります。

たとえば、セキュリティ情報が Windows Media Player と SQL Server の両方に該当する場合、レポートの概要は 2 つの別の問題を表示し、2 つの別の結果の詳細情報が表示されます。この例では、各アイテムは同じセキュリティ情報の番号を持ち、更新プログラムのタイトルの標準の名前付け規則はサポート技術情報の番号を含み、説明の欄はその問題についてのサポート技術情報の Web ページにリンクします。

別の例は、Windows Messenger や Windows Media Player (どちらも Windows のコンポーネントです) のように同じファミリに複数の製品が存在する場合です。この例では、レポートの同じ結果の詳細情報のセクションに個々の更新プログラムが提示されますが、同じセキュリティ情報の番号を共有します。製品固有のサポート技術情報の番号が必要な場合、レポートは XML 表示プログラム (メモ帳または Internet Explorer など) で表示でき、KBID の属性はサポート技術情報の番号を含みます。

最後の例は、Micorosft Update のリリース直後、追加の番号が公開された更新プログラムとともに MBSA 2.0 のレポートに含まれる予定です。これはセキュリティ情報により解決される個々の脆弱性 (通常、実際のセキュリティ情報に記載されているように "CAN-..." または "CVE-... という形式で示されています) に直接関連するものです。MBSA 2.0 の新しいバージョンは必要でなく、リリースされる更新プログラムとともに公開される新しいデータのみが必要となります。

いいえ、結果は Windows Update エージェントから MBSA に戻された順番でレポートに保存されます。レポートは Excel にエクスポートして並べ替えるか、またはスクリプトにより処理を行い、外部のアプリケーションに特定の順番を示すことはできますが、MBSA のこのバージョンはレポートでユーザーが構成した並べ替えをサポートしません。

MBSA はセキュリティ関連の最善策についてレポートします。Windows 悪意のあるソフトウェアの削除ツールは、累積的な毎月リリースされる更新プログラムで、セキュリティ情報で提供した更新プログラムがコンピュータに適用された後でも残されている可能性のある既知の悪意のあるソフトウェアの残りの部分を排除します。このツールを定期的に実行しないと、悪質なファイルまたは設定がコンピュータに存在する可能性があります。

Microsoft Update に公開されるいくつかの更新プログラムにはリンクのないものもありますが、ほとんどの場合、セキュリティ情報のリンクにより、ユーザーは必要な情報にアクセスすることができます。

セキュリティ レポートは既定で %userprofile%\SecurityScans に XML 形式の .mbsa ファイルとして保存されます。MBSA 2.1 のリリースでは、完了した MBSA スキャン レポートはコマンド ライン インターフェイスの /rd (レポート ディレクトリ) オプションを使用して別のディレクトリまたはネットワーク共有に配置されます。グラフィカル インターフェイスはこの新しい機能をサポートしません。

リモート スキャンを行うには、Windows Update エージェントの最新バージョンが MBSA を実行しているコンピュータに存在している必要があります。このため、リモートでスキャンを行う前にこれをインストールする必要があります。MBSA にはエージェントを自動でインストールするために使用できる機能が含まれていますが、エージェントは手動でもインストールすることができます。エラー メッセージをレポートしているコンピュータ用のインストーラを次のリンクから適宜マイクロソフト ダウンロード センターから取得してください。

MBSA 2.1 は、以前のバージョン (wsusscan.cab) とは異なるフォーマットのセキュリティ更新プログラムのキャビネット ファイル (wsusscn2.cab) を使用しています。この変更の理由は、サポート技術情報 926464 で説明しています。http://go.microsoft.com/fwlink/?LinkId=76054 をクリックし、新しいオフライン スキャン ファイル wsusscn2.cab をダウンロードする必要があります。ダウンロードした後、C:\Documents and Settings\<ユーザー名>\Local Settings\Application Data\Microsoft\MBSA\2.1\Cache\wsusscn2.cab に保存してください。

MBSA 2.0 および Windows Update エージェント2.0 は Windows 2000 Service Pack 3 以降を必要とします。MBSA により実行されるバージョン チェックはシステム レジストリを使用します。このため、スキャンされるリモート コンピュータでリモート レジストリ サービスが無効にされている場合、このエラーが表示されます。これを修正するためには、リモート レジストリ サービスが対象となるコンピュータで実行されていることを確認してください。

このメッセージは Microsoft Update とスキャンの前提条件に対してコンピュータを構成する オプションが選択され、コンピュータのリモート スキャンを実行する際に、リモート インストーラがウイルス対策またはスパイウェア対策製品によりブロックされている場合に表示される可能性があります。インストールの完了を妨げているソフトウェアを MBSA が対象となるコンピュータを更新できるよう、構成することができます。または FAQ の「MBSA はインターネットからダウンロードしたファイルを使用しますが、ネットワークのスキャンに使用しようと思っているコンピュータにはインターネットにアクセスできません。MBSA をオフラインおよび安全な環境で使用するにはどうすればよいですか?」に記載されている説明を使用して手動でコンピュータを更新することができます。

このエラーはいくつかの理由により表示される場合があります。

MBSA を実行しているコンピュータのプロキシ設定をチェックし、割り当てられた WSUS サーバーがネットワークでアクセス可能であることを確認してください。

各スキャンの前に、Microsoft Update オフライン カタログ (wsusscan.cab) をダウンロードする場合、ダウンロードされたファイルは、使用される前に有効なマイクロソフトのデジタル署名についてチェックされます。ファイルが不足している場合、またはデジタル署名が確認できない場合、これらのエラーが発生する場合があります。

このエラー メッセージを回避するためには、スキャンを実行するために MBSA を実行しているすべての Windows 2000 コンピュータに更新プログラム (サポート技術情報 835732 を参照してください) をインストールすることを推奨します。

Microsoft ISA 2000 Server などのプロキシ サーバーを使用している場合で、そのプロキシ サーバーが Microsoft Update サイトへの匿名アクセスを許可するポリシーを含まない場合もこのエラーが表示される場合があります。これに対する解決策をサポート技術情報 885819 に説明しています。

この問題の別の原因として、Internet Explorer がオフライン モード (オフライン作業) に設定されている可能性があります。MBSA は IE がオンライン モードであるか、またはすべてのプロキシ サーバーを正常に通過して wsusscn2.cab ファイルを取得できる必要があります。インターネット接続がない場合、オフライン モードまたはセキュリティで保護されたモードで wsusscn2.cab ファイルを使用するにあたり、この「よく寄せられる質問」で説明しているように、必要なカタログおよび認証ファイルを取得するステップを行う必要がある場合もあります。

また、スキャン中のコンピュータと対象のコンピュータの両方に最新の WUA クライアントがあることを確認してください。これは次の場所で入手することもできます。