MBSA 2.1 – często zadawane pytania
Zawartość strony
 | Ogólne |
| Wymagania systemowe |
| Konfiguracja początkowa |
| Skanowanie |
| Raportowanie |
| Jak naprawiać typowe błędy? |
O ile nie zaznaczono inaczej, wszystkie odwołania do MBSA 2.0 na stronach TechNet dotyczących MBSA odnoszą się również do MBSA 2.1.
Ogólne
Czym jest MBSA 2.1?
Microsoft Baseline Security Analyzer (MBSA) jest łatwym w użyciu narzędziem, które pomaga małym i średnim firmom w określeniu stanu zabezpieczeń zgodnie z zaleceniami bezpieczeństwa firmy Microsoft oraz oferuje konkretne wskazówki naprawcze. Można poprawić proces zarządzania zabezpieczeniami, wykorzystując MBSA do wykrywania typowych błędów w konfiguracjach zabezpieczeń i brakujących aktualizacji zabezpieczeń we własnych systemach komputerowych.
Jakie nowe funkcje są zawarte w MBSA 2.1?
MBSA 2.1 zapewnia pełną obsługę najnowszych klientów Windows Update Agent (WUA) instalowanych przez serwery Microsoft Update i Windows Server Update Services (WSUS). MBSA 2.1 zapewnia również uaktualniony interfejs graficzny dla systemów Windows Vista i Windows Server 2008, w pełni 64-bitowy instalator, obsługę sprawdzania oceny zagrożeń oraz poprawione i zaktualizowane sprawdzenia oceny zagrożeń dla platform SQL Server 2005 oraz Windows XP Embedded.
Dlaczego należy uaktualnić wersję programu do MBSA 2.1?
Wersja MBSA 2.1 jest uaktualnieniem z wersji MBSA 2.0.1 zapewniającym pełną obsługę klienta Windows Update Agent likwidującą ostrzeżenia przed starszą wersją klienta i bazy danych zabezpieczeń, zapewniającym pełną obsługę skanowania dla platform Windows Vista i Windows Server 2008 oraz zapewniającym ulepszoną obsługę platformy Windows Embedded. MBSA 2.1 dokonuje również dwóch ważnych zmian funkcjonalnych wprowadzonych na podstawie zgłoszeń użytkowników:
• Z wiersza polecenia klienci mogą teraz zapisywać gotowe raporty ze skanowania przez MBSA w określonym katalogu lub udziale sieciowym, korzystając z opcji /rd w poleceniu mbsacli. Pozwoli to administratorom pisać skrypty wykorzystujące MBSA i zapisujące gotowe raporty ze skanowania w określonym udziale sieciowym, co pomoże w konsolidowaniu raportów ze skanowania przez MBSA.
• Zarówno w wierszu polecenia jak i w interfejsie graficznym MBSA nie będzie już automatycznie aktualizować klienta Windows Update Agent (WUA) na maszynach docelowych skanowanych przez MBSA. Administratorzy będą teraz musieli wybrać opcję „Configure computers for Microsoft Update and scanning prerequisites" (Konfiguruj komputery dla wymagań Microsoft Update i skanowania), aby zainstalować najnowszego agenta WUA na każdej skanowanej maszynie. Instalacja automatyczna była ustawieniem domyślnym we wcześniejszych wersjach MBSA. Nowe ustawienie domyślne (które wyłącza automatyczne aktualizowanie klientów) może powodować zwiększenie nieudanych skanowań w wypadku klientów, którzy wymagają nowszego klienta WUA, ale zapewnia administratorom, że skanowanie przez MBSA nie zainstaluje żadnych poprawionych ani zaktualizowanych plików na maszynach docelowych. Interfejs wiersza polecenia zawiera nową opcję /ia do celowego włączania aktualizacji automatycznych klienta WUA. Zastępuje to poprzednią opcję /nai wyłączającą aktualizację automatyczną klienta WUA – co było domyślnym zachowaniem we wcześniejszych wersjach MBSA.
W jaki sposób narzędzie MBSA 2.1 jest związane z innymi technologiami Microsoft Update?
MBSA 2.0 oferuje rozszerzone sprawdzenia konfiguracji zabezpieczeń wykraczające poza inne technologie aktualizacyjne firmy Microsoft. Co więcej, program MBSA 2.1 zaprojektowany został do używania w połączeniu z narzędziami Microsoft Update (MU), Windows Server Update Services (WSUS), SMS Inventory Tool for Microsoft Updates (ITMU) oraz System Center Configuration Manager (SCCM) 2007 w celu audytu i sprawdzania stanu aktualizacji maszyny docelowej. MBSA 2.1 oferuje zgodność z innymi narzędziami, ponieważ również wykorzystuje wspólną infrastrukturę Windows Update Agent (WUA).
Czy MBSA 2.1 obsługuje te same produkty co MBSA 1.2.1?
Nie. Jeśli chodzi o sprawdzenia oceny zagrożeń, MBSA 1.2.1 i 2.0 obsługują te same produkty. Jeśli chodzi o wykrywanie aktualizacji zabezpieczeń, MBSA obsługuje wszystkie produkty obsługiwane przez usługę Microsoft Update, która jest oficjalnym źródłem wszystkich aktualizacji zabezpieczeń dla wszystkich produktów wspieranych przez Microsoft Update. Niektóre produkty nie zostały jeszcze dodane do Microsoft Update i dlatego ich aktualizacje nie są jeszcze dostępne. Obejmuje to Office 2000 i różne aplikacje konsumenckie, a również produkty, które nie są już wspierane, takie jak Windows NT 4. Microsoft zaleca, aby klienci, którzy mają głównie środowiska Windows 2000+, Office XP+, Exchange 2000+ i SQL 2000 SP4+, uaktualnili oprogramowanie do wersji MBSA 2.1. W przyszłości wszystkie produkty firmy Microsoft będą obsługiwane poprzez Microsoft Update i najnowsza wersja MBSA będzie je obsługiwać automatycznie. Żadne nowe produkty nie będą dodawane do MBSA 1.2.1, ponieważ wersja ta nie jest już wspierana. Więcej informacji na temat wspieranych wersji MBSA można znaleźć na stronie głównej MBSA.
Jakie systemy operacyjne i aplikacje są skanowane przez MBSA?
MBSA 2.1 wyszukuje zagrożenia administracyjne, a także brakujące aktualizacje zabezpieczeń dla wielu produktów firmy Microsoft. Skanowanie w poszukiwaniu zagrożeń administracyjnych jest obsługiwane dla Windows 2000; Windows XP; Windows Server 2003; Microsoft Internet Information Services (IIS) 5.0, 5.1 i 6.0; Microsoft Internet Explorer 5.01, 5.5 i 6.0 (w tym Internet Explorer 6.0 dla Windows XP SP2 i Internet Explorer 6.0 dla Windows Server 2003); Microsoft SQL Server 7.0, SQL Server 2000 i SQL Server 2005; oraz Microsoft Office 2000, Office XP i Office 2003.
Skanowanie w poszukiwaniu aktualizacji zabezpieczeń jest oparte na katalogu Microsoft Update. Aby przeglądać produkty, dla których MBSA 2.1 może wyszukiwać brakujące aktualizacje zabezpieczeń, należy zajrzeć na stronę Produkty obsługiwane przez WSUS. Ta lista produktów będzie się zmieniać w przyszłości, gdy poprzez Microsoft Update opublikowana zostanie nowa logika wykrywania.
Uwaga: W wypadku produktów, które nie są zainstalowane na skanowanym komputerze, MBSA nie wykonuje sprawdzeń aktualizacji zabezpieczeń dla tych produktów i nie wymienia ich w tabeli wyników skanowania aktualizacji zabezpieczeń w raporcie.
Jak można zapewnić, aby klienci zarządzani przez WSUS z oprogramowaniem MBSA nie mogli odwiedzać witryny Microsoft Update i instalować aktualizacji, które nie zostały zatwierdzone?
MBSA wykryje klienta zarządzanego przez WSUS i poprawnie zaoferuje tylko te aktualizacje, które zostały zatwierdzone przez administratora WSUS. MBSA pozwala też administratorowi skonfigurować MBSA w taki sposób, że witryna Microsoft Update nie będzie używana do sprawdzania aktualizacji zabezpieczeń w wersji graficznej i wiersza polecenia. Gotowy raport ze skanowania przez MBSA będzie zawierał informacje, które źródła zostały użyte do oceny stanu zabezpieczeń – WSUS Server, witryna Microsoft Update albo Microsoft Update (offline) z użyciem pliku wsusscn2.cab – a także poda miejsce pobrania każdej z aktualizacji.
Jakiego typu aktualizacje obsługuje MBSA?
Korzystając z MBSA, można sprawdzić stan dowolnej aktualizacji opublikowanej w witrynie Microsoft Update, na przykład aktualizacji zabezpieczeń lub pakietu serwisowego. W rzadkich sytuacjach może istnieć wyjątek dla specyficznego problemu mającego wpływ na bezpieczeństwo. Aktualizacje te zostały zdefiniowane przez firmę Microsoft następująco:
Aktualizacja zabezpieczeń (Security update) – szeroko dostępna poprawka dla zagrożenia związanego z zabezpieczeniami i specyficznego dla określonego produktu. Zagrożenia bezpieczeństwa są oceniane w oparciu o znaczenie, które jest określane w biuletynach zabezpieczeń firmy Microsoft jako krytyczne, ważne, umiarkowane lub niskie.
Zbiór aktualizacji (Update rollup) – przetestowany, skumulowany zestaw poprawek, aktualizacji zabezpieczeń i innych aktualizacji spakowanych razem w celu łatwiejszego wdrożenia. Zbiór zwykle dotyczy określonego obszaru takiego jak bezpieczeństwo lub składnika produktu, na przykład usługi Internet Information Services (IIS).
Pakiet serwisowy (Service pack) – przetestowany, skumulowany zestaw wszystkich poprawek, aktualizacji zabezpieczeń i innych aktualizacji oraz dodatkowych poprawek odkrytych wewnętrznie od wydania produktu. Pakiety serwisowe mogą również zawierać ograniczoną liczbę zmian lub funkcji wprowadzonych na życzenie klientów.
Jeśli na skanowanym komputerze są zainstalowane korporacyjne poprawki, to podczas procesu wykrywania aktualizacje te zostaną uwzględnione w oparciu o wersje plików określone przez firmę Microsoft. Zazwyczaj pliki z wersją nowszą niż oczekiwana zostaną zachowane, o ile firma Microsoft nie ustaliła, że plik z wyższą wersją nie jest bezpieczny, wtedy w raporcie zostanie zaproponowana aktualizacja.
Uwaga: Aktualizacje takie jak Narzędzie do usuwania złośliwego oprogramowania będą oferowane przez MBSA z powodu powiązania ich z pewnymi problemami zabezpieczeń. To narzędzie zostało zaklasyfikowane jako zbiór aktualizacji.
Jaka jest różnica pomiędzy MBSA a Microsoft Update?
Microsoft Update jest witryną WWW, która może skanować pojedynczy komputer i wskazywać brakujące/potrzebne aktualizacje oraz instalować je grupowo, o ile komputer jest połączony z Internetem i może dostać się do witryny Microsoft Update. MBSA umożliwia jednoczesne skanowanie wielu komputerów w poszukiwaniu brakujących/potrzebnych aktualizacji poprzez skanowanie zdalne, niezależnie od tego, czy komputery docelowe mają dostęp do Internetu i witryny Microsoft Update. Pozwalając na konfigurowanie komputerów dla Microsoft Update, MBSA pomaga klientom korzystającym z Windows i Microsoft Update dokonywać łatwiej aktualizacji innych produktów firmy Microsoft. Dzieje się tak dlatego, że podczas wykonywania tego zadania konfiguracyjnego przez MBSA wydajność skanowania jest lepsza a funkcja Automatyczne aktualizowanie na komputerze docelowym otrzyma powiadomienia z witryny Microsoft Update. Jeśli funkcja Automatyczne aktualizowanie została skonfigurowana na pobieranie i instalowanie aktualizacji, to przeniesienie aktualizacji automatycznych z witryny Windows Update do Microsoft Update zwiększy bezpieczeństwo. MBSA nie wykonuje instalacji aktualizacji, jedynie skanuje komputer w poszukiwaniu aktualizacji i ma możliwość skonfigurowania komputera na wykorzystanie witryny Microsoft Update do zarządzania aktualizacjami.
Uwaga: Witryna Microsoft Update również oferuje użytkownikom aktualizacje niezwiązane z zabezpieczeniami jako „Aktualizacje krytyczne” i „Aktualizacje opcjonalne”. Te aktualizacje niezwiązane z zabezpieczeniami nie są oferowane przez MBSA.
W jaki sposób MBSA współpracuje z Systems Management Server (SMS) i System Center Configuration Manager (SCCM) 2007?
Poczynając od SMS 2003 Service Pack 1 i we wszystkich wersjach SCCM 2007, SMS oraz SCCM wbudowano zintegrowane narzędzie dające bezpośredni dostęp do klienta Windows Update Agent w celu skanowania w poszukiwaniu aktualizacji zabezpieczeń i nie wykorzystują one do skanowania narzędzia MBSA. SMS nie korzysta już z MBSA do wykonywania skanowania zabezpieczeń, ale wykorzystuje technologie Microsoft Update używane przez SMS 2003, SCCM 2007, WSUS Server, SBS Server i MBSA.
W jaki sposób MBSA współpracuje z Windows Server Update Services (WSUS)?
MBSA zapewnia wsparcie dla wykonywania części skanowania związanej z aktualizacjami zabezpieczeń za pośrednictwem serwera Update Services, do którego przypisany jest skanowany komputer, a także dla wykonywania skanowania autonomicznego w przypadku klientów bez serwera Update Services. Chociaż administratorzy mogą w MBSA wybrać opcje ignorujące lub ograniczające się wyłącznie do listy aktualizacji zaaprobowanej przez Update Services, domyślnie skanowanie zabezpieczeń jest wykonywane na podstawie listy zatwierdzonych aktualizacji zabezpieczeń na serwerze Update Services oraz na podstawie pełnej listy dostępnych aktualizacji zabezpieczeń dostępnych w katalogu Microsoft Update. Elementy niezatwierdzone na serwerze Update Services dla skanowanego komputera dostają tylko ocenę informacyjną i nie są liczone w skumulowanym wyniku oceny zabezpieczeń. Elementy zatwierdzone, ale niezainstalowane na komputerze docelowym otrzymują odpowiednie ostrzeżenie i są uważane za zagrożenia bezpieczeństwa.
MBSA zapewnia opcję Advanced Update Services pozwalającą komputerom docelowym, które nie mają przypisanego serwera Update Services, zgłaszać błąd tak, aby mogły być jasno identyfikowane przez helpdesk. W wierszu polecenia jest to dostępne poprzez opcję /wa.
Jakie języki są obsługiwane przez MBSA?
Narzędzie MBSA jest zlokalizowane w czterech językach: angielskim, niemieckim, francuskim i japońskim. Wewnętrzne wykrywanie aktualizacji będzie dokładnie skanować komputery docelowe w dowolnym języku obsługiwanym przez technologie Microsoft Update i Windows Server Update Services.
Czy są jakieś ograniczenia sposobu, w jaki można wykorzystać katalog wykrywania MBSA (WSUSSCN2.CAB) przez narzędzia niepochodzące z firmy Microsoft?
Nie w sposób bezpośredni, ale ten plik jest obsługiwany, gdy jest używany w połączeniu z publicznym interfejsem programowania aplikacji Windows (API) udostępnianym przez moduł Windows Update Agent. Interfejs API przyjmuje ten plik tylko z prawidłowym podpisem cyfrowym z firmy Microsoft i wykorzystuje go do wykonywania skanowania określonego komputera. Po szczegóły należy zwrócić się do dokumentacji Windows Server Update Services Software Development Kit (SDK).
Czy istnieją jakieś ograniczenia, w jaki sposób MBSA można integrować z innymi produktami firm trzecich?
Umowa licencyjna MBSA EULA musi być przyjęta przez klienta końcowego, co uniemożliwia integrowanie MBSA wewnątrz rozwiązań firm trzecich lub redystrybucję w inny sposób.
Jakie wersje MBSA są wspierane?
Tylko najnowsza wersja MBSA jest wspierana przez pomoc techniczną Product Support Services (PSS) i Customer Support Services (CSS).
Jak sprawdzić, czy mam aktualny plik wsusscn2.cab do użytku offline w bezpiecznym środowisku?
Ponieważ klienci mogą być skanowani przy użyciu źródła online (witryny Microsoft Update lub przypisanego serwera Update Services) oprócz katalogu offline (wsusscn2.cab), raport może zawierać określony nagłówek o nazwie „Catalog synchronization date" (Data synchronizacji katalogu). Jeśli używany był katalog offline, to godzina wygenerowania tego katalogu jest wyświetlana w raporcie i może być zastosowana do określenia, czy użyty został najnowszy katalog. Aby sprawdzić wersję katalogu offline, należy:
Krok 1: Jeśli nie
masz tego pliku, pobierz go z http://go.microsoft.com/fwlink/?LinkId=76054 i zapisz w C:\Documents and Settings\<nazwaużytkownika>\Local
Settings\Application Data\Microsoft\MBSA\2.0\Cache\wsusscn2.cab.
Możesz skorzystać z dowolnego foldera, ale w tym miejscu MBSA zapisze
ten plik po pobraniu go przez MBSA.
Krok 2: Otwórz C:\Documents
and Settings\<nazwaużytkownika>\Local Settings\Application Data\Microsoft\MBSA\2.0\Cache\wsusscn2.cab,
korzystając z dowolnego programu będącego w stanie przeglądać typ plików archiwów
*.cab.
Krok 3: Otwórz package.cab
z pliku wsusscn2.cab, a następnie plik package.xml.
Krok 4: Przejrzyj
element nagłówkowy OfflineSyncPackage dla CreationDate. Powinien być ustawiony na wartość taką, jak „2005-06-01T18:42:49Z"
(przykładowo). Użyj znalezionej wartości do określenia, kiedy ten plik był wygenerowany
przez Microsoft.
Jaka jest bieżąca wersja MBSA i jak ją zidentyfikować?
Najnowszą wersją MBSA jest wersja 2.1, która jest też określana jako 2.1.2104.0 w łączu About Microsoft Baseline Security Analyzer w interfejsie graficznym lub gdy uruchomimy program w interfejsie wiersza polecenia. Jeśli wydana zostanie nowsza wersja MBSA, program ten automatycznie poinformuje w interfejsach graficznym i wiersza polecenia, że nowsza wersja MBSA jest dostępna. W interfejsie wiersza polecenia to sprawdzenie może być wyłączone przy pomocy opcji /nvc.
Wymagania systemowe
Jakie systemy operacyjne są obsługiwane w MBSA?
MBSA można instalować i uruchamiać w systemie Windows 2000 Service Pack 3 lub nowszym, Windows XP Home Edition, Windows XP Professional, Windows Server 2003, Windows Vista i Windows Server 2008 z kilkoma zastrzeżeniami. Chociaż MBSA można instalować w systemie Windows XP Home Edition i wykonywać lokalne skanowanie, to komputer działający pod kontrolą systemu Windows XP Home Edition nie może być skanowany zdalnie w poszukiwaniu zagrożeń administracyjnych. System Windows XP Professional można skanować zdalnie, jeśli jest dołączony do domeny. Jeśli nie, komputer działający pod kontrolą systemu Windows XP Professional może być skanowany zdalnie tylko po przełączeniu ustawienia zabezpieczeń lokalnych na Classic - local users authenticate as themselves (Klasyczny – uwierzytelnianie użytkowników lokalnych jako samych siebie) a proste udostępnianie plików jest wyłączone.
MBSA nie działa na platformach Windows XP Embedded i Windows IA64, ale zdalne skanowanie tych platform jest w pełni obsługiwane. System Windows 2000 Datacenter nie jest obsługiwany przez MBSA, ponieważ wymagany składnik Windows Update Agent nie jest obsługiwany w tej wersji systemu.
Czy MBSA obsługuje komputery klastrowe w przypadku sprawdzeń zagrożeń administracyjnych oprogramowania SQL Server?
Konfiguracje klastrowe systemu SQL Server są obsługiwane w przypadku lokalnego skanowania w poszukiwaniu zagrożeń administracyjnych, jednakże obecnie w pomocy dla MBSA udokumentowano pewne ograniczenia w skanowaniu zdalnym w wypadku kilku konkretnych testów. Skanowanie w poszukiwaniu aktualizacji zabezpieczeń wykorzystuje moduł Windows Update Agent.
Co się dzieje, jeśli podczas skanowania nie jest wdrożony moduł Windows Update Agent?
Poprzednie wersje MBSA automatycznie próbowały zainstalować najnowszą wersję modułu Windows Update Agent na każdej maszynie docelowej. W wydaniu MBSA 2.1 domyślne ustawienie ma zapobiegać instalacji nowego klienta WUA, o ile opcja „Configure computers for Microsoft Update and scanning prerequisites" nie jest zaznaczona przez administratora. Bez włączenia tej funkcji wymagany klient WUA może nie być obecny na skanowanym komputerze. Może to prowadzić do zwiększonej liczby ostrzeżeń wymienionych poniżej, ale zapewnia, że domyślnie żadne zmiany nie zostaną przeprowadzone na maszynach docelowych bez zgody administratora. Jeśli będzie brakować agenta WUA lub będzie miał on niższą wersję niż wymagana do wykonania skanowania zabezpieczeń, gotowy raport ze skanowania przez MBSA będzie zawierał jeden z następujących błędów:
• „Computer has an older version of the client and security database
demands a newer version" (Komputer ma starszą wersję klienta, a baza danych
zabezpieczeń wymaga nowszej wersji)
Lub
• „Windows Update Agent not found or the computer is not running Windows 2000 SP3 or later" (Nie znaleziono klienta Windows Update Agent lub komputer nie działa pod kontrolą systemu Windows 2000 SP3 lub nowszego)
Jeśli odinstaluję MBSA, czy Windows Update Agent również zostanie odinstalowany?
Nie. Windows Update Agent jest zintegrowaną częścią platformy Windows i ważną częścią zabezpieczeń, która umożliwia uzyskiwanie w razie potrzeby uaktualnień z serwera Update Services lub z witryny Microsoft Update. Wszystkie komputery Windows z połączeniem internetowym, które działają pod kontrolą systemu Windows 2000 SP3 lub nowszego ze skonfigurowanymi aktualizacjami automatycznymi lub które miały dostęp do witryny Microsoft Update, będą automatycznie uaktualniane do najnowszej wersji klienta WUA.
Dlaczego MBSA wymaga agenta klienckiego na komputerze docelowym?
Windows Update Agent jest składnikiem Windows. Składnik ten zapewnia zarządzanie aktualizacjami i jest ściśle zintegrowany z platformą Windows. Wraz z ostatnim zwiększeniem zabezpieczeń zalecane stało się uzyskiwanie dostępu do maszyn przy użyciu dedykowanego klienta obecnego na danej maszynie zamiast pozostawianie klienta otwartego na łatwy dostęp do swojego katalogu głównego i swojego lokalnego rejestru. W wypadku użytkowników z klientami niełączącymi się z Internetem albo serwerem Update Services MBSA można wykorzystać do automatycznego wdrażania tego składnika Windows, korzystając z opcji „Configure computers for Microsoft Update and scanning prerequisites" (Konfiguruj komputery dla wymagań Microsoft Update i skanowania) lub opcji /ia w interfejsie wiersza polecenia.
Czy MBSA wymaga serwera Update Services?
Nie. Ale gdy MBSA 2.0 skanuje komputer, który jest zarządzany przez WSUS Server, automatycznie zgłosi stan uaktualnień obejmujący ustawienia administratora dla aktualizacji zatwierdzonych przez WSUS.
Jakie są usługi i porty wymagane do uruchomienia MBSA?
Wymagane usługi są wymienione w pliku pomocy MBSA (podłączonym z lewej strony okienka interfejsu użytkownika MBSA). Te wymagania obejmują usługę Rejestr zdalny, usługę Serwer, usługę Stacja robocza, usługę Udostępnianie plików i drukarek oraz usługę Automatyczne aktualizowanie. Plik wsusscn2.cab jest pobierany z witryny firmy Microsoft poprzez HTTP na podstawie ustawień programu Internet Explorer. Skanowania komputerów zdalnych są wykonywane z użyciem portów TCP 135, 139 i 445. Tam, gdzie zapora lub router filtrujący oddziela dwie sieci, muszą być otwarte porty TCP 135, 139 i 445 oraz porty UDP 137 i 138, aby program MBSA mógł się łączyć ze zdalnym komputerem, który jest skanowany i uwierzytelniać go.
Dlaczego nie są zaznaczane puste hasła w systemie Windows XP Home Edition?
MBSA nie oznacza kont użytkowników lokalnych z pustymi hasłami w wypadku komputerów działających pod kontrolą Windows XP i korzystających z prostego udostępniania plików (obejmuje to komputery działające pod kontrolą Windows XP Home Edition oraz pod kontrolą Windows XP Professional, które nie są przyłączone do domeny i mają włączone proste udostępnianie plików). Domyślnie te komputery nie pozwalają na zdalne logowanie przez sieć na kontach z pustymi hasłami ani na żadne działania związane z logowaniem, za wyjątkiem ekranu logowania głównej konsoli.
Czy jest jakiś szybki przewodnik wymieniający obsługiwane platformy i sposób ich obsługi przez MBSA 2.0?
Tak, poniższa tabela opisuje obsługę każdej platformy. Niektóre platformy są obsługiwane w sposób ograniczony w tej wersji. Minimalnym wymaganiem jest Windows 2000 SP4, w zależności od dostępności produktów Windows dla każdego typu procesora.
| Platforma | Instalacja: Instalowanie interfejsu użytkownika MBSA | Wdrażanie: Instalowanie WUA i konfigurowanie Windows Update | Skanowanie: Aktualizacje zabezpieczeń | Skanowanie: Zagrożenia administracyjne |
x86 | Obsługiwane | Obsługiwane | Lokalnie i zdalnie | Lokalnie i zdalnie |
x64 | Obsługiwane | Obsługiwane | Lokalnie i zdalnie | Lokalnie i zdalnie |
IA64 | Nieobsługiwane | Ręcznie* | Zdalnie | Nieobsługiwane |
Embedded | Nieobsługiwane | Ręcznie* | Zdalnie | Zdalnie |
Podczas skanowania komputerów działających pod kontrolą Windows XP Embedded lub opartych na platformie Itanium (IA64) administrator musi ręcznie zainstalować i skonfigurować odpowiedniego klienta WUA.
Czy istnieją przypadki, kiedy aktualizacje Office nie będą pojawiać się w raporcie MBSA?
Tak. Pakiet Office 2000 nie jest obsługiwany przez Microsoft Update, więc program MBSA nie zapewni skanowania aktualizacji zabezpieczeń dla produktów Office 2000. Poza tym MBSA i Microsoft Update nie obsługują instalacji Office wykonanych z punktu instalacji administracyjnej (AIP - Administrative Installation Point). Aby uzyskać więcej informacji na temat instalacji z AIP, należy zwrócić się do Artykułu bazy wiedzy 903773, „No Microsoft Office updates are displayed when you use Microsoft Update or Windows Server Update Services" (Żadne aktualizacje dla Microsoft Office nie są wyświetlane, gdy korzysta się z Microsoft Update lub Windows Server Update Services).
Konfiguracja początkowa
Czy trzeba odinstalowywać poprzednią wersję MBSA przed zainstalowaniem MBSA 2.1?
Nie. Najnowsza wersja MBSA 2.x zostanie zainstalowana w osobnym folderze i może być uruchamiana równolegle z MBSA 1.2.1. Po przejrzeniu zmian w funkcjonalności pomiędzy MBSA 1.2.1 a MBSA 2.0 można odinstalować MBSA 1.2.1, korzystając z opcji Dodaj/usuń programy. Przed usunięciem MBSA 1.2.1 zalecamy przejrzenie artykułu bazy wiedzy Microsoft 895660, aby zapewnić pełną obsługę produktów w swoim środowisku.
Jak można korzystać z MBSA w bezpiecznym środowisku, które wymaga uwierzytelniania przez proxy?
MBSA wykorzystuje ustawienia programu Internet Explorer do realizacji pobierania plików. Należy skorzystać ze strony ustawień Opcje internetowe w programie Internet Explorer, aby skonfigurować te ustawienia.
Aby skonfigurować ustawienia proxy w programie Internet Explorer:
1. W programie Internet Explorer kliknij Narzędzia, a następnie Opcje internetowe.
2. Kliknij Połączenia, a następnie Ustawienia sieci LAN.
3. Wykonaj jedno z poniższych działań:
Jeśli sieć jest skonfigurowana na obsługę automatycznego wykrywania serwerów proxy, zaznacz Automatycznie wykryj ustawienia.
Lub
Jeśli sieć nie jest skonfigurowana na obsługę automatycznego wykrywania serwerów proxy, zaznacz opcję Użyj serwera proxy dla sieci LAN, a następnie wpisz nazwę lub adres IP serwera proxy w polu Adres. Jeśli serwer proxy wykorzystuje niestandardowy port, wpisz numer tego portu w polu Port.
MBSA wykorzystuje pliki pobrane z Internetu, ale komputer, którego chcę użyć do skanowania swojej sieci nie ma połączenia z Internetem. Jak można korzystać z MBSA w bezpiecznym środowisku offline?
Można albo wykonywać skanowanie, używając narzędzia wiersza polecenia mbsacli z parametrem / nd (nie pobieraj), albo można wykonywać skanowanie, korzystając z graficznego interfejsu użytkownika. Przed skanowaniem trzeba skopiować potrzebne pliki na komputer wykonujący skanowanie. Wymagane są cztery typy plików:
• katalog aktualizacji zabezpieczeń (wsusscn2.cab), dostępny na witrynie firmy Microsoft
• katalog redystrybucyjny Windows Update (wuredist.cab) dostępny pod adresem http://update.microsoft.com/redist/wuredist.cab
• katalog uwierzytelniania (muauth.cab) dla dostępu do witryny Windows Update dostępny na witrynie firmy Microsoft lub poprzez zbadanie zawartości pliku wuredist.cab znajdującego się pod adresem http://update.microsoft.com/redist/wuredist.cab
• Samodzielne instalatory klienta Windows Update Agent (jeśli nie jest jeszcze zainstalowany):
o W przypadku komputerów opartych na platformie x86 (WindowsUpdateAgent30-x86.exe) lub
o W przypadku komputerów opartych na platformie x64 (WindowsUpdateAgent30-x64.exe) lub
o W przypadku komputerów opartych na platformie ia64 (WindowsUpdateAgent30-ia64.exe) najnowsze wersje są dostępne wewnątrz pliku wuredist.cab dostępnego pod adresem http://update.microsoft.com/redist/wuredist.cab
Po pobraniu tych plików z witryny firmy Microsoft należy skopiować wszystkie wymienione wyżej pliki do następującego folderu na komputerze wykonującym
skanowanie aktualizacji zabezpieczeń:
C:\Documents and Settings\<nazwaużytkownika>\Local Settings\Application Data\Microsoft\MBSA\2.1\Cache
Ważne: Aby zapewnić, że program MBSA będzie miał dostęp do najbardziej aktualnych wersji tych plików, należy pobierać je co tydzień lub po opublikowaniu biuletynów zabezpieczeń przez Microsoft. Jest to szczególnie istotne w przypadku katalogu aktualizacji zabezpieczeń (Wsusscn2.cab), ponieważ firma Microsoft wydaje zaktualizowaną wersję tego pliku, gdy tylko ukazują się nowe biuletyny zabezpieczeń.
Gdy uruchomimy MBSA w celu wykonania sprawdzeń aktualizacji zabezpieczeń na komputerach zdalnych, MBSA wdroży klienta Windows Update Agent na komputerze zdalnym. Chociaż dostępna jest wersja ia64 klienta Windows Update Agent (WindowsUpdateAgent30-ia64.exe) dla komputerów opartych na platformie Itanium, MBSA nie wdraża jej automatycznie. Musi być ona zainstalowana i skonfigurowana na komputerach opartych na platformie Itanium przed wykonaniem skanowania zabezpieczeń na tych komputerach.
Jak można skanować komputer, który jest chroniony przez zaporę?
Krok 1: Przejrzyj wymagania systemowe
MBSA nie może skanować komputera zdalnego chronionego przez zaporę, o ile zapora nie jest skonfigurowana na otwieranie portów, które MBSA wykorzystuje do komunikowania się z tym komputerem. Windows Update Agent implementuje interfejs zdalnego skanowania w oparciu o DCOM. Konto używane do skanowania musi mieć uprawnienia administratora lokalnego. Komputer musi być również skonfigurowany na spełnianie następujących warunków:
• usługa Serwer, usługa Rejestr zdalny oraz usługa Udostępnianie plików i drukarek muszą być uruchomione na komputerze zdalnym.
• wymagane porty muzą być otwarte na zaporze.
• klient Windows Update Agent musi być zainstalowany, a usługa Automatyczne aktualizowanie nie może być wyłączona.
Skanowania komputerów zdalnych są wykonywane z użyciem portu TCP 135, dynamicznego lub statycznego portu DCOM i portów 139 oraz 445. Tam gdzie zapora lub router filtrujący oddziela dwie sieci, muszą być otwarte porty TCP 135, 139 i 445 oraz porty UDP 137 i 138, aby program MBSA mógł się łączyć ze zdalnym komputerem, który jest skanowany i uwierzytelniać go. Trzeba zezwolić na otwieranie tych portów na zdalnej zaporze, jeśli używane jest oprogramowanie zapory osobistej.
Uwaga: Zastosowanie DCOM do skanowania zdalnego przez Windows Firewall na wszystkich wersjach Windows XP może wymagać poprawki wydanej po SP2, jak opisano w artykule bazy wiedzy firmy Microsoft 895200. Klienci mogą teraz uzyskać tą poprawkę, instalując aktualizację COM+ (artykuł bazy wiedzy firmy Microsoft 902400), korzystając z następujących procedur:
1. Pobierz aktualizację z adresu http://www.microsoft.com/downloads/details.aspx?FamilyId=20F79CE7-D4DB-42D7-8E57-58656A3FB2F7 na witrynie Microsoft Download Center.
2. Skopiuj aktualizację na aktualizowany komputer i otwórz wiersz polecenia na tym komputerze.
3. Uruchom aktualizację, korzystając z opcji wiersza polecenia opisanych w artykule bazy wiedzy firmy Microsoft 824994 (konkretnie z opcji wiersza polecenia /B:SP2QFE). Spowoduje to zainstalowanie wszystkich poprawek z pakietu Windows XP COM+ Hotfix Rollup Package 9 oprócz poprawek wydanych w biuletynie zabezpieczeń MS05-051.
Krok 2: Konfigurowanie komputerów niezarządzanych
DCOM alokuje domyślnie port dynamiczny, ale zapora blokuje dostęp do tych portów, o ile nie zostaną jawnie otwarte przy użyciu następującej procedury:
1. Otwórz port 135 i niestandardowy port w swojej zaporze (niektóre zapory mogą domyślnie zezwalać na użycie portu 135). Wybrany port powinien być sprawdzony, aby zapewnić, że jest odpowiedni i niezwiązany z innymi aplikacjami.
2. Skonfiguruj klienta Windows Update Agent na wykorzystanie tego statycznego portu niestandardowego, ustawiając klucz rejestru w następujący sposób: HKEY_LOCAL_MACHINE\Software\Classes \AppID\{B366DEBE-645B-43A5-B865-DDD82C345492}\Endpoints REG_MULTI_SZ “ncacn_ip_tcp,0, n ” (gdzie n jest numerem portu, który postanowiliśmy zastosować). Można również skonfigurować punkt końcowy, korzystając z aplikacji Usługi składowe w Panelu sterowania. Punkt końcowy Windows Update Agent - Remote Access znajduje się pod ścieżką Usługi składowe\Komputery\Mój komputer\Konfiguracja DCOM. Kliknij prawym przyciskiem myszy i wybierz Właściwości, a następnie skorzystaj z karty Punkty końcowe w oknie Właściwości, aby skonfigurować port statyczny.
Krok 3: Konfigurowanie komputerów zarządzanych
Należy skorzystać z zasad grupy do wdrożenia określonych ustawień administracyjnych zapory i COM+ na komputerach docelowych. Można skorzystać z edytora zasad grupy w celu utworzenia potrzebnych ustawień konfiguracyjnych, jak zostało udokumentowane na stronie “Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2”, w części zatytułowanej “Deploying Windows Firewall Settings With Group Policy”.
Ustawienia zapory systemu Windows: Należy użyć następujących ustawień zapory systemu Windows:
• Zapora systemu Windows: zezwalaj na wyjątek administracji zdalnej. Służy do umożliwiania zdalnej konfiguracji przy użyciu narzędzi takich jak Microsoft Management Console (MMC) i Windows Management Instrumentation (WMI).
• Zapora systemu Windows: zezwalaj na wyjątek udostępniania plików i drukarek. Służy do określania, czy dozwolony jest ruch związany z udostępnianiem plików i drukarek.
• Zapora systemu Windows: zdefiniuj wyjątki portów. Służy do określania spodziewanego ruchu w zakresie portów TCP i UDP. W tym kroku definiujemy te same porty, które zaznaczaliśmy dla komputerów niezarządzanych i opisane w kroku dotyczącym wymagań systemowych.
Dodatkowe szczegóły dotyczące ustawień dostępnych w szablonie administracyjnym Windows Firewall zostały zawarte w dokumencie „Using the Windows Firewall INF File in Microsoft Windows XP Service Pack 2” w częściach zatytułowanych "Enabling Remote Administration" oraz „Adding Static Ports to Windows Firewall’s Default Exceptions List”.
Ustawienia COM+: Ustawienia w rejestrze punktu końcowego COM+ dla Windows Update Agent mogą być konfigurowane przez zasady grupy jako część skryptu uruchomieniowego. Wskazówki na temat przypisywania skryptów uruchomieniowych można znaleźć na witrynie firmy Microsoft: http://technet2.microsoft.com/WindowsServer/en/library/65aa4e48-8b1f-42bc-b20f-64f67367dadc1033.mspx?mfr=true. Skrypt musi zawierać następujące polecenie: reg add HKLM\Software\Classes\AppID\{B366DEBE-645B-43A5-B865-DDD82C345492} /v Endpoints /t REG_MULTI_SZ /d ncacn_ip_tcp,0,n /f (gdzie n jest numerem portu, z którego postanowiliśmy skorzystać).
Uwaga: Przy korzystaniu z tej metody trzeba mieć świadomość, że dodatkowe ustawienia szablonu administracyjnego mogą być potrzebne w celu usunięcia tego ustawienia rejestru, gdy ta funkcjonalność nie jest już pożądana.
Skanowanie
Jak działają zaawansowane opcje skanowania Update Services?
Domyślnie skanowanie wykorzystuje serwer Update Services, do którego klient jest ewentualnie przypisany, a także katalog Microsoft Update. Wyniki są porównywane i wszelkie niezatwierdzone aktualizacje przez Update Services są umieszczane jako informacje (z niebieską gwiazdką) w raporcie. Pozwala to programowi MBSA raportować wskazówki dotyczące zalecanych praktyk dotyczących ustawień dla każdej aktualizacji.
Korzystając z opcji zaawansowanych, audytorzy zabezpieczeń mogą rezygnować ze skanowania z użyciem listy Update Services zawierającej zatwierdzone aktualizacje albo administratorzy Update Services mogą rezygnować ze skanowania z użyciem listy Microsoft Update dostępnych aktualizacji i skupić się tylko na zestawie zatwierdzonych aktualizacji.
Jeśli administrator zrezygnuje ze skanowania całej listy dostępnych aktualizacji w witrynie Microsoft Update, klienci bez serwera Update Services nie mogą być skanowani i zwrócą błąd wskazujący, że nie mogą otrzymać poprawnego zestawu aktualizacji zarządzanych.
Jak szybko MBSA może skanować jeden lub więcej komputerów w poszukiwaniu aktualizacji zabezpieczeń?
Chociaż pierwsze skanowanie na określonym kliencie zajmie dłuższy okres czasu niż zwykle, kolejne skanowania będą znacznie szybsze, ponieważ konfiguracje Microsoft Update i WUA zostaną już ustanowione. Przy kolejnych skanowaniach wydajność zależy od szybkości połączenia z witryną Microsoft Update lub serwerem Update Services, a także od tego, kiedy klient synchronizował katalog z serwera. Liczba i typy instalowanych produktów mogą również wpływać na wydajność skanowania. Należy upewnić się, że czasy te zostaną sprawdzone w oparciu o daną konfigurację sprzętową i ustawienia serwera, ponieważ wydajność będzie się różnić.
Uwaga: Skanowanie w poszukiwaniu różnych zagrożeń administracyjnych może zwiększyć czas trwania tego procesu, zwłaszcza podczas wykonywania sprawdzania związanego ze słabymi hasłami.
Ile komputerów może być jednocześnie skanowanych przez MBSA?
Skanowanie w MBSA nie jest wykonywane równolegle, o ile wiele kopii MBSA nie działa jednocześnie w celu skanowania różnych komputerów. Mbsacli.exe można używać z nowym parametrem /listfile (lista nazw komputerów lub adresów IP) do skanowania komputerów wypisanych w pliku tekstowym zawierającym nazwy komputerów lub adresy IP. Ten plik może mieć maksymalny rozmiar 100 MB. Korzystając ze skryptów (niedostarczane z pakietem pobierania MBSA) administratorzy mogą wypełniać ten plik tekstowy na podstawie grupy docelowego serwera Update Services w Active Directory.
Poprzednie wersje MBSA zawsze próbowały pobrać plik .cab przy skanowaniu; dlaczego MBSA już tego nie robi?
MBSA pobiera plik wsusscn2.cab przy początkowym skanowaniu lub w dowolnym momencie, gdy plik ten uległ zmianie na witrynie Microsoft. Aktywność internetowa spowodowana przez MBSA może być zupełnie wyeliminowana przy użyciu parametrów /nvc (brak sprawdzania wersji narzędzia), /catalog (plik katalogu offline) oraz /nd (nie pobierać) w narzędziu wiersza polecenia opisanym w pomocy do MBSA.
Uwaga: Aby zapewnić, że program MBSA będzie miał dostęp do najbardziej aktualnych wersji tych plików, należy pobierać je co tydzień lub po opublikowaniu biuletynów zabezpieczeń przez Microsoft. Jest to szczególnie ważne w wypadku katalogu aktualizacji zabezpieczeń (wsusscn2.cab), ponieważ firma Microsoft wydaje zaktualizowaną wersję tego pliku, jak tylko ukazują się nowe biuletyny zabezpieczeń.
Co się stało ze skanowaniem w stylu HFNetChk z poprzednich wersji MBSA?
Poprzedni silnik wykrywania MBSA został zastąpiony przez narzędzie Windows Update Agent, a ono zostało w pełni zintegrowane ze skanowaniem w stylu MBSA. Dla użytkowników przyzwyczajonych do trybu /HF skanowania w poprzednich wersjach MBSA, uproszczone rozwiązanie wymagające tylko Mbsacli.exe i Wusscan.dll jest zapewniane przy użyciu parametru /xmlout (dane xml). Ten parametr zapewnia podstawowe wyjście dla konsoli w formacie XML, przyspieszając i ułatwiając integrację z innymi rozwiązaniami. Wynik zawiera wszystkie elementy danych trybu /HF.
Co się stało z możliwością wykorzystania jedynie MBSACLI.EXE /HF do wykonywania sprawdzeń aktualizacji zabezpieczeń bez wykonywania pełnej instalacji MBSA („MBSA lite")?
Chociaż parametry /HF zostały zastąpione zaktualizowanymi funkcjami MBSA, lokalne skanowanie aktualizacji zabezpieczeń, które nie obejmuje zagrożeń administracyjnych, może być wykonywane przy użyciu minimalnej liczby plików MBSA.
Aby wykonać lokalne skanowanie aktualizacji zabezpieczeń, należy skopiować pliki MBSACLI.EXE i WUSSCAN.DLL z pełnej instalacji MBSA do nowego katalogu na komputerze lokalnym. Trzeba też pobrać najnowszą wersję pliku katalogu aktualizacji zabezpieczeń (wsusscn2.cab) i umieścić ją w katalogu C:\Documents and Settings\<nazwaużytkownika>\Local Settings\Application Data\Microsoft\MBSA\2.0\Cache directory.
• Katalog aktualizacji zabezpieczeń (wsusscn2.cab) dostępny na witrynie firmy Microsoft
Jeśli jest to pierwsza próba skanowania maszyny docelowej przy użyciu MBSA 2.0 lub jeśli chcemy zapewnić, że klient WUA na maszynie lokalnej zostanie zaktualizowany do najnowszej wersji, trzeba również umieścić katalog aktualizacji i najnowszy instalator Windows Update Agent w tym samym katalogu C:\Documents and Settings\nazwaużytkownika\Local Settings\Application Data\Microsoft\MBSA\2.0\Cache.
• Katalog uwierzytelniania dla dostępu do witryny Windows Update (Muauth.cab) dostępny na witrynie firmy Microsoft
• Odpowiednia, zależna od platformy wersja Windows Update Agent (o ile nie jest już zainstalowana). Najnowsze wersje dla każdej platformy można znaleźć, sprawdzając zawartość pliku wuredist.cab znajdującego się pod adresem http://update.microsoft.com/redist/wuredist.cab.
Przełącznik /XMLOUT musi być używany do wypisywania wyników skanowania w tym trybie. Jedynie podzbiór funkcji wiersza polecenia MBSA jest dostępny w tym trybie ("MBSA lite"):
• /catalog (do określenia alternatywnej lokalizacji pliku wsusscn2.cab)
• /wa (pokazywanie tylko aktualizacji zatwierdzonych na serwerze WSUS)
• /wi (pokazywanie wszystkich aktualizacji niezależnie od tego, które zostały zatwierdzone na serwerze WSUS)
• /nvc (brak sprawdzania istnienia nowszej wersji MBSA)
• /nd (wyłączenie pobierania plików z witryny Microsoft Update)
• /unicode (przedstawianie wyników w formacie zgodnym z Unicode)
Przy korzystaniu z parametru /xmlout należy jawnie przekierowywać wyniki w XML do pliku przy użyciu standardowego przekierowywania konsoli. Wyniki XML muszą też być przetwarzane poza MBSA, ponieważ mają inny format niż pełne pliki raportów MBSA. Zaletą tego parametru jest unikanie pełnego pakietu instalacji MBSA 2.0, gdy sprawdzamy tylko aktualizacje na pojedynczym komputerze. Jeśli spełnione są minimalne wymagania systemowe, potrzebne są tylko pliki silnika wspomniane powyżej.
Czy MBSA obsługuje 64-bitowe wersje Windows?
Tak. MBSA 2.1 w pełni obsługuje skanowanie w poszukiwaniu aktualizacji zabezpieczeń na platformach x86, x64 oraz ia64. MBSA 2.1 obsługuje skanowanie oceny zagrożeń na platformach x86 i x64.
Czy MBSA obsługuje wersje Windows XP Embedded?
Tak. MBSA 2.0 może zdalnie skanować Windows XP Embedded w poszukiwaniu aktualizacji zabezpieczeń, jeśli odpowiedni klient Windows Update Agent jest już obecny (nie wszystkie wersje Windows XP Embedded obsługują instalację klienta WUA). Skanowanie w poszukiwaniu typowych błędów w konfiguracji zabezpieczeń jest obsługiwane przy skanowaniu Windows XP Embedded. W systemie pomocy dla MBSA można znaleźć szczegółowy opis funkcji skanowania w poszukiwaniu aktualizacji zabezpieczeń i sprawdzania zagrożeń administracyjnych oraz ograniczenia dla tych platform.
Uwaga: Wszystkie wymagania systemowe MBSA muszą być spełnione, więc należy sprawdzić je u producenta komputera lub administratora systemowego. Te wymagania obejmują usługi Stacja robocza, Serwer, Rejestr zdalny, Udostępnianie plików i drukarek oraz aktualnego klienta WUA, jak to zostało wyszczególnione w pliku pomocy do MBSA.
Jakich komunikatów audytu można się spodziewać na maszynie klienckiej (docelowej) w wyniku skanowania przez MBSA?
Oprócz bieżącego komunikatu audytu zapisanego w dzienniku zdarzeń, mogą być zapisane dodatkowe zdarzenia oparte na nowym, zdalnym instalatorze stosowanym przez MBSA do konfigurowania komputera docelowego na użycie klienta Windows Update Agent lub witryny Microsoft Update do skanowania. Przykład zdarzenia:
Typ zdarzenia:Informacje
Źródło zdarzenia:MBSA
Kategoria zdarzenia:Brak
Identyfikator zdarzenia:1
Data:2005-03-12
Godzina:13:33:44
Użytkownik:domena\nazwaużytkownika
Komputer:komputer
Opis:Security analysis complete.
Scanned
from nnn.nnn.n.n.
Microsoft
Baseline Security Analyzer version 2.1.nnnn.0.
For more
information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp
Jakiego rodzaju ścieżek można użyć z parametrem wiersza polecenia /catalog (plik katalogu offline) przy skanowaniu lokalnym?
Trzeba skopiować plik katalogu na komputer lokalny przed próbą skanowania i podać lokalną ścieżkę do tego pliku.
Podczas korzystania z narzędzia wiersza polecenia MBSA (Mbsacli.exe) do skanowania komputera lokalnego nie można używać ścieżki Universal Naming Convention (UNC) albo mapowanego napędu sieciowego jako argumentu dla parametru /catalog (plik katalogu offline).
Przykłady prawidłowych poleceń:
Mbsacli.exe
/catalog wsusscn2.cab (katalog bieżący)
Mbsacli.exe /catalog c:\catalogs\wsusscn2.cab
(w pełni kwalifikowana ścieżka)
Mbsacli.exe /catalog \folder\wsusscn2.cab (ścieżka
względna)
Raportowanie
Dlaczego niektóre sprawdzenia wyświetlają niebieską ikonę i łącze „How to correct this" (Jak to naprawić)?
Niektóre sprawdzenia zwracają wynik określający najlepszą praktykę, a nie błąd lub potencjalne ryzyko. Sprawdzenia te zapewniają łącze do kroków naprawczych i porad dotyczących danego sprawdzenia, które należy dokładnie przejrzeć. Przykładami mogą być następujące sprawdzenia:
• Incomplete Updates (Aktualizacje niedokończone)
• Windows Firewall (Zapora systemu Windows)
• SQL Server - Service Accounts (SQL Server – konta usług)
• SQL Server - Sysadmin role members (SQL Server – członkowie roli Sysadmin)
Sprawdzenie Incomplete Updates (Aktualizacje niedokończone) będzie zgłaszać żółtą ikonę (potencjalne ryzyko) tylko wtedy, gdy co najmniej jedna obsługiwana aktualizacja jest w stanie wymagającym ponownego uruchomienia komputera. Ponieważ mogą być inne aktualizacje w tym stanie, których istnienia nie można stwierdzić, gdyż są zapakowane w starszej wersji instalatora, nie można zapewnić pełnego sprawdzenia, a tym samym wystawić oceny pozytywnej.
Sprawdzenie Windows Firewall (Zapora systemu Windows) zgłosi ikonę zieloną (ocena zaliczająca) tylko wtedy, gdy zapora jest włączona bez żadnych wyjątków. Wszystkie inne konfiguracje zgłoszą ikonę niebieską jako sposób zwrócenia uwagi na szczegóły ustawień w wypadku, gdyby polityka wyjątków została uznana za bezpieczną przez administratora komputera.
Dwa sprawdzenia związane z SQL Server – Service Accounts (konta usług) i Sysadmin role members (członkowie roli Sysadmin) – będą zawsze zgłaszać niebieską ikonę, ponieważ ocena zaliczająca może nie mieścić się w polityce wsparcia dla produktów redystrybujących pochodne MSDE lub WMSDE systemu SQL Server 2000. Tylko produkty wykorzystujące MSDE lub WMSDE mogą ocenić bezpieczeństwo danej konfiguracji.
Do czego są używane kolumny Maximum Severity (maksymalne znaczenie zagrożenia) i Download (pobieranie) w raporcie?
Maximum Severity odpowiada ocenie maksymalnego zagrożenia podanej w biuletynie zabezpieczeń wydanym przez Microsoft. Dla danego biuletynu zabezpieczeń może być kilka związanych produktów, z których każdy ma inną ocenę zagrożenia. Maksymalne znaczenie zagrożenia reprezentuje znaczenie zagrożenia powiązane z produktem mającym najwyższy poziom zagrożenia w danym biuletynie.
Ta wartość pozwala administratorom lepiej ustalać priorytety aktualizacji i stopień pilności wdrożeń. Element Download pozwala na bezpośredni dostęp do pakietu aktualizacji, który zawiera poprawkę danego problemu zabezpieczeń. Ten pakiet aktualizacji podłączony do raportu jest faktyczną aktualizacją oprogramowania wymaganą w konfiguracji skanowanego komputera. Przy przeglądaniu raportu dla innego komputera jego pakiet aktualizacji może nie być odpowiedni dla komputera, na którym uruchomiono przeglądarkę raportów, więc należy mieć to na uwadze przy pobieraniu pakietów aktualizacji.
Dlaczego data synchronizacji katalogu jest pusta w moim raporcie?
Ta wartość jest wstawiana do raportów tylko wtedy, gdy do skanowania użyto katalogu offline. Dzieje się tak, gdy katalog aktualizacji zabezpieczeń zawiera Microsoft Update (offline). Użycie parametru wiersza polecenia /catalog (plik katalogu offline) może zapewnić, że ta wartość będzie dostępna dla wszystkich raportów i pozwoli na bardziej precyzyjne porównywanie raportów w oparciu o określony punkt w czasie dla klientów, którzy korzystali z tego pola w poprzednich wersjach MBSA.
Dlaczego raport MBSA czasami pokazuje adres IP karty pętli zwrotnej Microsoft zamiast głównej karty sieciowej wykorzystywanej przez dany komputer w celu uzyskiwania dostępu do sieci?
To może się często zdarzyć w zależności od kolejności wiązania zainstalowanych kart. Zarówno kolejność wiązania kart jak i liczba zainstalowanych kart mogą mieć wpływ na tą sytuację. W celu uzyskania najbardziej zgodnej identyfikacji skanowanych komputerów zaleca się korzystanie z nazw komputerów, zwłaszcza gdy adresy IP są alokowane przez DHCP (Dynamic Host Configuration Protocol).
Podczas skanowania Windows Small Business Server pojawia się czerwona ikona dla "SBS Backup User" w sprawdzeniu IE Zones; czy to jest spodziewany wynik?
Tak, jest to znany problem z produktami Windows Small Business Server. Może się to pojawić, jeśli użytkownik SBS Backup User został użyty przez zadanie tworzenia kopii zapasowej co najmniej raz i będzie nadal występować, dopóki to samo konto użytkownika nie zostanie interaktywnie zalogowane do konsoli co najmniej raz.
Czy nadal można korzystać ze skryptów zbiorczych z MBSA?
Tak. Zaktualizowane przykłady są dostępne na witrynie Microsoft Download Center. Oprogramowanie Microsoft Office Visio 2007 Connector for MBSA 2.1 jest również zalecane do pobrania i może zapewnić jeszcze więcej funkcjonalności niż jest dostarczane przez przykładowe skrypty.
Co, jeśli potrzebny jest wynik tekstowy, a nie w postaci XML, jak było to zapewniane przez poprzednie wersje MBSA przy użyciu /HF?
Wynik tekstowy jest dostępny domyślnie przy korzystaniu z Mbsacli.exe. Można to wyłączyć, używając parametru /qt (cichy wynik tekstowy), a jest jednoznaczne z wynikiem zapewnianym przez opcję /ld (wypisanie szczegółów raportu).
Dlaczego niektóre zainstalowane aktualizacje nie są widoczne w raporcie?
Aktualizacje wymienione w sekcjach aktualizacji zabezpieczeń w raporcie reprezentują elementy, które nie zostały zastąpione przez żadne nowe aktualizacje. Wiele aktualizacji wydawanych przez Microsoft ma charakter kumulacyjny i zawiera poprzednie poprawki, więc częstym przypadkiem jest dostarczanie przez nie dodatkowych poziomów ochrony. Poprawki pochodzące z poprzednich aktualizacji, zawarte w aktualnie zainstalowanych aktualizacjach można uzyskać z biuletynu zabezpieczeń lub listy poprawek dla danej aktualizacji. Dodatkowo przy instalowaniu aktualizacji można skorzystać z tej sekcji raportu w celu potwierdzenia, że aktualizacja została zainstalowana przez ponowne skanowanie komputera po zakończeniu instalacji aktualizacji (włącznie z wymaganym ponownym uruchomieniem komputera).
Czy można zmienić system oceniania używany przez MBSA dla elementów, które uznam za niestanowiące ryzyka dla mojego komputera?
Nie, sprawdzeń i ocen używanych w MBSA nie można modyfikować. Można jednak korzystać ze skryptu i odfiltrowywać te elementy, których nie chce się monitorować lub umieszczać na raportach.
Jak należy interpretować oceny maksymalnego stopnia zagrożenia, które pojawiają się w raportach MBSA?
Oceny te pomagają ustalać priorytet i zarządzać ryzykiem związanym z odkryciami biuletynu zabezpieczeń. U dołu każdego raportu MBSA udostępniane jest łącze do dodatkowych informacji przy korzystaniu z opcji Result Details (szczegóły wyników) dla sprawdzeń aktualizacji zabezpieczeń. Należy odwiedzić witrynę firmy Microsoft, aby przejrzeć szczegóły dotyczące każdej oceny i jak je stosować w swoim środowisku.
Co oznaczają czerwone, żółte i niebieskie ikony w raportach ze skanowania MBSA?
MBSA wyświetla różne ikony w kolumnach z ocenami w raporcie w zależności od tego, czy znalezione zostało potencjalne zagrożenie na skanowanym komputerze. Istnieją dwa różne typy sprawdzeń wykonywanych przez MBSA: sprawdzenia zagrożeń administracyjnych i sprawdzenia aktualizacji zabezpieczeń.
W przypadku sprawdzeń zagrożeń administracyjnych czerwony X jest używany, gdy sprawdzenie krytyczne dało wynik negatywny (na przykład użytkownik ma puste hasło). Żółty X jest stosowany, gdy sprawdzenie niekrytyczne dało wynik negatywny (na przykład konto ma hasło, które nie wygasa). Zielony znaczek jest używany, gdy sprawdzenie dało wynik pozytywny (to znaczy nie znaleziono problemu dla danego sprawdzenia). Niebieska gwiazdka jest używana dla sprawdzeń określających najlepsze praktyki (na przykład sprawdzanie, czy włączono rejestrowanie wydarzeń), a ikona informacyjna z niebieską gwiazdką jest używana dla sprawdzeń, które po prostu zapewniają informacje dotyczące skanowanego komputera (na przykład wersję systemu operacyjnego skanowanego komputera).
W wypadku sprawdzeń aktualizacji zabezpieczeń czerwony X jest używany, gdy MBSA potwierdzi, że brakuje aktualizacji zabezpieczeń na skanowanym komputerze. Żółty X jest używany dla komunikatów ostrzegawczych (na przykład komputer nie ma najnowszego pakietu serwisowego lub zestawu aktualizacji), a niebieska gwiazdka jest używana dla komunikatów informacyjnych wskazujących, że aktualizacja nie jest dostępna dla komputera, ponieważ nie została zatwierdzona na serwerze Update Services. Nie można zmieniać ocen dla sprawdzeń konfiguracji systemu.
W jaki sposób MBSA zapewnia wykrywanie częściowo zainstalowanych aktualizacji?
Niektóre aktualizacje zastępują pliki, które są aktualnie w użyciu przez system Windows i nie mogą być w pełni zainstalowane, dopóki system Windows nie zostanie ponownie uruchomiony. Aktualizacje instalowane przy użyciu aktualizacji automatycznych, witryny Windows Update lub Microsoft Update zapewnią informacje o takiej sytuacji w raporcie MBSA: częściowo zainstalowana aktualizacja będzie podawana jako niezainstalowana, ponieważ wymagane jest jeszcze ponowne uruchomienie systemu. Ponadto każda aktualizacja, która nie jest w pełni wdrożona i oczekuje na ponowne uruchomienie systemu jest też wymieniona w sekcji Windows Administrative Vulnerabilities w raporcie końcowym skanowania. To sprawdzenie zagrożeń administracyjnych nie jest związane z żadną, konkretną aktualizacją, ale odzwierciedla potencjalne ryzyko związane z aktualizacją dowolnego produktu i brakiem ponownego uruchomienia komputera, gdy aktualizacja zażądała ponownego uruchomienia. Pomoc MBSA zawiera instrukcje, które można wykorzystać do sprawdzenia pakietu aktualizacji i określenia, czy jest on spakowany przy użyciu tej wersji instalatora.
W jaki sposób MBSA identyfikuje pojedynczy biuletyn, który zawiera wiele produktów?
Aktualizacje wielu produktów w tym samym biuletynie będą pokazane jako różne rodziny produktów w kolumnie Issue w podsumowaniu raportu. Każda różnica specyficzna dla produktu wewnątrz biuletynu zwykle zawiera inny numer artykułu z bazy wiedzy, jednakże niekiedy może istnieć wiele aktualizacji w tej samej kategorii produktów.
Na przykład, jeśli biuletyn zabezpieczeń dotyczy zarówno programu Windows Media Player jak i SQL Server, podsumowanie raportu wymieni dwa oddzielne problemy z dwoma oddzielnymi szczegółami wyników do przeglądnięcia. W tym przykładzie każdy z elementów miałby ten sam identyfikator biuletynu, standardowa konwencja nazewnicza dla tytułów aktualizacji zawierałaby numer artykułu z bazy wiedzy, a kolumna Description wyświetlałaby łącze do strony WWW z artykułem dotyczącym tego problemu.
Innym przykładem jest, gdy więcej niż jeden produkt istnieje w tej samej rodzinie – jak Windows Messenger i Windows Media Player (oba są składnikami Windows). Ten przykład zapewniałby osobne aktualizacje w tej samej sekcji Result Details (szczegóły wyników) raportu, ale mające ten sam identyfikator biuletynu. Jeśli potrzebny jest identyfikator artykułu z bazy wiedzy specyficznego dla danego produktu, raport można przeglądać w dowolnym programie do przeglądania XML (takim jak Notatnik lub Internet Explorer), a atrybut KBID będzie zawierał numer artykułu.
Na koniec wkrótce po wydaniu Microsoft Update dodatkowe identyfikatory będą zawarte w publikowanych aktualizacjach w raporcie MBSA 2.0, które będą bezpośrednio związane z pojedynczymi zagrożeniami omawianymi przez dany biuletyn (zwykle w formacie „CAN-..." lub „CVE-...", jak podano w danym biuletynie zabezpieczeń). Nowa wersja MBSA 2.0 nie będzie potrzebna, jedynie nowe dane do opublikowania przy wydaniu aktualizacji.
Czy MBSA sortuje wyniki skanowania aktualizacji zabezpieczeń?
Nie, wyniki są przechowywane w raporcie w kolejności, w jakiej są zwracane do MBSA z klienta Windows Update Agent. Ta wersja MBSA nie obsługuje sortowania raportów konfigurowanego przez użytkownika, chociaż raporty można eksportować do programu Excel i sortować lub przetwarzać przez skrypt, aby prezentować określoną kolejność elementów dla aplikacji zewnętrznej.
Dlaczego Narzędzie do usuwania złośliwego oprogramowania jest podawane jako brakujący pakiet serwisowy lub zestaw aktualizacji?
MBSA zgłasza to jako najlepszą praktykę związaną z zabezpieczeniami. Narzędzie do usuwania złośliwego oprogramowania jest kumulacyjną, comiesięczną aktualizacją, która usuwa pozostałości znanych, szkodliwych programów, które mogą pozostawać nawet po zastosowaniu biuletynu zabezpieczeń wobec komputera. O ile narzędzie to nie jest okresowo uruchamiane, na komputerze mogą być obecne szkodliwe pliki lub ustawienia.
Dlaczego niektóre aktualizacje nie mają łącza w kolumnie Description (opis) w szczegółach raportu?
Niektóre aktualizacje publikowane w witrynie Microsoft Update nie zawierają łączy, jednakże na ogół łącze do biuletynu zabezpieczeń pozwoli użytkownikom uzyskać dostęp do potrzebnych informacji.
Gdzie znajdują się raporty zabezpieczeń MBSA?
Raporty zabezpieczeń są zapisywane jako pliki .mbsa w formacie XML domyślnie w katalogu %userprofile%\SecurityScans. Wraz z wydaniem MBSA 2.1 gotowe raporty ze skanowania przez MBSA mogą być umieszczane w innym katalogu lub udziale sieciowym przy użyciu opcji /rd (katalog raportów) w interfejsie wiersza polecenia. Interfejs graficzny nie obsługuje tej nowej funkcji.
Jak naprawiać typowe błędy?
Dlaczego pojawia się błąd „Windows Update Agent is not installed. Ensure the local computer has been scanned with default settings or install the agent manually" (Windows Update Agent nie jest zainstalowany. Upewnij się, że komputer lokalny był skanowany przy użyciu ustawień domyślnych lub ręcznie zainstaluj agenta)?
Skanowanie zdalne wymaga, aby najbardziej aktualna wersja klienta Windows Update Agent była obecna na komputerze, na którym uruchomiono MBSA, więc trzeba ją zainstalować przed skanowaniem zdalnym. Chociaż MBSA zawiera funkcję, którą można wykorzystać do automatycznego instalowania tego agenta, można go też zainstalować ręcznie. Instalatora można uzyskać z witryny Microsoft Download Center, korzystając z jednego z następujących łączy w zależności od komputera, który zgłasza ten komunikat błędu:
• w przypadku komputerów opartych na platformie x86 (WindowsUpdateAgent30-x86.exe) lub
• w przypadku komputerów opartych na platformie x64 (WindowsUpdateAgent30-x64.exe) lub
• w przypadku komputerów opartych na platformie ia64 (WindowsUpdateAgent30-ia64.exe) najnowsze wersje są dostępne wewnątrz pliku wuredist.cab dostępnego pod adresem http://update.microsoft.com/redist/wuredist.cab
Przeprowadziłem skanowanie offline, korzystając z MBSA i zwrócony został komunikat stwierdzający, że wykryto przeterminowaną wersję skompresowanego pliku aktualizacji zabezpieczeń. Co to oznacza i co można z tym zrobić?
Program MBSA 2.1 wykorzystuje plik aktualizacji zabezpieczeń (wsusscn2.cab), który jest sformatowany inaczej niż poprzednia wersja (wsusscan.cab). Powód tej zmiany jest opisany w artykule bazy wiedzy Microsoft 926464. Trzeba będzie pobrać nowy plik skanowania offline, wsusscn2.cab, klikając łącze http://go.microsoft.com/fwlink/?LinkId=76054. Należy zapisać ten plik jako C:\Documents and Settings\<nazwaużytkownika>\Local Settings\Application Data\Microsoft\MBSA\2.1\Cache\wsusscn2.cab.
Dlaczego pojawia się błąd „Windows Update Agent is not supported on this operating system" (Windows Update Agent nie jest obsługiwany na tym systemie operacyjnym) chociaż komputer działa pod kontrolą systemu Windows 2000 Service Pack 3 lub późniejszego?
MBSA i Windows Update Agent wymagają systemu Windows 2000 Service Pack 3 lub nowszego. Sprawdzanie wersji wykonywane przez MBSA wykorzystuje rejestr systemowy, więc jeśli skanowany komputer zdalny ma wyłączoną usługę Rejestr zdalny, to pojawi się ten błąd. Aby to naprawić, należy zapewnić, żeby usługa Rejestr zdalny była uruchomiona na komputerze docelowym.
Dlaczego pojawia się błąd „Error transferring Windows Update Agent installer to the target computer. (0x80070003)" (Błąd podczas transferu instalatora Windows Update Agent do komputera docelowego)?
Ten komunikat może się pojawić, jeśli instalator zdalny został zablokowany przez produkty antywirusowe lub antyszpiegowskie podczas wykonywania skanowania zdalnego na komputerze z zaznaczoną opcją Configure computers for Microsoft Update and scanning prerequisites (Konfiguruj komputery dla wymagań Microsoft Update i skanowania). Można skonfigurować oprogramowanie, które uniemożliwia instalatorowi MBSA zakończenie instalacji tak, aby pozwalać MBSA aktualizować komputer docelowy, lub też można aktualizować komputer ręcznie korzystając z instrukcji w punkcie FAQ: MBSA wykorzystuje pliki pobrane z Internetu, ale komputer, którego chcę użyć do skanowania swojej sieci nie ma połączenia z Internetem. Jak można korzystać z MBSA w bezpiecznym środowisku offline?
Dlaczego pojawia się błąd „An error occurred while scanning for security updates. (0x8024402c)" (Wystąpił błąd podczas skanowania w poszukiwaniu aktualizacji zabezpieczeń)?
Ten błąd może się pojawiać z kilku powodów:
• jeśli komputer klienta ma rejestrację na serwerze Update Services, a agent nie może się skontaktować z tym serwerem, to zwrócony zostanie ten błąd.
• jeśli serwer jest w sieci, ale klient nie może się skontaktować z serwerem, to ten błąd może się również zdarzyć i wskazuje możliwy problem w konfiguracji serwera proxy lub problemy z połączeniem, które uniemożliwiają procesowi rozwiązywania nazw sieciowych zezwolenie klientowi na znalezienie serwera w sieci.
Należy sprawdzić ustawienia proxy dla komputera, na którym uruchomiono MBSA i zapewnić, że przypisany serwer WSUS jest dostępny w sieci.
Dlaczego pojawia się błąd „Failed to download security update databases" (Nie udało się pobrać baz danych aktualizacji zabezpieczeń), a tuż po nim błąd „The catalog file is damaged or an invalid catalog" (Plik katalogu jest uszkodzony lub nieprawidłowy katalog)?
Podczas pobierania katalogu offline Microsoft Update (wsusscn2.cab) przed każdą próbą skanowania sprawdzany jest poprawny podpis cyfrowy Microsoft dla pobranych plików przed ich użyciem. Gdy brakuje pliku lub nie można sprawdzić podpisu cyfrowego, mogą wystąpić te błędy.
Aby uniknąć tego komunikatu o błędzie, zaleca się, aby ta aktualizacja (patrz artykuł bazy wiedzy Microsoft 835732) była zainstalowana na wszystkich komputerach Windows 2000, na których uruchomiono MBSA w celu wykonywania skanowania.
Ten błąd może się również pojawiać, jeśli korzysta się z serwera proxy, takiego jak Microsoft ISA 2000 Server, jeśli nie zawiera zasady pozwalającej na anonimowy dostęp do witryny Microsoft Update. Rozwiązanie tego problemu jest opisane w artykule bazy wiedzy Microsoft 885819.
Inną przyczyną tego problemu może być ustawienie przeglądarki Internet Explorer na tryb pracy offline. MBSA wymaga albo żeby IE był w trybie online i był w stanie udanie przechodzić przez serwery proxy w celu uzyskania pliku wsusscn2.cab, albo konieczne może być przedsięwzięcie kroków w celu uzyskania potrzebnych plików katalogu i uwierzytelniania, jak to zostało opisane w innym punkcie niniejszego dokumentu FAQ związanym z korzystaniem z pliku wsusscn2.cab w trybie offline, gdy połączenie z Internetem nie jest dostępne.
Trzeba też zapewnić potwierdzenie, że zarówno maszyna skanująca, jak i docelowa mają najnowsze wersje klienta WUA, którego również można otrzymać z następujących lokalizacji:
• w przypadku komputerów opartych na platformie x86 (WindowsUpdateAgent30-x86.exe) lub
• w przypadku komputerów opartych na platformie x64 (WindowsUpdateAgent30-x64.exe) lub
• w przypadku komputerów opartych na platformie ia64 (WindowsUpdateAgent30-ia64.exe) najnowsze wersje są dostępne wewnątrz pliku wuredist.cab dostępnego pod adresem http://update.microsoft.com/redist/wuredist.cab
Dlaczego pojawia się błąd „Computer has an older version of the client and security database demands a newer version" (Komputer ma starszą wersję klienta, a baza danych zabezpieczeń wymaga nowszej wersji)?
Ten błąd oznacza, że wersja WUA jest niższa niż minimalna wymagana wersja określona w pliku wsusscn2.cab. O ile wersja WUA nie jest równa lub większa niż wersja potrzebna przez wsusscn2.cab, skanowanie komputera zwróci błąd.
Aby to naprawić, należy zapewnić, żeby najnowsza wersja WUA była zainstalowana na komputerze docelowym. Aby program MBSA automatycznie naprawiał ten błąd, należy upewnić się, że zaznaczono opcję „Configure computers for Microsoft Update and scanning prerequisites" (Konfiguruj komputery dla wymagań Microsoft Update i skanowania) albo użyto opcji /ia w narzędziu wiersza polecenia.
Dlaczego pojawia się błąd „An error occurred while scanning for security updates. (0x80244019)" (Wystąpił błąd podczas skanowania w poszukiwaniu aktualizacji zabezpieczeń)?
Ten błąd wskazuje, że Windows Update Agent nie był w stanie skontaktować się z przypisanym serwerem Update Services z powodu ustawień konfiguracji proxy na komputerze docelowym. Jeśli serwer proxy jest w użyciu, należy sprawdzić ustawienia Opcje internetowe w programie Internet Explorer na komputerze docelowym i upewnić się, że serwer Update Services jest na liście wyjątków proxy, korzystając albo z ustawienia Nie używaj serwera proxy dla adresów lokalnych, albo z przycisku Zaawansowane i listy wyjątków. Skorzystanie z wyjątków proxy pozwala użytkownikom końcowym na dostęp do Internetu poprzez serwer proxy, a przy tym na bezpośredni dostęp do lokalnych serwerów intranetowych. Jest to też potrzebne, aby pozwalać WUA na kontaktowanie się z serwerem WSUS w sieci lokalnej.
Dlaczego pojawia się błąd „Could not resolve the computer name: name. Please specify computer name, domain\computer, or an IP address." (Nie można było rozwinąć nazwy komputera: nazwa. Proszę określić nazwę komputera, domena\komputer lub adres IP)?
Ten błąd jest typowy przy skanowaniu opartym na zakresie adresów IP. Jest to spowodowane tym, że MBSA konwertuje zakres na listę określonych adresów IP dla tego zakresu i próbuje zamienić każdy adres IP na powiązaną z nim nazwę NetBIOS komputera. Gdy nie można wykonać tej zamiany w nazwę, ponieważ komputer jest wyłączony albo adres IP nie jest w użyciu, zwrócony zostanie ten błąd.
Ten błąd może również wystąpić podczas korzystania z nazwy domenowej, gdy członkowie domeny nie są dostępni w sieci, jak w przypadku laptopa będącego poza zasięgiem sieci bezprzewodowej lub komputera stacjonarnego, który został wyłączony.
Jeśli poda się w pełni kwalifikowaną przez DNS nazwę domenową (FQDN) jako domenę do skanowania, również pojawią się te błędy. Wówczas trzeba skorzystać z nazwy domeny kompatybilnej z NetBIOS.
Dlaczego sprawdzenie dla programu SQL Server o nazwie Service Accounts (konta usług) zgłasza niebieską gwiazdkę podczas skanowania komputera?
Podczas gdy zalecane jest, aby usługa działała na koncie o niskich uprawnieniach, to aplikacja, która zainstalowała SQL Server/MSDE może wymagać jego działania z wyższymi uprawnieniami. Na przykład instancje WMSDE obecnie wymagają uruchamiania na koncie LocalSystem i dlatego muszą być wyłączone z tego sprawdzenia. WMSDE jest pochodną MSDE przeznaczoną do wykorzystania przez składniki systemu operacyjnego Windows Server 2003 takie jak Windows SharePoint Services. Należy sprawdzić dokumentację towarzyszącą aplikacji w celu uzyskania informacji na temat minimalnego wymaganego poziomu uprawnień.
Z tych powodów jest to spodziewany komunikat przy skanowaniu pewnych produktów firmy Microsoft, które zawierają MSDE lub WMSDE takich jak:
• Windows Server Update Services
• Windows Sharepoint Services
• Windows Small Business Server
• Microsoft ISA Server 2004
• Universal Description, Discovery, and Integration (UDDI)
Dlaczego sprawdzenie członków roli Sysadmin dla programu SQL Server zgłasza niebieską gwiazdkę podczas skanowania komputera?
W wielu instalacjach (zwłaszcza w środowiskach korporacyjnych) administratorom przydaje się rozróżnianie pomiędzy rolami administratora systemu operacyjnego i administratora SQL Server. W takich scenariuszach użyteczne może być usunięcie członkostwa lokalnych administratorów Windows z roli Sysadmin w SQL Server. Jednakże instancje WMSDE obecnie wymagają członkostwa lokalnych administratorów Windows w roli Sysadmin programu SQL Server i dlatego muszą być wyłączone z tego sprawdzenia. WMSDE jest pochodną MSDE przeznaczoną do wykorzystania przez składniki systemu operacyjnego Windows Server 2003 takie jak Windows SharePoint Services. Należy sprawdzić dokumentację towarzyszącą aplikacji w celu uzyskania informacji na temat minimalnego wymaganego poziomu uprawnień.
Z tych powodów jest to spodziewany komunikat przy skanowaniu pewnych produktów firmy Microsoft, które zawierają MSDE lub WMSDE, takich jak:
• Windows Server Update Services
• Windows Sharepoint Services
• Windows Small Business Server
• Microsoft ISA Server 2004
• Universal Description, Discovery, and Integration (UDDI)
Przed usunięciem grupy BUILTIN\Administrators z programu SQL Server zaleca się, aby w instalacji SQL Server był co najmniej jeden inny login, który ma uprawnienia administracyjne. Pewne aplikacje mogą oczekiwać, że grupa BUILTIN\Administrators będzie w stanie administrować programem SQL Server.
Dlaczego skanowanie przy użyciu wsusscn2.cab lub przeglądanie raportu początkowo wydaje się wolne?
Podczas skanowania i przeglądania raportów MBSA odczytuje dane z wsusscn2.cab. Ten plik zawiera plik cab i dużą liczbę innych plików, które mogą powodować, że pewne produkty antywirusowe zużywają więcej możliwości procesora i pamięci, podczas gdy aplikacja uzyskuje dostęp do wsusscn2.cab. Te problemy zostały udokumentowane w artykule bazy wiedzy Microsoft 900638. Domyślnie program MBSA 2.0 będzie próbował skanować komputery, korzystając z Microsoft Update i opcjonalnie przypisanego serwera Update Services, a z pliku wsusscn2.cab będzie korzystać tylko wtedy, gdy konieczne będzie skanowanie offline.
Dlaczego pojawia się błąd „Windows Update Agent not found or the computer is not running Windows 2000 SP3 or later" (Nie znaleziono Windows Update Agent albo komputer nie działa pod kontrolą systemu Windows 2000 SP3 lub nowszego) podczas skanowania komputera Windows 2000 Datacenter Edition?
Windows Update Agent, Windows Update i Microsoft Update nie obsługują aktualizowania systemu Windows 2000 Datacenter Edition. Dodatkowe informacje można znaleźć na witrynie firmy Microsoft. Nie ma takiego ograniczenia dla produktów Windows Server 2003.
Dlaczego pojawia się błąd „User is not an administrator on the machine" (Użytkownik nie jest administratorem na tej maszynie) podczas skanowania jako administrator zdalnego komputera docelowego?
Może się to zdarzyć, jeśli włączone jest proste udostępnianie plików w systemie Windows XP Professional i zawsze będzie miało miejsce w wypadku zdalnego skanowania komputerów z systemem Windows XP Home Edition.
Chociaż MBSA można instalować w systemie Windows XP Home Edition i wykonywać lokalne skanowanie, komputer działający pod kontrolą systemu Windows XP Home Edition nie może być skanowany zdalnie w poszukiwaniu zagrożeń administracyjnych. System Windows XP Professional można skanować zdalnie, jeśli jest dołączony do domeny. Jeśli nie, to komputer działający pod kontrolą systemu Windows XP Professional może być skanowany zdalnie tylko po przełączeniu ustawienia zabezpieczeń lokalnych na Classic - local users authenticate as themselves (Klasyczny – uwierzytelnianie użytkowników lokalnych jako samych siebie), a proste udostępnianie plików jest wyłączone.
Aby wyłączyć proste udostępnianie plików, należy otworzyć Eksploratora, wybrać Narzędzia, Opcje folderów, kartę Widok i wyłączyć pole wyboru Użyj prostego udostępniania plików.
Czasami pojawiają się komunikaty o błędach, które zawierają nieznane kody błędów. Jak można ustalić, co je powoduje?
Mogą pojawiać się komunikaty o błędach takie jak w następujących przykładach:
An unexpected error has occurred.The operating system returned error code <nnn> (Wystąpił nieoczekiwany błąd. System operacyjny zwrócił kod błędu <nnn>)
Lub
An error occurred while scanning for security updates.(0xnnnnnnnn) (Wystąpił błąd podczas skanowania w poszukiwaniu aktualizacji zabezpieczeń (0xnnnnnnnn))
Artykuł bazy wiedzy Microsoft 186063 może wyjaśnić wiele kodów błędów, które mogą być zwracane użytkownikom API WUA, takim jak MBSA.
Kody błędów niewymienione w artykule bazy wiedzy Microsoft 186063 można zazwyczaj znaleźć w witrynie MSDN.
Kody błędów zwracane przez system operacyjny można przekonwertować na postać tekstową, korzystając z polecenia net helpmsg nnn. Należy uruchomić wiersz poleceń i użyć następującego polecenia z określonym kodem błędu w miejsce nnn.
Na przykład:
C:\> net
helpmsg 5
Odmowa dostępu.
Co znaczy, jeśli widać tytuły aktualizacji zabezpieczeń w języku, który nie odpowiada językowi reszty raportu?
Podczas skanowania z wykorzystaniem zaawansowanej opcji Update Services Scan using only the assigned Update Services server (skanuj, korzystając jedynie z przypisanego serwera Update Services) (lub z wykorzystaniem opcji wiersza polecenia /wa do skanowania jedynie aktualizacji zatwierdzonych przez WSUS) możliwe jest, że administrator serwera WSUS nie zawarł angielskiego, niemieckiego, francuskiego czy japońskiego na liście języków dla aktualizacji, które są synchronizowane z Microsoft Update. Jeśli skanowany komputer wykorzystuje język, który nie jest dostępny na serwerze Update Services, używany jest domyślny język dla zlokalizowanych właściwości aktualizacji, a ten domyślny język może nie być taki sam, jak zainstalowana, zlokalizowana wersja MBSA. Na przykład, jeśli zainstalowano francuskie wydanie MBSA, a tylko angielskie aktualizacje zostały zsynchronizowane na serwerze Update Services, raport francuskiego MBSA może zawierać angielski tytuł dla jednej lub kilku aktualizacji zabezpieczeń.
Dlaczego MBSA zgłasza możliwy problem z usługą Telnet, gdy usługa ta została wyłączona?
To sprawdzenie określa, czy jakieś usługi zawarte w pliku Services.txt są zainstalowane na skanowanym komputerze i wypisuje pliki w ich aktualnym stanie (włączony lub wyłączony). Plik Services.txt jest konfigurowalną listą usług, które należy sprawdzać na skanowanych komputerach. Plik Services.txt zainstalowany domyślnie z tym narzędziem zawiera następujące usługi:
• MSFTPSVC (FTP)
• TlntSvr (Telnet)
• W3SVC (WWW)
MBSA może zgłaszać stan wyłączonej usługi, na przykład usługa Telnet może być zgłoszona jako „zatrzymana”, a nie jako wyłączona. Jest to znane ograniczenie MBSA, które można rozwiązać, usuwając dany element z pliku services.txt w folderze instalacyjnym MBSA.
Dlaczego pojawia się błąd „Connection to IIS Base Admin COM object could not be established" (Nie można było nawiązać połączenia z obiektem COM IIS Base Admin) podczas próby skanowania IIS?
Ten błąd może pojawiać się, gdy skanowana wersja IIS (na komputerze docelowym) jest wyższą wersją niż na komputerze, na którym działa MBSA. Może to też wskazywać, że na komputerze inicjującym skanowanie nie zainstalowano plików IIS Common Files. Jeśli zwracany jest kod błędu 0x80070005 lub 0x8007007e, wskazuje to, że dostęp został zabroniony przez zdalny komputer IIS. Może to wystąpić, gdy uwierzytelnianie na skanowanym komputerze zdalnym, na którym działa IIS, jest przeprowadzane poprzez net use; a ponieważ połączenie net use nie zapewnia uwierzytelniania do administrowania IIS, próby połączenia ze zdalnym komputerem IIS się nie powiodą z komunikatem „dostęp zabroniony”. Więcej informacji można znaleźć w sekcji Systems Requirements (Wymagania systemowe) w pliku Readme.html (instalowanym z MBSA) lub w pomocy do MBSA (podłączonej w lewym okienku konsoli MBSA). Należy zwrócić uwagę, że na lokalnym komputerze wymagane są pliki IIS 6.0 Common Files podczas zdalnego skanowania serwera IIS 6.0.
Dlaczego podczas skanowania MBSA czasami wydaje się zawieszać, pokazując cały czas komunikat „Scanning…” (Skanuję)?
W zależności od wybranej opcji konfiguracji automatycznej dla skanowania, MBSA ma możliwość wdrażania klienta Windows Update Agent i wykonywania zmian konfiguracyjnych, które pozwolą komputerowi docelowemu korzystać z witryny Microsoft Update do skanowania i uzyskiwania aktualizacji. Jeśli któreś z tych działań jest potrzebne do skanowania komputera docelowego, MBSA sprawdzi witrynę Microsoft, aby upewnić się, że ma najnowsze wersje plików potrzebnych dla tych zmian i pobierze je, jeśli nowsze pliki są dostępne. Następnie MBSA skopiuje te pliki na komputer docelowy i wykona zmiany konfiguracyjne. Ten proces może zająć kilka minut w zależności od szybkości sieci i dostępnego pasma.
Dlaczego MBSA zgłasza błąd podczas próby pobierania plików z Internetu?
MBSA polega na ustawieniach programu Internet Explorer (IE) przy pobieraniu plików. Niektóre środowiska korporacyjne mogą też wykorzystywać serwer proxy. W konsekwencji komputer kliencki może nie być poprawnie skonfigurowany na dostęp do Internetu poprzez serwer proxy.
Trzeba skonfigurować program Internet Explorer na korzystanie z serwera proxy w danej sieci.
Aby skonfigurować ustawienia proxy w programie Internet Explorer:
1. W programie Internet Explorer kliknij Narzędzia, a następnie Opcje internetowe.
2. Kliknij Połączenia, a następnie Ustawienia sieci LAN.
3. Wykonaj jedno z poniższych działań:
jeśli sieć jest skonfigurowana na obsługę automatycznego wykrywania serwerów proxy, zaznacz Automatycznie wykryj ustawienia.
Lub
jeśli sieć nie jest skonfigurowana na obsługę automatycznego wykrywania serwerów proxy, zaznacz opcję Użyj serwera proxy dla sieci LAN, a następnie wpisz nazwę lub adres IP serwera proxy w polu Adres. Jeśli serwer proxy wykorzystuje niestandardowy port, wpisz numer tego portu w polu Port.
Czy istnieje plik dziennika, którego można użyć do diagnozowania problemu ze skanowaniem w poszukiwaniu aktualizacji zabezpieczeń?
Tak, Windows Update Agent zapewnia plik dziennika znajdujący się w %windir%\WindowsUpdate.log. Można go konfigurować w celu zapewniania dodatkowych szczegółów w razie potrzeby korzystając z ustawienia rejestru, co zostało udokumentowane w artykule bazy wiedzy Microsoft 902093.
Uwaga: Pewne ustawienia dziennika mogą spowodować obniżenie wydajności systemu podczas skanowania i powinny być używane tylko przy diagnozowaniu określonego problemu.
Podczas instalowania MBSA pojawiają się numery błędów takie jak – 2147024770 lub - 2147221164; jak można to naprawić?
Biblioteki ServerSecure.dll i XmlDb.dll mogą zgłaszać błędy rejestrowania, jeśli system nie jest poprawnie skonfigurowany. Aby spróbować obejść te błędy, należy wypróbować następujące kroki:
Krok 1: Kliknij przycisk Ignore (Ignoruj) w oknie dialogowym instalatora zgłaszającym te błędy i pozwól na dokończenie instalacji.
Krok 2: Otwórz wiersz polecenia.
Krok 3: Uruchom następujące polecenia (zwróć uwagę na to, że po wprowadzeniu każdego z poleceń pojawi się okno dialogowe z potwierdzeniem; kliknij przycisk OK w tym oknie dialogowym, a następnie przejdź do następnego polecenia).
Regsvr32.exe
/u c:\windows\system32\atl.dll
Regsvr32.exe c:\windows\system32\atl.dll
Regsvr32.exe "c:\Program Files\Microsoft
Baseline Security Analyzer 2\ServerSecure.dll"
Regsvr32.exe "c:\Program Files\Microsoft
Baseline Security Analyzer 2\XmlDb.dll"
Dostosuj nazwy folderów w tych poleceniach do folderów instalacyjnych Windows i MBSA w razie potrzeby.
Dlaczego pojawia się błąd „The catalog file is damaged or an invalid catalog" (Plik katalogu jest uszkodzony lub nieprawidłowy katalog) podczas skanowania przy pomocy mbsacli.exe?
Ten błąd może wystąpić, jeśli plik wsusscn2.cab znajduje się w katalogu tylko do odczytu (na przykład na płycie CD-ROM). Narzędzie wiersza polecenia MBSA wyodrębnia pliki z pliku .cab, zapisując pliki w katalogu, w którym znajduje się plik .cab i zgłosi ten błąd, jeśli nie może zapisać plików w tym katalogu. Aby uniknąć tego błędu, należy upewnić się, że plik wsusscn2.cab jest w katalogu, do którego ma dostęp konto, w którym uruchomiono mbsacli.exe.
Dlaczego pojawia się błąd „Windows Update Agent is not supported on this operating system." (Windows Update Agent nie jest obsługiwany w tym systemie operacyjnym) podczas skanowania zdalnego komputera z poziomu systemu Windows Server 2003 Service Pack 1 lub Service Pack 2?
Windows Server 2003 Service Pack 1 zapewnia dodatkowy poziom zabezpieczeń, który uniemożliwia korzystanie z różnych poświadczeń przez wiele połączeń z tym samym komputerem zdalnym, gdy skanowany komputer jest przyłączony do domeny. Gdy skanujemy zdalny komputer docelowy i chcemy użyć innych poświadczeń niż poświadczenia zalogowanego użytkownika, należy użyć następującego polecenia zamiast opcji wiersza polecenia /u i /p (nazwa użytkownika i hasło) dla mbsacli, aby określić konto, które ma być użyte w połączeniu zdalnym:
C:\> runas /netonly /user: <domena\nazwaużytkownika> "cmd.exe" (po czym następuje jedno lub kilka poleceń MBSA, gdy otwarte zostanie nowe okno wiersza polecenia).
Lub
C:\> runas /netonly /user: <domena\nazwaużytkownika> "C:\Program Files\Microsoft Baseline Security Analyzer 2\mbsacli.exe <tutaj należy dodać ewentualne opcje wiersza polecenia MBSA> "
Dlaczego pojawia się błąd „Invalid SID returned by the OS" (Nieprawidłowy identyfikator SID zwracany przez system operacyjny) w sekcji administracyjnej SQL gotowego raportu ze skanowania?
Jest to znany problem z MBSA, gdy nazwa komputera jest dłuższa niż 15 znaków, a obsługiwana wersja programu SQL Server jest obecna na maszynie docelowej.
Jedynym obejściem dostępnym obecnie jest zignorowanie tego wyniku, użycie przykładowych skryptów MBSA lub narzędzia Microsoft Office Visio 2007 Connector for MBSA 2.1 w celu odfiltrowania tego elementu wyników lub w wypadku korzystania z graficznego interfejsu użytkownika wyłączenie opcji wykonywania sprawdzeń „SQL administrative vulnerabilities".
Podczas korzystania ze zmiennych zapewnianych przez narzędzie wiersza polecenia MBSA, dlaczego ich wartości nie są rozpoznawane przez MBSA?
Jeśli program MBSA jest używany w pliku wsadowym, to konieczne może być zapewnienie, aby dostępne było wystarczające przekierowywanie dla MBSA do przechwytywania poprawnych wartości. W plikach wsadowych wymaga to często podwajania wskaźników „%” po obu stronach zmiennej w celu zapewnienia jej prawidłowego działania. Na przykład zmienna %IP% powinna mieć postać %%IP%% podczas używania jej wewnątrz pliku wsadowego.
Dlaczego MBSA nie podaje stanu oczekiwania na ponowne uruchomienie dla najnowszych aktualizacji?
MBSA może tylko zapewniać stan oczekiwania na ponowne uruchomienie, gdy zaznaczona jest opcja Check for Windows administrative vulnerabilities (sprawdź w poszukiwaniu zagrożeń administracyjnych Windows) w graficznym interfejsie użytkownika lub domyślnie, jeśli nie dodano opcji "/n Updates" w narzędziu wiersza polecenia w celu wyłączenia tej funkcji. Stan oczekiwania na ponowne uruchomienie jest uzyskiwany bezpośrednio z klienta Windows Update Agent (WUA) na każdej maszynie docelowej. O ile aktualizacja zabezpieczeń była instalowana przy użyciu procesu obsługiwanego przez WUA (Windows Update, Microsoft Update, SMS w/ITMU lub WSUS Server), to MBSA może zgłosić wymagane ponowne uruchomienie. Jeśli aktualizacja była instalowana ręcznie lub za pomocą innego procesu instalacyjnego, MBSA nie jest w stanie zgłosić stanu oczekiwania na ponowne uruchomienie.
W przypadku klientów korzystających z opcji /xmlout w narzędziu wiersza polecenia stan oczekiwania na ponowne uruchomienie nie jest dostępny z powodu ograniczeń w korzystaniu z opcji /xmlout. Jednym z obejść tego problemu może być uruchamianie mbsacli.exe bez żadnych przełączników. Wymaga to pełnej instalacji MBSA (a nie jedynie opcji instalacji „MBSA Lite”, która instaluje tylko kilka potrzebnych plików do skanowania poprawek). Spowoduje to zaznaczenie zagrożeń administracyjnych. Jeśli istnieje oczekiwane ponowne uruchomienie, to zostanie zgłoszone, jak pokazano poniżej:
Issue: Incomplete Updates (Problem: Niezakończone aktualizacje)
Score: Check failed (non-critical) (Ocena: Sprawdzenie się nie powiodło (niekrytyczne))
Result: A previous software update installation was not completed. You must restart your computer to finish the installation. If the incomplete installation was a security update, then the computer
may be at risk until the computer is restarted. (Poprzednia instalacja aktualizacji
oprogramowania nie została zakończona. Trzeba ponownie uruchomić komputer, aby zakończyć
instalację. Jeśli niekompletna instalacja była aktualizacją zabezpieczeń, komputer
może być zagrożony, dopóki nie zostanie ponownie uruchomiony).
Innym obejściem tego problemu jest sprawdzenie następującego klucza rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\UpdateExeVolatile. Więcej szczegółów na temat korzystania z tego klucza rejestru i wartości, które może reprezentować, można znaleźć w artykule bazy wiedzy Microsoft 832475.
Dlaczego pojawia się błąd „Cannot deploy security metadata (0x00000003)" (Nie można wdrożyć metadanych zabezpieczeń) przy próbie skanowania zdalnej maszyny?
Występuje to często, gdy udział c$ i rejestr zdalny maszyny docelowej nie są dostępne dla maszyny MBSA wykonującej skanowanie. Uniemożliwia to MBSA przepchanie potrzebnego pliku katalogowego (zwykle wsusscn2.cab) i potencjalnie zaktualizowanej wersji klienta WUA z powodu niemożności uzyskania dostępu administracyjnego i do udziału c$ na maszynie docelowej.
Dodatkowo, jeśli obecna jest zapora, wymagane jest wiele kroków potrzebnych do włączenia DCOM przez zaporę (więcej można znaleźć w części FAQ zatytułowanej Jak można skanować komputer, który jest chroniony przez zaporę?). Obejmuje to konieczność potencjalnego zainstalowania wymaganej aktualizacji Microsoft Security Update MS04-011, wersji QFE niepublicznej poprawki i prawdopodobnie zmian w konfiguracji zapory w celu umożliwienia połączeń DCOM poprzez zaporę.
Po spełnieniu tych wymagań MBSA spróbuje przepchać plik MUAUTH.CAB, który jest wykonywany na zdalnej (docelowej) maszynie w celu autoryzacji WUA do otrzymywania poleceń z i odpowiadania skanującej maszynie MBSA. W zależności od ustawień MBSA na maszynie skanującej, MBSA może też próbować przekazać bity zaktualizowanego klienta WUA do komputera docelowego. Wszelkie dodatkowe błędy (takie jak 0x00000005) mogą być spowodowane niewystarczającymi uprawnieniami na maszynie zdalnej. Jeśli po wykonaniu tych kroków problem nie zostanie rozwiązany, konieczne może być skontaktowanie się z usługami wsparcia produktowego (PSS) firmy Microsoft w celu określenia dodatkowych kroków zmierzających do rozwiązania problemu. Należy pozyskać kopię pliku WindowsUpdate.LOG na maszynie docelowej, aby uzyskać pomoc w rozwiązaniu tego problemu.