Skip to main content

MBSA ‑ Häufig gestellte Fragen

Veröffentlicht: 1. Juli 2005 | Aktualisiert: 20. August 2010

Auf dieser Seite

 

Allgemein

Frage: Was ist MBSA?

Microsoft Baseline Security Analyzer (MBSA) ist ein benutzerfreundliches Tool, das kleinen und mittelständischen Unternehmen hilft, ihren Sicherheitsstatus entsprechend den Sicherheitsempfehlungen von Microsoft zu bestimmen, und das Anleitungen für konkrete Abhilfemaßnahmen bietet.Verbessern Sie den Sicherheitsverwaltungsprozess, indem Sie mit Hilfe von MBSA häufig vorkommende Verwaltungsanfälligkeiten und fehlende Sicherheitsupdates auf Computersystemen erkennen.

Frage: Welche neuen Features bietet MBSA 2.2?

MBSA 2.2 ermöglicht einen einfachen Zugriff auf den Offlinemodus und nutzt bei der Fehlerbehebung einen automatischen Fallback auf den Offlinekatalog, wenn die Microsoft Update-Website oder der WSUS-Server nicht verfügbar ist.

Frage: Warum sollte ich auf MBSA 2.2 aktualisieren?

MBSA 2.2 ist ein Update von MBSA 2.1.1, in dem der automatische Fallback auf den Offlinekatalog korrigiert wurde. In MBSA 2.2 wurden einige kleinere Probleme behoben, die Kunden gemeldet haben, darunter:

  • Es wurde eine Option zum Auswählen des Offlinemodus in der grafischen Benutzeroberfläche und der Befehlszeilenschnittstelle hinzugefügt.
  • Es werden weitere Sicherheitskataloge unterstützt (für zukünftige Verwendungszwecke).
  • Die Befehlszeilenoption "/cabpath" wurde hinzugefügt, mit der Kataloge aus einem benutzerdefinierten Verzeichnis oder einer Netzwerkfreigabe abgerufen werden können.
  • Der automatische Fallback auf den Offlinemodus, wenn die Microsoft Update-Website oder WSUS-Server nicht verfügbar ist, wurde korrigiert.
  • Der Downloadlink in abgeschlossenen Überprüfungsberichten wurde entfernt, da das korrekte Paket in einem mehrere Pakete umfassenden Download nicht mehr präzise identifiziert werden kann.
  • Die Produktversion wurde aus dem Cacheverzeichnispfad entfernt, wenn eine Offlinekatalogdatei (CAB) verwendet wird.

Diese Verbesserungen gehen einher mit der Änderung von zwei grundlegenden Funktionen, die in der vorherigen Version von MBSA eingeführt wurden:

  • Benutzer können nun über die Befehlszeile abgeschlossene MBSA-Überprüfungsberichte in einem bestimmten Verzeichnis oder einer Netzwerkfreigabe speichern, indem Sie im Befehlszeilendienstprogramm "mbsacli" die Option "/rd" angeben.Administratoren können auf diese Weise ein MBSA-Skript erstellen, durch das abgeschlossene Überprüfungsberichte in einer bestimmten Netzwerkfreigabe ausgegeben werden. Dies trägt zur Konsolidierung der MBSA-Überprüfungsberichte bei.
  • Der Windows Update-Agent (WUA) auf den von MBSA überprüften Zielcomputern wird weder in der Befehlszeilenschnittstelle noch in der grafischen Benutzeroberfläche automatisch von MBSA aktualisiert.Administratoren müssen nun die Option "Computer für Microsoft Update konfigurieren und Voraussetzungen überprüfen" auswählen, um den neuesten WUA auf jedem überprüften Computer zu installieren.In früheren Versionen von MBSA wurde als Standardeinstellung die automatische Installation verwendet.Die neue Standardeinstellung (d. h. die Deaktivierung der automatischen Aktualisierung von Clients) kann eine Zunahme der Überprüfungsfehler für Clients verursachen, die einen neueren WUA-Client erfordern. Die Administratoren können so jedoch sichergehen, dass auf den Zielcomputern keine überarbeiteten oder aktualisierten Dateien installiert werden.In der Befehlszeilenschnittstelle steht stattdessen die neue Option "/ia" zur Verfügung, mit der Sie die automatische Aktualisierung des WUA-Clients bewusst auswählen können.Diese ersetzt die frühere Option "/nai" zum Deaktivieren der automatischen Aktualisierung des WUA-Clients (Standardverhalten in älteren Versionen von MBSA).
Frage: Welcher Zusammenhang besteht zwischen MBSA und anderen Microsoft Update-Technologien?

MBSA bietet erweiterte Prüfungen der Sicherheitskonfiguration, die über die der anderen Microsoft Update-Technologien hinaus gehen.Darüber hinaus wurde MBSA für die gemeinsame Verwendung mit Microsoft Update (MU), Windows Server Update Services (WSUS), SMS Inventory Tool for Microsoft Updates (ITMU) und System Center Configuration Manager (SCCM) 2007 konzipiert, um den Aktualisierungsstatus von Zielcomputern zu prüfen und zu verifizieren.Durch Verwendung der WUA-Infrastruktur (Windows Update-Agent) ist die Konsistenz zwischen MBSA 2.2 und den anderen Tools gewährleistet.

Frage: Welche Betriebssysteme und Anwendungen werden von MBSA überprüft?

MBSA überprüft eine Vielzahl von Microsoft-Produkten auf Verwaltungsanfälligkeiten sowie fehlende Sicherheitsupdates.Die Überprüfung auf Verwaltungsanfälligkeiten wird für folgende Produkte unterstützt: Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Microsoft Internet Information Services (IIS) 5.0, 5.1 und 6.0, Microsoft Internet Explorer 5.01, 5.5 und 6.0 (einschließlich Internet Explorer 6.0 für Windows XP SP2 und Internet Explorer 6.0 für Windows Server 2003), Microsoft SQL Server 7.0, SQL Server 2000 und SQL Server 2005 sowie Microsoft Office 2000, Office XP und Office 2003.

Die Überprüfung auf Sicherheitsupdates erfolgt dynamisch, wird kontinuierlich erweitert und basiert auf dem Microsoft Update-Katalog.Eine Übersicht über die Produkte, die MBSA auf fehlende Sicherheitsupdates überprüfen kann, finden Sie auf der Seite Von WSUS unterstützte Produkte.Diese Liste ändert sich kontinuierlich, wenn durch Microsoft Update neue Erkennungslogik veröffentlicht wird.

Hinweis:Für Produkte, die auf den überprüften Computern nicht installiert sind, führt MBSA keine Überprüfung auf Sicherheitsupdates durch. Diese Produkte werden außerdem nicht in der Tabelle "Überprüfungsergebnisse für Sicherheitsupdates " des Berichts aufgeführt.

Frage: Wie stelle ich sicher, dass von WSUS verwaltete Clients, die mit MBSA überprüft werden, die Microsoft Update-Website nicht aufsuchen dürfen und keine unzulässigen Updates installieren können?

MBSA erkennt von WSUS verwaltete Clients und stellt nur die Updates zur Verfügung, die vom WSUS-Administrator zugelassen wurden.Darüber hinaus kann der Administrator MBSA so konfigurieren, dass die Microsoft Update-Website weder in der Benutzeroberfläche noch in der Befehlszeilenschnittstelle für die Auswertung von Sicherheitsupdates verwendet wird.Der fertige MBSA-Überprüfungsbericht enthält Angaben zu den Quellen, die zur Auswertung des Sicherheitsstatus verwendet wurden (WSUS-Server, Microsoft Update-Website oder Microsoft Update (offline) mit der Datei "wsusscn2.cab").

Frage: Welche Arten von Updates unterstützt MBSA?

Mit Hilfe von MBSA können alle als Sicherheitsupdate, Updaterollup oder Service Pack auf Microsoft Update veröffentlichten Updates überprüft werden.In Einzelfällen kann es zu Ausnahmen aufgrund eines spezifischen Problems mit Sicherheitsauswirkungen kommen.Die Updates wurden von Microsoft wie folgt definiert:

Sicherheitsupdate ‑ Eine umfassend veröffentlichte Korrektur für eine produktspezifische Anfälligkeit.Die Anfälligkeiten werden nach Schweregrad unterteilt. Im Microsoft-Sicherheitsbulletin wird zwischen kritischen, wichtigen, mittleren und geringfügigen Risiken unterschieden.

Updaterollup ‑ Eine getestete Zusammenstellung von Hotfixes, Sicherheitsupdates, kritischen und anderen Updates, die für eine einfachere Bereitstellung als Paket zusammengefasst wurden.Ein Rollup bezieht sich im Allgemeinen auf einen bestimmten Bereich, z. B. Sicherheit, oder auf eine bestimmte Komponente eines Produkts, z. B. Internet Information Services (IIS).

Service Pack ‑ Eine getestete Zusammenstellung aller Hotfixes, Sicherheitsupdates, kritischen und anderen Updates sowie zusätzlichen Korrekturen für Probleme, die seit der Veröffentlichung des Produkts intern erkannt wurden.Service Packs können nur eine begrenzte Anzahl von Entwurfsänderungen oder Features enthalten, die von Kunden angefordert wurden.

Wenn auf dem überprüften Computer unternehmensinterne Hotfixes installiert sind, werden diese Updates basierend auf der von Microsoft bestimmten Dateiversion bei der Erkennung berücksichtigt.In der Regel werden Dateien mit einer aktuelleren Version als erwartet zugelassen, sofern Microsoft nicht festgelegt hat, dass eine Datei mit einer höheren Version unsicher ist. In letzterem Fall wird das Update im Bericht bereitgestellt.

Hinweis:Von MBSA werden auch Updates wie das Tool zum Entfernen bösartiger Software bereitgestellt, da diese für bestimmte Sicherheitsprobleme relevant sind.Dieses Tool wurde als Updaterollup klassifiziert.

Frage: Worin besteht der Unterschied zwischen MBSA und Microsoft Update?

Microsoft Update ist eine Website, die einen einzelnen Computer überprüfen und fehlende/erforderliche Sicherheitsupdates und andere Updates erkennen und diese als eine Gruppe installieren kann, sofern der Computer über eine Internetverbindung verfügt und die Microsoft Update-Website aufrufen kann.Mit MBSA können mehrere Computer gleichzeitig per Remoteüberprüfung auf fehlende/erforderliche Sicherheitsupdates überprüft werden, egal ob die Zielcomputer über eine Internetverbindung verfügen und die Microsoft Update-Website aufrufen können.

Hinweis:Microsoft Update stellt den Benutzern auch andere, nicht sicherheitsbezogene Updates bereit, z. B. "Wichtige Updates" und "Optionale Updates".Diese nicht sicherheitsbezogenen Updates werden von MBSA nicht angeboten.

Frage: Wie arbeitet MBSA mit Systems Management Server (SMS) und System Center Configuration Manager (SCCM) 2007 zusammen?

SMS und SCCM verfügen ab SMS 2003 Service Pack 1 sowie in allen Versionen von SCCM 2007 über ein integriertes Tools für einen direkten Zugriff auf den Windows Update-Agent und die Überprüfung auf Sicherheitsupdates. MBSA wird für die Überprüfung nicht verwendet.SMS verwendet MBSA nicht mehr für Sicherheitsüberprüfungen, sondern setzt stattdessen die von SMS 2003, SCCM 2007, WSUS Server, SBS Server und MBSA verwendeten Microsoft Update-Technologien ein.

Frage: Wie arbeitet MBSA mit Windows Server Update Services (WSUS) zusammen?

MBSA unterstützt die Durchführung von Sicherheitsupdates im Rahmen einer Überprüfung des Update Services-Servers, dem jeder überprüfte Computer zugeordnet ist, sowie die Durchführung einer eigenständigen Überprüfung für Kunden ohne Update Services-Server.Administratoren können in MBSA Optionen auswählen, um Updates zu ignorieren oder nur die von Update Services zugelassene Updateliste zu berücksichtigen. Standardmäßig wird die Sicherheitsüberprüfung für die Liste der zugelassenen Sicherheitsupdates auf dem Update Services-Server und für die gesamte Liste der verfügbaren Sicherheitsupdates im Microsoft Update-Katalog durchgeführt.Elemente, die auf dem Update Services-Server für den überprüften Computer nicht zugelassen sind, erhalten eine rein informative Wertung, werden jedoch nicht für die Gesamtsicherheitsbewertung gewertet.Elemente, die zwar zugelassen, aber auf dem Zielcomputer nicht installiert sind, erhalten eine entsprechende Warnung und werden als Sicherheitsrisiko eingestuft.

MBSA bietet eine erweiterte Update Services-Option, sodass Zielcomputer, denen kein Update Services-Server zugeordnet ist, Fehler melden und diese vom Helpdesk eindeutig identifiziert werden können.An einer Eingabeaufforderung wird hierfür die Option "/wa" (von WSUS zugelassen) verwendet.

Frage: Welche Sprachen werden von MBSA unterstützt?

MBSA wurde in vier Sprachen lokalisiert:Englisch, Deutsch, Französisch und Japanisch.Die zugrunde liegende Updateerkennung kann Zielcomputer in allen Sprachen überprüfen, die von der Microsoft Update- und Windows Server Update Services-Technologie unterstützt werden.

Frage: Gibt es Einschränkungen hinsichtlich der Nutzung des MBSA-Erkennungskatalogs (WSUSSCN2.CAB) durch Tools von anderen Herstellern als Microsoft?

Nicht direkt. Diese Datei wird jedoch bei Verwendung mit der öffentlichen Windows-API (Application Programming Interface) unterstützt, die vom Windows Update-Agent bereitgestellt wird.Die API lässt diese Datei nur zu, wenn sie über eine gültige digitale Signatur von Microsoft verfügt, und nutzt sie zum Überprüfen des angegebenen Computers.Detaillierte Informationen hierzu finden Sie im Windows Server Update Services Software Development Kit (SDK).

Frage: Gibt es Einschränkungen hinsichtlich der Integration von MBSA in andere Drittanbieterprodukte?

Der Endkunde muss dem Endbenutzer-Lizenzvertrag (EULA) von MBSA zustimmen, der eine Integration von MBSA in Drittanbieterlösungen sowie die Weiterverteilung über andere Mittel untersagt.

Frage: Welche Versionen von MBSA werden unterstützt?

Als Tool ohne offiziellen Support Lifecycle unterstützt Customer Support Services (CSS) immer nur die aktuellste Version von MBSA.

Frage: Wie kann ich feststellen, ob ich über die aktuelle Version der Datei "wsusscn2.cab" für die Offlinenutzung in einer sicheren Umgebung verfüge?

Da Clients mit Hilfe einer Onlinequelle (Microsoft Update oder ein zugeordneter Update Services-Server) sowie einem Offlinekatalog (wsusscn2.cab) überprüft werden können, kann der Bericht eine spezielle Überschrift namens "Katalogsynchronisierungsdatum" enthalten.Bei Verwendung des Offlinekatalogs wird im Bericht der Zeitpunkt angezeigt, zu dem der Katalog generiert wurde. Anhand dieser Angabe können Sie ermitteln, ob Sie den aktuellsten Katalog verwenden.Gehen Sie wie folgt vor, um die Version des Offlinekatalogs zu überprüfen:


Schritt 1:Wenn Sie die Datei noch nicht besitzen, laden Sie diese unter http://go.microsoft.com/fwlink/?LinkId=76054 herunter und speichern Sie sie unter "C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Application Data\Microsoft\MBSA\Cache\wsusscn2.cab".Sie können einen beliebigen Ordner verwenden, in diesem Ordner wird die Datei jedoch durch MBSA nach dem Download gespeichert.


Schritt 2:Öffnen Sie die Datei "C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Application Data\Microsoft\MBSA\Cache\wsusscn2.cab" mit einem Programm, das Archivdateien vom Typ *.cab anzeigen kann.


Schritt 3:Öffnen Sie die in der Datei "wsusscn2.cab" enthaltene Datei "package.cab" und anschließend die darin enthaltene Datei "package.xml".


Schritt 4:Suchen Sie im Headerelement OfflineSyncPackage nach CreationDate.Hierfür sollte ein Wert wie "2010-08-09T22:13:59Z" (Beispiel) festgelegt sein.Anhand dieses Werts können Sie bestimmen, wann die Datei von Microsoft generiert wurde.

Frage: Welche ist die aktuelle Version von MBSA und wie ermittel ich diese?

Die aktuellste Version von MBSA ist Version 2.2, die beim Auswählen von Info in der grafischen Benutzeroberfläche oder beim Ausführen über die Befehlszeilenschnittstelle auch als Version  2.2.2170.0 bezeichnet wird.Sobald eine neue Version von MBSA veröffentlich wird, wird dies automatisch in der grafischen Benutzeroberfläche und Befehlszeilenschnittstelle gemeldet.Diese Überprüfung kann in der Befehlszeilenschnittstelle mit der Option "/nvc" deaktiviert werden.

Systemanforderungen

Frage: Welche Betriebssysteme werden in MBSA unterstützt?

MBSA kann auf den folgenden Betriebssystemen installiert und ausgeführt werden und diese überprüfen: Windows 2000 Service Pack 3 oder höher, Windows XP Home Edition, Windows XP Professional, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 sowie Windows 2008 R2 (mit einigen Einschränkungen).MBSA kann zwar unter Windows XP Home Edition installiert werden und eine lokale Überprüfung ausführen, ein Computer mit Windows XP Home Edition kann jedoch nicht remote auf Verwaltungsanfälligkeiten überprüft werden.Windows XP Professional kann hingegen remote überprüft werden, es muss jedoch mit einer Domäne verbunden sein.Ohne Domänenverbindung kann ein Computer mit Windows XP Professional nur dann remote überprüft werden, wenn die lokale Sicherheitseinstellung auf Klassisch – lokale Benutzer authentifizieren sich als sie selbst festgelegt und die einfache Dateifreigabe deaktiviert wurde.

Die Ausführung von MBSA auf Windows XP Embedded- und Windows IA64-Plattformen ist nicht möglich, eine Remoteüberprüfung dieser Plattformen wird jedoch vollständig unterstützt.Windows 2000 Datacenter wird von MBSA nicht unterstützt, da diese Plattform den erforderlichen Windows Update-Agent nicht unterstützt.

Frage: Unterstützt MBSA gruppierte Computer für die Überprüfung von SQL Server auf Verwaltungsanfälligkeiten?

Gruppierte SQL Server-Konfigurationen werden für eine Überprüfung auf lokale Verwaltungsanfälligkeiten unterstützt, in der Hilfe zu MBSA sind nun jedoch mehrere spezielle Überprüfungen aufgrund bestimmter Einschränkungen bei einer Remoteüberprüfung dokumentiert.Bei der Überprüfung auf Sicherheitsupdates wird der Windows Update-Agent verwendet.

Frage: Was geschieht, wenn ich eine Überprüfung ausführe und der Windows Update-Agent nicht implementiert ist?

In früheren Versionen von MBSA wurde automatisch versucht, die aktuelle Version des Windows Update-Agents auf jedem Zielcomputer zu installieren.Die neueste Version von MBSA verhindert in der Standardeinstellung die Installation von überarbeiteten WUA-Clients, sofern der Administrator nicht die Option "Computer für Microsoft Update konfigurieren und Voraussetzungen überprüfen" auswählt.Ohne Aktivierung dieser Option ist der erforderliche WUA-Client auf dem überprüften Computer nicht vorhanden.Dies kann zu einem Anstieg der unten aufgeführten Warnungen führen, stellt jedoch (in der Standardeinstellung) sicher, dass ohne Zustimmung des Administrators keine Änderungen an den Zielcomputern vorgenommen werden.Wenn der WUA nicht vorhanden ist oder die Version für eine Sicherheitsüberprüfung zu niedrig ist, enthält der abgeschlossene MBSA-Überprüfungsbericht einen der folgenden Fehler:

  • "Auf dem Computer wird eine ältere Clientversion ausgeführt. Die Sicherheitsdatenbank erfordert eine neuere Version."

  • oder

  • "Der Windows Update-Agent wurde nicht gefunden, oder auf dem Computer wird nicht Windows 2000 SP3 oder höher ausgeführt."
Frage: Wird der Windows Update-Agent bei einer Deinstallation von MBSA ebenfalls deinstalliert?

Nein. Der Windows Update-Agent ist ein fester Bestandteil der Windows-Plattform und eine wichtige Sicherheitskomponente, mit der Sie bei Bedarf Updates von einem Update Services-Server oder von Microsoft Update abrufen können.Alle Windows-Computer mit einer Internetverbindung, auf denen Windows 2000 SP3 oder höher ausgeführt wird und auf denen automatische Updates konfiguriert sind bzw. die auf die Microsoft Update-Website zugegriffen haben, werden automatisch auf die neueste Version des WUA-Clients aktualisiert.

Frage: Warum erfordert MBSA einen Clientagenten auf dem Zielcomputer?

Der Windows Update-Agent ist eine Windows-Komponente.Diese ermöglicht die Verwaltung von Updates und ist fest in die Windows-Plattform integriert.Angesichts der höheren Sicherheitsanforderungen empfiehlt es sich, mit Hilfe eines dedizierten, auf dem Computer vorhandenen Clients auf Computer zuzugreifen und diese zu bewerten, anstatt den Client offen zu lassen und einen einfachen Zugriff auf dessen Stammverzeichnis und lokale Registrierung zu ermöglichen.Kunden mit Clients, die keine Internetverbindung bzw. keinen Update Services-Server haben, können MBSA verwenden, um diese Windows-Komponente automatisch bereitzustellen. Hierfür wird die Option "Computer für Microsoft Update konfigurieren und Voraussetzungen überprüfen" oder die Option "/ia" in der Befehlszeilenschnittstelle verwendet.

Frage: Erfordert MBSA einen Update Services-Server?

Nein. Wenn MBSA jedoch einen Computer überprüft, der von einem WSUS-Server verwaltet wird, wird der Aktualisierungsstatus automatisch gemeldet, einschließlich der Administratoreinstellungen für die von WSUS zugelassenen Updates.

Frage: Welche Dienste und Ports sind für die Ausführung von MBSA erforderlich?

Die erforderlichen Dienste sind in der Hilfedatei von MBSA aufgeführt (Link im linken Bereich der Benutzeroberfläche von MBSA).Diese Anforderungen umfassen den Remoteregistrierungsdienst, Serverdienst, Arbeitsstationsdienst, Datei- und Druckerfreigabedienst sowie den Dienst "Automatische Updates".Die Datei "wsusscn2.cab" wird basierend auf Ihren Internet Explorer-Einstellungen per HTTP von der Microsoft-Website heruntergeladen.Für Remotecomputerüberprüfungen werden die TCP-Ports 135, 139 und 445 verwendet. Sind zwei Netzwerke durch eine Firewall oder einen Filterrouter getrennt, müssen die TCP-Ports 135, 139 und 445 sowie die UDP-Ports 137 und 138 geöffnet sein, damit MBSA eine Verbindung zu dem überprüften Remotecomputer herstellen und sich an diesem authentifizieren kann.

Frage: Warum werden leere Kennwörter unter Windows XP Home Edition nicht gekennzeichnet?

MBSA kennzeichnet keine lokalen Benutzerkonten mit leeren Kennwörtern für Computer, auf denen Windows XP ausgeführt wird und die einfache Dateifreigaben verwenden (dies umfasst Computer mit Windows XP Home Edition und Computer mit Windows XP Professional, die mit keiner Domäne verbunden sind, und auf denen einfache Dateifreigaben aktiviert sind).Standardmäßig lassen diese Computer nicht zu, dass sich Konten mit leeren Kennwörtern remote über das Netzwerk anmelden oder andere Anmeldeaktivitäten ausführen mit Ausnahme der Aktivitäten am Anmeldebildschirm der Hauptkonsole.

Frage: Gibt es eine Kurzanleitung, in der die unterstützten Plattformen aufgeführt werden und erläutert wird, wie MBSA diese unterstützt?

Ja. Die für jede Plattform verfügbare Unterstützung wird in der folgenden Tabelle beschrieben.Für einige Plattformen besteht in dieser Version nur eingeschränkte Unterstützung.Mindestanforderungen sind Windows 2000 SP4 sowie die Verfügbarkeit von Windows-Produkten für jeden Prozessortyp.

PlattformSetup:
Installieren der Benutzeroberfläche von MBSA
Bereitstellung:
Installieren des WUA und
Konfigurieren von Microsoft Update
Überprüfung:
Sicherheitsupdates
Überprüfung:
Verwaltungsanfälligkeiten
x86UnterstütztUnterstütztLokal und remoteLokal und remote
x64UnterstütztUnterstütztLokal und remoteLokal und remote
IA64Nicht unterstütztManuell*RemoteNicht unterstützt
EmbeddedNicht unterstütztManuell*RemoteRemote

Beim Überprüfen von Computern mit einer Version von Windows XP Embedded oder von Itanium-basierten (IA64) Computern muss der Administrator den entsprechenden WUA-Client manuell installieren und konfigurieren.

Frage: Gibt es Fälle, in denen Updates von Office im MBSA-Bericht nicht angezeigt werden?

Ja.Office 2000 wird von Microsoft Update nicht unterstützt, sodass MBSA keine Überprüfung auf Sicherheitsupdates für Office 2000-Produkte bereitstellt.Darüber hinaus unterstützen MBSA und Microsoft Update keine Office-Installationen, die von einem administrativen Installationspfad (Administrative Installation Point, AIP) aus durchgeführt wurden.Weitere Informationen zu AIP-Installationen Sie im Knowledge Base-Artikel 903773 "Wenn Sie Microsoft Update oder Windows Server Update Services verwenden keine entsprechenden Microsoft Office-Aktualisierungen angezeigt werden".

Anfängliche Konfiguration

Frage: Muss ich ältere Versionen von MBSA deinstallieren, bevor ich die aktuelle MBSA-Version installiere?

Nein. Eine eventuell vorhandene ältere Version von MBSA wird mit der aktuellen Version aktualisiert.

Frage: Wie verwende ich MBSA in einer sicheren Umgebung, die eine Proxyauthentifizierung erfordert?

MBSA verwendet die Internet Explorer-Einstellungen für den Download.Verwenden Sie die Seite "Internetoptionen" in Internet Explorer, um diese Einstellungen zu konfigurieren.

So konfigurieren Sie Proxyeinstellungen in Internet Explorer

  1. Klicken Sie in Internet Explorer auf Extras und dann auf Internetoptionen.
  2. Klicken Sie auf Verbindungen und dann auf LAN-Einstellungen.
  3. Führen Sie einen der folgenden Schritte durch:

    Wenn im Netzwerk die automatische Erkennung von Proxyservern konfiguriert ist, wählen Sie Automatische Suche der Einstellungen aus.

    oder

    Wenn im Netzwerk die automatische Erkennung von Proxyservern nicht konfiguriert ist, wählen Sie Proxyserver für LAN verwenden aus und geben Sie dann den Namen oder die IP-Adresse des Proxyservers in das Feld Adresse ein.Wenn der Proxyserver keinen Standardport verwendet, müssen Sie die Portnummer in das Feld Port eingeben.

Frage: MBSA verwendet aus dem Internet heruntergeladene Dateien. Der Computer, den ich zum Überprüfen meines Netzwerks verwenden möchte, hat jedoch keine Internetverbindung.Wie verwende ich MBSA in einer sicheren (Offline-) Umgebung?

Sie können die Überprüfung entweder mit dem Befehlszeilendienstprogramm mbsacli und dem Parameter /nd (kein Download) oder mit Hilfe der grafischen Benutzeroberfläche ausführen.Vor der Überprüfung müssen Sie die notwendigen Dateien auf den Computer kopieren, der die Überprüfung ausführt.Vier Dateitypen sind erforderlich:

Kopieren Sie die oben aufgeführten Dateien nach dem Download von der Microsoft-Website in den folgenden Ordner auf dem Computer, der die Überprüfung auf Sicherheitsupdates ausführt:
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Application Data\Microsoft\MBSA\Cache

Wichtig:Um sicherzustellen, dass MBSA Zugriff auf die neuesten Versionen dieser Dateien hat, sollten Sie diese einmal pro Woche oder nach jeder Veröffentlichung von Sicherheitsbulletins durch Microsoft herunterladen.Dies ist insbesondere für den Sicherheitsupdatekatalog (Wsusscn2.cab) wichtig, da Microsoft eine aktualisierte Version dieser Datei bereitstellt, sobald Sicherheitsbulletins veröffentlicht oder aktualisiert wurden.

Wenn Sie MBSA ausführen, um Remotecomputer auf Sicherheitsupdates zu überprüfen, stellt MBSA den Windows Update-Agent auf dem Remotecomputer bereit.Für Itanium-basierte Computer ist zwar auch eine ia64-Version des Windows Update-Agents (WindowsUpdateAgent30-ia64.exe) verfügbar, diese wird von MBSA jedoch nicht automatisch bereitgestellt.Sie muss auf Itanium-basierten Computern installiert und konfiguriert werden, bevor Sie eine Sicherheitsüberprüfung auf diesen Computern ausführen.

Frage: Wie überprüfe ich einen Computer, der durch eine Firewall geschützt ist?

Schritt 1:Systemanforderungen prüfen

MBSA kann einen Remotecomputer, der durch eine Firewall geschützt ist, nur dann überprüfen, wenn die Firewall so konfiguriert ist, dass sie die von MBSA für die Kommunikation mit dem Computer verwendeten Ports öffnet.Der Windows Update-Agent implementiert eine auf DCOM basierende Schnittstelle für die Remoteüberprüfung.Das für die Überprüfung verwendete Konto muss über lokale Administratorrechte verfügen.Darüber hinaus muss die Konfiguration des Computers die folgenden Bedingungen erfüllen:

  • Der Serverdienst, der Remoteregistrierungsdienst sowie der Datei- und Druckerfreigabedienst müssen auf dem Remotecomputer ausgeführt werden.
  • Die erforderlichen Ports müssen in der Firewall geöffnet sein.
  • Der Windows Update-Agent muss installiert sein und der Dienst "Automatische Updates" darf nicht deaktiviert sein.

Für Remotecomputerüberprüfungen werden der TCP-Port 135, ein dynamischer oder statischer DCOM-Port und die Ports 139 sowie 445 verwendet. Sind zwei Netzwerke durch eine Firewall oder einen Filterrouter getrennt, müssen die TCP-Ports 135, 139 und 445 sowie die UDP-Ports 137 und 138 geöffnet sein, damit MBSA eine Verbindung zu dem überprüften Remotecomputer herstellen und sich an diesem authentifizieren kann.Sie müssen zulassen, dass diese Port in der Remote-Firewall geöffnet sind, wenn eine persönliche Firewall verwendet wird.

Hinweis:Die Verwendung von DCOM für Remoteüberprüfungen durch eine Windows-Firewall erfordert in allen Versionen von Windows XP einen Hotfix nach SP2, wie im Microsoft Knowledge Base-Artikel 895200 beschrieben.Kunden erhalten diesen Hotfix, wenn sie das COM+-Update ( Microsoft Knowledge Base-Artikel 902400) wie folgt installieren:

  1. Laden Sie das Update unter http://www.microsoft.com/downloads/details.aspx?FamilyId=20F79CE7-D4DB-42D7-8E57-58656A3FB2F7 im Microsoft Download Center herunter.
  2. Kopieren Sie das Update auf den aktualisierten Computer und öffnen Sie eine Eingabeaufforderung an diesem Computer.
  3. Führen Sie das Update mit den im Microsoft Knowledge Base-Artikel 824994 beschriebenen Befehlszeilenoptionen aus (insbesondere die Befehlszeilenoption "/B:SP2QFE").Auf diese Weise werden alle Korrekturen im Windows XP COM+ Hotfix Rollup Package 9 sowie die im Sicherheitsbulletin MS05-051 veröffentlichten Korrekturen installiert.

Schritt 2:Nicht verwaltete Computer konfigurieren

DCOM ordnet standardmäßig einen dynamischen Port zu. Eine Firewall sperrt jedoch den Zugriff auf diese Ports, sofern diese nicht mit Hilfe des folgenden Verfahrens explizit geöffnet wurden:

  1. Öffnen Sie Port 135 und einen benutzerdefinierten Port in Ihrer Firewall (einige Firewalls lassen Port 135 standardmäßig zu).Der ausgewählte Port sollte überprüft werden, um sicherzustellen, dass er geeignet bzw. keinen anderen Anwendungen zugeordnet ist.
  2. Konfigurieren Sie den Windows Update-Agent so, dass er diesen statischen, benutzerdefinierten Port verwendet, indem Sie einen Registrierungsschlüssel wie folgt festlegen:HKEY_LOCAL_MACHINE\Software\Classes \AppID\{B366DEBE-645B-43A5-B865-DDD82C345492}\Endpoints REG_MULTI_SZ "ncacn_ip_tcp,0,n" (Dabei steht n für die Portnummer, die Sie ausgewählt haben.)Sie können den Endpunkt auch mit Hilfe der Anwendung "Komponentendienste" in der Systemsteuerung konfigurieren.Der Endpunkt Windows Update-Agent - Remotezugriff befindet sich im Pfad Komponentendienste\Computer\Arbeitsplatz\DCOM-Konfiguration.Klicken Sie mit der rechten Maustaste; und wählen Sie Eigenschaften aus. Konfigurieren Sie dann auf der Registerkarte Endpunkte der Seite "Eigenschaften" den statischen Port.

Schritt 3:Verwaltete Computer konfigurieren

Verwenden Sie eine Gruppenrichtlinie, um bestimmte administrative Firewall- und COM+-Einstellungen auf den Zielcomputern bereitzustellen.Im Gruppenrichtlinien-Editor können Sie die erforderlichen Konfigurationseinstellungen vornehmen, wie unter " Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2" im Abschnitt "Deploying Windows Firewall Settings With Group Policy" beschrieben.

Einstellungen für die Windows-Firewall:Für die Windows-Firewall sollten die folgenden Einstellungen verwendet werden.

  • Windows-Firewall:Remoteverwaltungsausnahme zulassen.Ermöglicht die Remotekonfiguration mit Hilfe von Tools wie Microsoft Management Console (MMC) und Windows Management Instrumentation (WMI).
  • Windows-Firewall:Ausnahme für Datei- und Druckerfreigabe zulassen.Gibt an, ob Datei- und Druckerfreigabeübertragungen zulässig sind.
  • Windows-Firewall:Portausnahmen festlegen.Gibt ausgeschlossene Übertragungen bezogen auf TCP- und UDP-Ports an.Definieren Sie in diesem Schritt die gleichen Ports, die Sie für nicht verwaltete Computer und im Schritt für die Systemanforderungen ausgewählt haben.

Weitere Informationen zu den Einstellungen, die in der Verwaltungsvorlage für Windows-Firewalls verfügbar sind, wurden im Artikel " Using the Windows Firewall INF File in Microsoft Windows XP Service Pack 2" im Abschnitt "Enabling Remote Administration" und “Adding Static Ports to Windows Firewall’s Default Exceptions List" dokumentiert.

COM+-Einstellungen:Die Registrierungseinstellungen für den COM+-Endpunkt des Windows Update-Agents können mit Hilfe einer Gruppenrichtlinie im Rahmen eines Startskripts konfiguriert werden.Eine Anleitung für das Zuweisen von Startskripts finden Sie auf der Microsoft-Website unter http://technet.microsoft.com/de-de/library/cc779329(WS.10).aspx.Das Skript muss den folgenden Befehl enthalten:reg add HKLM\Software\Classes\AppID\{B366DEBE-645B-43A5-B865-DDD82C345492} /v Endpoints /t REG_MULTI_SZ /d ncacn_ip_tcp,0,n /f (Dabei steht n für die Portnummer, die Sie ausgewählt haben.)

Hinweis:Beachten Sie bei Verwendung dieser Methode, dass ggf. weitere Verwaltungsvorlageneinstellungen notwendig sind, um diese Registrierungseinstellung zu entfernen, sollte die Funktionalität nicht mehr benötigt werden.

Überprüfung

Frage: Wie funktionieren die Überprüfungsoptionen des Dienstes für erweiterte Updates?

Standardmäßig werden bei der Überprüfung der dem Client zugeordnete Update Services-Server (sofern vorhanden) und der Microsoft Update-Katalog verwendet.Die Ergebnisse werden verglichen und die nicht genehmigten Update Services-Updates werden im Bericht mit einer Informationswertung versehen (blauer Stern).Auf diese Weise kann MBSA Best Practices-Hinweise zu optimalen Einstellungen für jedes Update mit oder ohne Update Services-Server bereitstellen.

Mit Hilfe der erweiterten Optionen können Sicherheitsprüfer festlegen, dass für die Überprüfung nicht die Liste der genehmigten Updates von Update Services verwendet werden soll. Ebenso können Update Services-Administratoren auswählen, dass für die Überprüfung nicht die Liste der verfügbaren Updates von Microsoft Update genutzt werden soll, sondern dass der Schwerpunkt auf den genehmigten Updates liegt.Darüber hinaus bietet die aktuelle Version von MBSA eine neue Option zum Auswählen des Offlinemodus, in dem nur die Offlinekatalogdatei (wsusscn2.cab) verwendet wird.

Wenn sich ein Administrator für eine Überprüfung ohne die Liste der verfügbaren Updates auf Microsoft Updates entscheidet, können Clients, die keinen Update Services-Server aufweisen, nicht überprüft werden und geben einen Fehler zurück, demzufolge sie möglicherweise nicht die korrekten verwalteten Updates erhalten.

Frage: Wie schnell kann MBSA einen oder mehrere Computer auf Sicherheitsupdates überprüfen?

Die erste Überprüfung eines bestimmten Clients dauert ein weniger länger als normal, die nachfolgenden Überprüfungen erfolgen jedoch deutlich schneller, da die Microsoft Update- und WUA-Konfigurationen bereits vorhanden sind.Bei Folgeüberprüfungen hängt die Leistung von der Verbindungsgeschwindigkeit mit der Microsoft Update-Website bzw. dem Update Services-Server sowie von dem Zeitraum ab, der seit der letzten Synchronisierung des Katalogs mit dem Server vergangen ist.Die Anzahl und der Typ der installierten Produkte kann die Leistung einer Überprüfung ebenfalls beeinflussen.Da die Leistung variiert, sollten Sie diese Zeitangaben basierend auf Ihrer Hardwarekonfiguration und Ihren Servereinstellungen prüfen.

Hinweis:Die Überprüfung auf verschiedene Verwaltungsanfälligkeiten kann diesen Prozess verlangsamen, insbesondere wenn die Überprüfung auf unsichere Kennwörter ausgeführt wird.

Frage: Wie viele Computer kann MBSA gleichzeitig überprüfen?

Die Überprüfung in MBSA erfolgt nicht parallel, außer es werden mehrere Kopien von MBSA gleichzeitig ausgeführt, die jeweils unterschiedliche Computer überprüfen."Mbsacli.exe" kann mit dem neuen Parameter /listfile (Liste der Computernamen oder IP-Adressen) verwendet werden, um in einer Textdatei per Name oder IP-Adresse aufgeführte Computer zu überprüfen.Diese Datei darf maximal 100 MB groß sein.Mit Hilfe von Skripts (nicht im Lieferumfang des MBSA-Downloadpakets enthalten) können Administratoren dieser Datei anhand der Zielgruppe eines Update Services-Server oder anhand von Active Directory Inhalte hinzufügen.

Frage: In früheren Versionen von MBSA wurde beim Überprüfen stets versucht, eine CAB-Datei herunterzuladen. Warum ist dies in der neuen Version von MBSA nicht mehr der Fall?

MBSA lädt die Datei "wsusscn2.cab" bei der ersten Überprüfung sowie nach jeder Änderung der Datei auf der Microsoft-Website herunter.Die von MBSA hervorgerufene Internetaktivität kann vollständig vermieden werden, indem Sie die Parameter /nvc (keine Versionsprüfung für Tool), /catalog (Offlinekatalogdatei) und /nd (kein Download) des Befehlszeilendienstprogramms verwenden, wie in der Hilfe zu MBSA beschrieben ist.

Hinweis:Um sicherzustellen, dass MBSA Zugriff auf die neuesten Versionen dieser Dateien hat, sollten Sie diese einmal pro Woche oder nach jeder Veröffentlichung von Sicherheitsbulletins durch Microsoft herunterladen.Dies ist insbesondere für den Sicherheitsupdatekatalog (wsusscn2.cab) wichtig, da Microsoft eine aktualisierte Version dieser Datei bereitstellt, sobald Sicherheitsbulletins veröffentlicht oder aktualisiert wurden.

Frage: Was ist mit der Formatüberprüfung "HFNetChk" aus früheren Versionen von MBSA geschehen?

Das frühere Erkennungsmodul von MBSA wurde durch den Windows Update-Agent ersetzt, der vollständig in die MBSA-Formatüberprüfung integriert wurde.Für Benutzer, die den /HF-Überprüfungsmodus aus früheren Versionen von MBSA kennen, ist eine einfache Lösung verfügbar, die nur "Mbsacli.exe" und "Wusscan.dll" erfordert und den Parameter /xmlout (XML-Daten) verwendet.Dieser Parameter stellt an der Konsole eine Basisausgabe im XML-Format bereit, durch die eine schnelle und einfache Integration mit anderen Lösungen ermöglicht wird.Die Ausgabe enthält alle Datenelemente des /HF-Modus sowie weitere Informationen.

Frage: Was ist mit der Möglichkeit geschehen, nur mittels MBSACLI.EXE /HF eine Überprüfung auf Sicherheitsupdates ohne vollständige Installation von MBSA ("MBSA Lite") auszuführen?

Die /HF-Parameter wurden zwar durch neue MBSA-Funktionen ersetzt, es kann jedoch mit einem Minimum an MBSA-Dateien eine lokale Überprüfung auf Sicherheitsupdates durchgeführt werden, die jedoch keine Überprüfung auf Verwaltungsanfälligkeiten einschließt.

Kopieren Sie für eine lokale Überprüfung auf Sicherheitsupdates die Dateien MBSACLI.EXE und WUSSCAN.DLL aus einer vollständigen Installation von MBSA in ein neues Verzeichnis auf dem lokalen Computer.Sie müssen außerdem die neueste Version des Sicherheitsupdatekatalogs (wsusscn2.cab) herunterladen und diesen im Verzeichnis "C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Application Data\Microsoft\MBSA\Cache" speichern.

  • Der Sicherheitsupdatekatalog (wsusscn2.cab) steht auf der Microsoft-Website zur Verfügung.

Wenn Sie den Zielcomputer zum ersten Mal mit MBSA überprüfen oder wenn Sie sicherstellen möchten, dass der WUA-Client auf dem lokalen Computer auf die neueste Version aktualisiert wird, müssen Sie zudem den Autorisierungskatalog und die aktuelle Installationsdatei für den Windows Update-Agent in das gleiche Verzeichnis "C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Application Data\Microsoft\MBSA\Cache" kopieren.

  • Der Autorisierungskatalog für den Zugriff auf die Windows Update-Website (Muauth.cab) steht auf der Microsoft-Website zur Verfügung.
  • Der Windows Update-Agent für die jeweilige Plattform (falls noch nicht installiert).Die aktuelle Version für die verschiedenen Plattformen finden Sie in der Datei "wuredist.cab" unter http://update.microsoft.com/redist/wuredist.cab.

Um die Überprüfungsergebnisse in diesem Modus auszugeben, muss der Schalter /XMLOUT verwendet werden.In diesem Modus ("MBSA Lite") ist nur ein Teil der MBSA-Befehlszeilenfunktionen verfügbar:

  • /catalog (zum Angeben eines alternativen Speicherorts für die Datei "wsusscn2.cab")
  • /wa (nur auf dem WSUS-Server zugelassene Updates anzeigen)
  • /wi (alle Updates anzeigen, unabhängig von den zugelassenen Updates auf dem WSUS-Server)
  • /nvc (nicht auf eine aktuelle Version von MBSA überprüfen)
  • /nd (keine Dateien von der Microsoft Update-Website herunterladen)
  • /unicode (in Unicode-kompatiblem Format ausgeben)

Wenn Sie den Parameter /xmlout verwenden, müssen Sie die XML-Ausgabe mit Hilfe einer standardmäßigen Konsolenumleitung explizit in eine Datei umleiten.Zudem müssen die XML-Ergebnisse separat von MBSA verarbeitet werden, da sie ein anderes Format verwenden als die vollständigen MBSA-Berichtsdateien.Der Vorteil dieses Parameters ist, dass nicht das vollständige Installationspaket von MBSA 2.0 erforderlich ist, wenn Sie auf einem einzelnen Computer nach Updates suchen möchten.Wenn die minimalen Systemanforderungen erfüllt sind, werden nur die oben genannten Moduldateien benötigt.

Frage: Unterstützt MBSA die 64-Bit-Versionen von Windows?

Ja.MBSA bietet umfassende Unterstützung für die Überprüfung von x86-, x64- und ia64-Plattformen auf Sicherheitsupdates.Darüber hinaus unterstützt MBSA die Anfälligkeitsbewertung (Vulnerability Assessment, VA) auf x86- und x64-Plattformen.

Frage: Unterstützt MBSA die Windows XP Embedded-Versionen?

Ja.MBSA kann Windows XP Embedded remote auf Sicherheitsupdates überprüfen, wenn der entsprechende Windows Update-Agent bereits vorhanden ist (nicht alle Versionen von Windows XP Embedded unterstützen die Installation des WUA-Clients).Die Überprüfung auf allgemeine Fehler in der Sicherheitskonfiguration bei der Überprüfung von Windows XP Embedded wird unterstützt.Eine detaillierte Beschreibung der Funktionen zum Überprüfen auf Sicherheitsupdates und Verwaltungsanfälligkeiten sowie der für diese Plattformen bestehenden Einschränkungen finden Sie in der Hilfe zu MBSA.

Hinweis:Alle Systemanforderungen von MBSA müssen erfüllt sein. Wenden Sie sich diesbezüglich an den Hersteller oder Systemadministrator des Computers.Diese Anforderungen umfassen den Arbeitsstations-, Server-, Remoteregistrierungs, Datei- und Druckerfreigabedienst sowie einen aktuellen WUA-Client, so wie in der Hilfedatei zu MBSA angegeben.

Frage: Mit welchen Überwachungsmeldungen muss ich bei einer MBSA-Überprüfung auf dem Clientcomputer (Ziel) rechnen?

Zusätzlich zur aktuellen Überwachungsmeldung, die in das Ereignisprotokoll geschrieben wird, können zusätzliche Ereignisse basierend auf dem Remoteinstallationsprogramm festgehalten werden, das MBSA zum Konfigurieren des Zielcomputers für die Verwendung des Windows Update-Agents oder Microsoft Update für die Überprüfung verwendet.Ein Beispiel für ein solches Ereignis:

Event Type:Information
Event Source:MBSA
Event Category:None
Event ID:1
Date:3/12/2005
Time:1:33:44 PM
User:domain\username
Computer:computer
Description: Security analysis complete.
Scanned from nnn.nnn.n.n.
Microsoft Baseline Security Analyzer version 2.2.2170.0.

For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp

Frage: Welche Art von Pfad kann mit den Befehlszeilenparametern "/catalog" (Offlinekatalogdatei) und "/cabpath" verwendet werden?

Wenn Sie den lokalen Computer mit dem MBSA-Befehlszeilendienstprogramm (Mbsacli.exe) überprüfen, können Sie lediglich für den Parameter /cabpath einen UNC-Pfad (Universal Naming Convention) oder ein zugeordnetes Netzlaufwerk als Argument angeben, nicht jedoch für den älteren Parameter /catalog (Offlinekatalogdatei).

Gültige Beispielbefehle sind:

Mbsacli.exe /catalog wsusscn2.cab (current directory)
Mbsacli.exe /catalog c:\catalogs\wsusscn2.cab (fully qualified path)
Mbsacli.exe /catalog \folder\wsusscn2.cab (relative path)
Mbsacli.exe /cabpath c:\catalogs\wsusscn2.cab (fully qualified path)
Mbsacli.exe /cabpath \\RemoteMachine\cabs (UNC path)

Berichterstellung

Frage: Warum wird für einige Überprüfungen ein blaues Symbol und ein Link "Vorgehensweise zur Behebung" zurückgegeben?

Verschiedene Überprüfungen geben eine Best Practice-Wertung anstelle einer Wertung für einen Fehler bzw. das potenzielle Risiko zurück.Diese Überprüfungen enthalten einen Link zu Korrekturmaßnahmen und Anleitungen, die sorgfältig gelesen werden sollten.Dies gilt beispielsweise für die folgenden Überprüfungen:

  • Unvollständige Updates
  • Windows-Firewall
  • SQL Server ‑ Dienstkonten
  • SQL Server – Mitglieder der sysadmin-Rolle

Die Überprüfung Unvollständige Updates gibt nur dann ein gelbes Symbol (potenzielles Risiko) zurück, wenn mindestens ein unterstütztes Update den Status "Neustart erforderlich" aufweist.Da andere Updates diesen Status haben könnten, dieser jedoch nicht bestimmt werden kann, weil die Updates in einer älteren Version des Installationsprogramms zu einem Paket zusammengefasst wurden, kann keine vollständige Überprüfung durchgeführt und eine "Bestanden"-Wertung angegeben werden.

Die Überprüfung Windows-Firewall gibt ein grünes Symbol (für eine bestandene Wertung) zurück, wenn die Firewall ohne jede Ausnahme aktiviert ist.Bei allen anderen Konfigurationen wird ein blaues Symbol zurückgegeben, um die Details der Einstellungen bereitzustellen, sofern die Ausnahmerichtlinie vom Computeradministrator als sicher eingestuft wurde.

Die zwei SQL Server-Überprüfungen (Dienstkonten und Mitglieder der sysadmin-Rolle) geben immer ein blaues Symbol zurück, da eine bestandene Wertung möglicherweise nicht in der Unterstützungsrichtlinie für Produkte vorgesehen ist, die MSDE- oder WMSDE-Ableitungen von SQL Server 2000 weitergeben. Nur Produkte, die MSDE oder WMSDE verwenden, können die Sicherheit der Konfiguration bewerten.

Frage: Wofür wird die Spalte "Maximaler Schweregrad" im Bericht verwendet?

Diese Spalte bezieht sich auf den maximalen Schweregrad in dem von Microsoft veröffentlichten Sicherheitsbulletin.Es können mehrere Produkte pro Sicherheitsbulletin betroffen sein, die jeweils unterschiedliche Schweregradbewertungen aufweisen.Als maximaler Schweregrad wird der Schweregrad des betroffenen Produkts bezeichnet, das den höchsten Schweregrad innerhalb des Bulletins aufweist.Anhand dieses Werts können Administratoren die Risiken und die Dringlichkeit der Bereitstellung des Updates einstufen.

Frage: Warum ist in meinem Bericht kein Datum für die Katalogsynchronisierung angegeben?

Dieser Wert wird nur dann in Berichte aufgenommen, wenn der Offlinekatalog für die Überprüfung verwendet wurde.Dies ist der Fall, wenn der Sicherheitsupdatekatalog Microsoft Update (offline) beinhaltet.Durch Angabe des Befehlszeilenparameters /catalog (Offlinekatalogdatei) oder /cabpath wird sichergestellt, dass dieser Wert für alle Berichte verfügbar ist und dass Kunden, die dieses Feld in früheren Versionen von MBSA verwendet haben, einen genaueren Vergleich der Berichte basierend auf einem spezifischen Zeitpunkt erhalten.

Frage: Beim Überprüfen eines Windows Small Business Server wird ein rotes Symbol für einen "SBS-Sicherungsbenutzer" in der Überprüfung "IE-Zonen" angezeigt. Ist dies normal?

Ja, dies ist ein bekanntes Problem in den Windows Small Business Server-Produkten.Das Problem tritt auf, wenn der SBS-Sicherungsbenutzer mindestens einmal im Sicherungsvorgang verwendet wurde. Es bleibt so lange bestehen, bis Sie sich mit dem gleichen Benutzerkonto mindestens einmal interaktiv an der Konsole angemeldet haben.

Frage: Kann ich die MBSA-Rollupskripte weiterhin mit MBSA verwenden?

Ja.Aktualisierte Beispiele finden Sie im Microsoft Download Center.Es wird außerdem empfohlen, Microsoft Office Visio 2007 Connector for MBSA 2.2 herunterzuladen. Dieser bietet noch umfangreichere Funktionen als die Skriptbeispiele.

Frage: Wie gehe ich vor, wenn ich anstelle von XML Textausgaben benötige, so wie sie in früheren Versionen von MBSA durch den Parameter "/HF" bereitgestellt wurden?

Bei Verwendung von "Mbsacli.exe" erhalten Sie standardmäßig eine Textausgabe.Dies kann mit dem Parameter /qt (stille Textausgabe) unterdrückt werden. Die Ausgabe entspricht der durch die Option /ld (Berichtsdetails aufführen) bereitgestellten Ausgabe.

Frage: Warum werden bestimmte installierte Updates in dem Bericht nicht angezeigt?

Die in den Abschnitten zu Sicherheitsupdates des Berichts angezeigten Updates beziehen sich auf Elemente, die nicht durch neuere Updates ersetzt wurden.Zahlreiche von Microsoft veröffentlichte Updates sind kumulativ und enthalten frühere Korrekturen. Es ist somit häufig der Fall, dass ein zusätzliches Maß an Schutz bereitgestellt wird.Die Korrekturen aus früheren Updates, die in den aktuell installierten Updates enthalten sind, können dem Sicherheitsbulletin oder der Korrekturliste für das Update entnommen werden.Darüber hinaus können Sie beim Installieren eines Updates in diesem Abschnitt des Berichts überprüfen, ob das Update tatsächlich installiert wurde, indem Sie den Computer nach Abschluss der Installation erneut überprüfen (einschließlich aller erforderlichen Neustarts des Computers).

Frage: Kann ich das von MBSA verwendete Bewertungssystem für Elemente ändern, die meiner Meinung nach kein Risiko für den Computer darstellen?

Nein, die in MBSA verwendeten Überprüfungen und Wertungen können nicht geändert werden.Sie können jedoch ein Skript verwenden, um die Elemente herauszufiltern, die Sie nicht überwachen bzw. in den Bericht einschließen möchten.

Frage: Wie sind die Bewertungen des maximalen Schweregrads zu interpretieren, die in MBSA-Berichten angezeigt werden?

Diese Bewertungen helfen Ihnen, die mit den im Sicherheitsbulletin veröffentlichten Erkenntnissen verbundenen Risiken einzustufen und zu verwalten.Am Ende jedes MBSA-Berichts, der die Ergebnisdetails für die Überprüfung auf Sicherheitsupdates nutzt, finden Sie einen Link zu weiterführenden Informationen.Einzelheiten zu den verschiedenen Bewertungen und Informationen zu deren Nutzung in Ihrer Umgebung finden Sie auf der Microsoft-Website.

Frage: Was bedeuten die roten, gelben und blauen Symbole in den MBSA-Überprüfungsberichten?

MBSA zeigt in den Wertungsspalten des Berichts verschiedene Symbole an, je nachdem ob auf dem überprüften Computer eine Anfälligkeit gefunden wurde.Von MBSA werden zwei unterschiedliche Arten von Überprüfungen durchgeführt:die Überprüfung auf Verwaltungsanfälligkeiten (Administrative Vulnerability, VA) und die auf Sicherheitsupdates.

Bei der Überprüfung auf Verwaltungsanfälligkeiten wird ein rotes X angezeigt, wenn eine wichtige Überprüfung fehlschlägt (z. B. wenn ein Benutzer ein leeres Kennwort hat).Schlägt eine weniger wichtige Überprüfung fehl, wird ein gelbes X angezeigt (z. B. wenn ein Konto über ein Kennwort ohne Ablaufdatum verfügt).Wenn die Überprüfung bestanden wurde, wird ein grünes Häkchen angezeigt (d. h. wenn für die jeweilige Überprüfung kein Problem erkannt wurde).Für Best Practice-Überprüfungen wird ein blaues Sternchen verwendet (z. B. für die Überprüfung, ob die Überwachung aktiviert ist) und für Überprüfungen, die lediglich Informationen über den überprüften Computer bereitstellen (z. B. die Betriebssystemversion des überprüften Computers), wird ein blaues, sternförmiges Informationssymbol angezeigt.

Für die Überprüfung auf Sicherheitsupdates wird ein rotes X angezeigt, wenn MBSA feststellt, dass auf dem überprüften Computer ein Sicherheitsupdate fehlt.Für Warnmeldungen wird ein gelbes X verwendet (z. B. wenn der Computer nicht über das aktuellste Service Pack oder Updaterollup verfügt). Für Informationsmeldungen wird ein blauer Stern angezeigt, der darauf hinweist, dass ein Update keinen kritischen Status hat oder dass ein Update für den Computer nicht verfügbar ist, da es auf dem Update Services-Server nicht genehmigt wurde.Die Wertungen für die Systemkonfigurationsüberprüfungen können nicht geändert oder neu zugewiesen werden.

Frage: Wie gewährleistet MBSA die Erkennung von teilweise installierten Updates?

Einige Updates ersetzen Dateien, die aktuell von Windows verwendet werden und erst nach einem Neustart von Windows vollständig installiert werden.Mit dem Dienst "Automatische Updates", Windows Update oder Microsoft Update installierte Updates werden im MBSA-Bericht entsprechend gekennzeichnet:Ein teilweise installiertes Update wird als nicht installiert gemeldet, da ein Neustart erforderlich ist.Zudem werden alle Updates, die noch nicht vollständig angewendet wurden und für die ein Neustart aussteht, im Abschnitt zu den Windows-Verwaltungsanfälligkeiten des abgeschlossenen Überprüfungsberichts angezeigt.Diese Überprüfung auf Verwaltungsanfälligkeiten bezieht sich nicht auf ein konkretes Update, sondern spiegelt das potenzielle Risiko wider, das mit dem Update eines beliebigen Projekts verbunden ist, wenn ein während des Updates angeforderter Neustart des Computers nicht ausgeführt wurde.Die Hilfe zu MBSA enthält Anweisungen, wie Sie ein Updatepaket überprüfen und ermitteln, ob es in dieser Version des Installationsprogramms enthalten ist.

Frage: Wie erkennt MBSA ein einzelnes Bulletin, das mehrere Produkte enthält?

Updates für mehrere Produkte innerhalb des gleichen Bulletins werden in der Spalte "Rubrik" der Berichtszusammenfassung als unterschiedliche Produktfamilien angezeigt.Jede produktspezifische Variation innerhalb des Bulletins enthält normalerweise eine andere Knowledge Base-Artikelnummer. In Einzelfällen kann es jedoch auch mehrere Updates innerhalb der gleichen Produktkategorie geben.

Wenn sich beispielsweise ein Sicherheitsbulletin sowohl auf Windows Media Player als auch auf SQL Server bezieht, werden in der Berichtszusammenfassung zwei separate Rubriken mit zwei separaten Ergebnisdetails angezeigt.In diesem Beispiel hätte jedes Element die gleiche Bulletin-ID, die standardmäßige Namenskonvention für Updatetitel enthielte die Knowledge Base-Artikelnummer und die Spalte "Beschreibung" wäre mit der Webseite des Supportartikels für diese Rubrik verknüpft.

Ein anderes Beispiel wären mehrere Produkte innerhalb der gleichen Familie, z. B. Windows Messenger und Windows Media Player (beides Komponenten von Windows).In diesem Beispiel würden separate Updates im gleichen Abschnitt "Ergebnisdetails" des Berichts bereitgestellt, sie hätten jedoch die gleiche Bulletin-ID.Wenn die produktspezifische ID des Knowledge Base-Artikels benötigt wird, kann der Bericht in einem beliebigen XML-Viewer angezeigt werden (z. B. im Editor oder Internet Explorer). Die Artikelnummer finden Sie dann im Attribut KBID.

Kurz nach der Veröffentlichung von Microsoft Update werden weitere IDs mit veröffentlichten Updates in den MBSA-Bericht aufgenommen, die sich direkt der einzelnen Anfälligkeiten annehmen, mit denen sich das Bulletin beschäftigt (meist im Format "CAN-..." oder "CVE-...", wie in dem jeweiligen Sicherheitsbulletin angegeben).Es ist keine neue Version von MBSA erforderlich, sondern nur die neuen Daten, die mit den bereitgestellten Updates veröffentlicht werden sollen.

Frage: Sortiert MBSA die Ergebnisse einer Überprüfung auf Sicherheitsupdates?

Nein. Die Ergebnisse werden in dem Bericht in der Reihenfolge gespeichert, in der sie vom Windows Update-Agent an MBSA zurückgegeben werden.Diese Version von MBSA unterstützt keine vom Benutzer konfigurierte Sortierung in den Berichten. Die Berichte können jedoch nach Excel exportiert und dort sortiert oder mit Hilfe eines Skripts verarbeitet werden, um die Daten für eine externe Anwendung in einer bestimmten Reihenfolge darzustellen.

Frage: Warum wird das Microsoft Windows-Tool zum Entfernen bösartiger Software als fehlendes Service Pack oder Updaterollup gemeldet?

MBSA meldet sicherheitsrelevante Best Practices.Bei dem Microsoft Windows-Tool zum Entfernen bösartiger Software handelt es sich um ein kumulatives monatliches Update, das Rückstände von bekannter bösartiger Software entfernt, die auch nach Anwendung des Sicherheitsbulletins auf den Computer zurückgeblieben sind.Wird dieses Tool nicht regelmäßig ausgeführt, können bösartige Dateien oder Einstellungen auf dem Computer vorhanden sein.

Frage: Warum wird für manche Updates kein Link in der Spalte "Beschreibung" der Berichtsdetails angezeigt?

Manche auf Microsoft Update veröffentlichte Updates enthalten keine Links. In den meisten Fällen können die Benutzer jedoch über den Sicherheitsbulletinlink auf die benötigten Informationen zugreifen.

Frage: Wo werden die MBSA-Sicherheitsberichte gespeichert?

Die Sicherheitsberichte werden standardmäßig als .mbsa-Dateien im XML-Format im Verzeichnis "%userprofile%\SecurityScans" gespeichert.Abgeschlossene MBSA-Überprüfungsberichte können über die Befehlszeilenschnittstelle in einem anderen Verzeichnis oder einer Netzwerkfreigabe gespeichert werden, indem Sie in der Befehlszeilenschnittstelle die Option "/rd" (Berichtsverzeichnis) angeben.Diese neue Funktion wird in der grafischen Benutzeroberfläche nicht unterstützt.

Beheben häufig auftretender Fehler

Frage: Warum wird der Fehler "Windows Update-Agent ist nicht installiert. Vergewissern Sie sich, dass der lokale Computer mit den Standardeinstellungen überprüft wurde, oder installieren Sie den Agent manuell." angezeigt?

Für die Remoteüberprüfung muss die neueste Version des Windows Update-Agents auf dem Computer vorhanden sein, auf dem MBSA ausgeführt wird. Sie müssen diese daher installieren, bevor Sie eine Remoteüberprüfung durchführen.MBSA verfügt über eine Funktion zur automatischen Installation des Agenten, Sie können diesen jedoch auch manuell installieren.Sie können das Installationsprogramm über einen der folgenden Links abhängig von dem Computer, der das Problem meldet, aus dem Microsoft Download Center herunterladen:

  • Für x86-basierte Computer (WindowsUpdateAgent30-x86.exe) oder
  • Für x64-basierte Computer (WindowsUpdateAgent30-x64.exe) oder
  • Für ia64-basierte Computer (WindowsUpdateAgent30-ia64.exe): Die aktuellen Versionen finden Sie im Inhalt der Datei "wuredist.cab" unter http://update.microsoft.com/redist/wuredist.cab.
Frage: Ich habe eine Offlineüberprüfung mit MBSA durchgeführt und es wurde eine Meldung zurückgegeben, derzufolge eine veraltete Version der komprimierten CAB-Datei für das Sicherheitsupdate erkannt wurde.Was bedeutet dies und wie verhalte ich mich?

MBSA 2.2 verwendet eine CAB-Datei für das Sicherheitsupdate (wsusscn2.cab), die anders formatiert ist als die in der Vorgängerversion (wsusscan.cab).Der Grund dieser Änderung wird im Microsoft Knowledge Base-Artikel 926464 erläutert.Sie müssen die neue Offlineüberprüfungsdatei "wsusscn2.cab" herunterladen, indem Sie auf http://go.microsoft.com/fwlink/?LinkId=76054 klicken.Speichern Sie diese dann unter "C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Application Data\Microsoft\MBSA\Cache\wsusscn2.cab".

Frage: Warum wird der Fehler "Windows Update-Agent wird auf diesem Betriebssystem nicht unterstützt" angezeigt, obwohl auf dem Computer Windows 2000 Service Pack 3 oder höher ausgeführt wird?

MBSA und der Windows Update-Agent erfordern Windows 2000 Service Pack 3 oder höher.Für die von MBSA durchgeführte Versionsprüfung wird die Systemregistrierung verwendet, sodass bei Deaktivierung des Remoteregistrierungsdienstes auf dem überprüften Remotecomputer dieser Fehler angezeigt wird.Stellen Sie zum Beheben dieses Fehlers sicher, dass der Remoteregistrierungsdienst auf dem Zielcomputer ausgeführt wird.

Frage: Warum wird der Fehler "Fehler beim Übertragen des Windows Update-Agent auf den Zielcomputer.(0x80070003)" angezeigt?

Diese Meldung kann angezeigt werden, wenn Sie eine Remoteüberprüfung eines Computers mit aktivierter Option Computer für Microsoft Update konfigurieren und Voraussetzungen überprüfen ausführen und das Remoteinstallationsprogramm durch Antiviren- oder Antispywareprodukte blockiert wurde.Sie können die Software, die den Abschluss der Installation durch das MBSA-Installationsprogramm verhindert, so konfigurieren, dass MBSA den Zielcomputer aktualisiert, oder Sie aktualisieren den Computer manuell, indem Sie die Anweisungen im Thema MBSA verwendet aus dem Internet heruntergeladene Dateien. Der Computer, den ich zum Überprüfen meines Netzwerks verwenden möchte, hat jedoch keine Internetverbindung. Wie verwende ich MBSA in einer sicheren (Offline-) Umgebung? der häufig gestellten Fragen ausführen.

Frage: Warum wird der Fehler "Fehler beim Überprüfen auf Sicherheitsupdates (0x8024402c)" angezeigt?

Dieser Fehler kann verschiedene Ursachen haben:

  • Dieser Fehler wird zurückgegeben, wenn der Clientcomputer eine Registrierung für einen Update Services-Server hat und der Agent den Server nicht kontaktieren kann.
  • Der Fehler kann ebenfalls auftreten, wenn der Server zwar im Netzwerk vorhanden ist, der Client den Server jedoch nicht kontaktieren kann. Er weist in diesem Fall auf ein mögliches Problem in der Konfiguration des Proxyservers oder auf Konnektivitätsprobleme hin, durch die der Prozess zum Auflösen des Netzwerknamens verhindert, dass der Client den Server im Netzwerk findet.

Überprüfen Sie die Proxyeinstellungen des Computers, auf dem MBSA ausgeführt wird, und stellen Sie sicher, dass der Zugriff auf den zugewiesenen WSUS-Server im Netzwerk möglich ist.

Frage: Warum wird der Fehler "Sicherheitsupdatedatenbanken konnten nicht gedownloadet werden" gefolgt von "Die Katalogdatei ist beschädigt oder der Katalog ist ungültig" angezeigt?

Beim Download des Microsoft Update-Offlinekatalogs (wsusscn2.cab) vor jedem Überprüfungsversuch werden die heruntergeladenen Dateien auf eine gültige digitale SIgnatur von Microsoft überprüft, bevor sie verwendet werden.Fehlt die Datei oder kann die digitale Signatur nicht verifiziert werden, treten diese Fehler auf.

Um diese Fehlermeldung zu vermeiden, sollten Sie das Update (siehe Microsoft Knowledge Base-Artikel 835732) auf allen Windows 2000-Computern installiert werden, auf denen für die Überprüfung MBSA ausgeführt wird.

Dieser Fehler kann auch auftreten, wenn Sie einen Proxyserver, wie z. B. Microsoft ISA 2000 Server, verwenden und dieser keine Richtlinie aufweist, die einen anonymen Zugriff auf die Microsoft Update-Website zulässt.Eine Lösung für dieses Problem wird im Microsoft Knowledge Base-Artikel 885819 erläutert.

Eine andere Ursache dieses Problems kann sein, dass in Internet Explorer der Offlinemodus aktiviert wurde (Offline arbeiten).MBSA setzt voraus, dass sich Internet Explorer im Onlinemodus befindet und eine erfolgreiche Übertragung über alle Proxyserver möglich ist, um die Datei "wsusscn2.cab" abzurufen. Andernfalls müssen Sie die Schritte zum Abrufen der notwendigen Katalog- und Authentifizierungsdateien ausführen, um die Datei "wsusscn2.cab" im sicheren bzw. Offlinemodus ohne Internetverbindung zu verwenden, die an anderer Stelle in diesen häufig gestellten Fragen erläutert werden.

Vergewissern Sie sich außerdem, dass sowohl der überprüfende Computer als auch der Zielcomputer über die aktuelle Version des WUA-Clients verfügen, die an folgenden Positionen verfügbar ist:

  • Für x86-basierte Computer (WindowsUpdateAgent30-x86.exe) oder
  • Für x64-basierte Computer (WindowsUpdateAgent30-x64.exe) oder
  • Für ia64-basierte Computer (WindowsUpdateAgent30-ia64.exe): Die aktuellen Versionen finden Sie im Inhalt der Datei "wuredist.cab" unter http://update.microsoft.com/redist/wuredist.cab.
Frage: Warum wird der Fehler "Auf dem Computer wird eine ältere Clientversion ausgeführt. Die Sicherheitsdatenbank erfordert eine neuere Version." angezeigt?

Dieser Fehler weist darauf hin, dass die Version des WUA niedriger ist als die erforderliche Mindestversion, die in der Datei "wsusscn2.cab" angegeben ist.Die Computerüberprüfung gibt einen Fehler zurück, wenn die WUA-Version nicht mindestens der von der Datei "wsusscn2.cab" vorausgesetzten Version entspricht.

Stellen Sie zum Beheben dieses Fehlers sicher, dass auf dem Zielcomputer die neueste Version des WUA installiert ist.MBSA kann diesen Fehler automatisch korrigieren, wenn Sie die Option "Computer für Microsoft Update konfigurieren und Voraussetzungen überprüfen" auswählen oder im Befehlszeilendienstprogramm die Option "/ia" angeben.

Frage: Warum wird der Fehler "Fehler beim Überprüfen auf Sicherheitsupdates (0x80244019)" angezeigt?

Dieser Fehler kennzeichnet, dass der Windows Update-Agent aufgrund der Proxykonfigurationseinstellung am Zielcomputer nicht mit dem zugewiesenen Update Services-Server kommunizieren konnte.Überprüfen Sie bei Verwendung eines Proxyservers am Zielcomputer die Einstellung Internetoptionen in Internet Explorer und stellen Sie sicher, dass der Update Services-Server in der Proxyumgehungsliste enthalten ist, indem entweder die Einstellung Proxyserver für lokale Adressen umgehen oder die Schaltfläche "Erweitert" in der Ausnahmeliste verwendet wird.Durch die Proxyumgehung können Endbenutzer über den Proxyserver auf das Internet zugreifen, während der Zugriff auf lokale Intranetserver direkt erfolgt.Dies ist außerdem notwendig, damit der WUA den WSUS-Server im lokalen Netzwerk kontaktieren kann.

Frage: Warum wird der Fehler "Der folgende Computername konnte nicht aufgelöst werden: <Name>. Geben Sie den Computernamen, Domänenname\Computer oder eine IP-Adresse an." angezeigt?

Dieser Fehler tritt häufig auf, wenn die Überprüfung basierend auf einem IP-Adressbereich erfolgt.Ursache hierfür ist, dass MBSA den Bereich in eine Liste spezifischer IP-Adressen für diesen Bereich konvertiert und anschließend versucht, jede IP-Adresse in den zugehörigen NetBIOS-Computernamen aufzulösen.Ist diese Namensauflösung nicht möglich, weil der Computer ausgeschaltet ist oder die IP-Adresse nicht verwendet wird, wird dieser Fehler zurückgegeben.

Darüber hinaus kann der Fehler auftreten, wenn ein Domänenname von Domänenmitgliedern verwendet wird, auf die im Netzwerk nicht zugegriffen werden kann, z. B. von Laptopcomputern außerhalb des Wirelessnetzwerks oder von ausgeschalteten Desktopcomputern.

Wenn Sie einen im DNS vollqualifizierten Domänennamen (FQDN) als zu überprüfende Domäne angeben, werden diese Fehler ebenfalls angezeigt.In diesem Fall müssen Sie den NetBIOS-kompatiblen Domänennamen verwenden.

Frage: Warum wird für die SQL Server-Überprüfung "Dienstkonten" ein blaues Sternchen gemeldet, wenn ich den Computer überprüfe?

Es wird empfohlen, den Dienst unter einem Konto mit geringen Berechtigungen auszuführen, die Anwendung, die SQL Server/MSDE installiert hat, kann jedoch eine Ausführung mit höheren Berechtigungen erfordern.Aktuell setzen beispielsweise Instanzen von WMSDE eine Ausführung als "LocalSystem" voraus und müssen daher aus dieser Überprüfung ausgeschlossen werden.WMSDE ist eine Ableitung von MSDE für die Verwendung durch Windows Server 2003-Betriebssystemkomponenten, z. B. Windows SharePoint Services.Ermitteln Sie in der Dokumentation für die Anwendung die erforderlichen Mindestberechtigungen.

Diese Meldung ist daher bei der Überprüfung bestimmter Produkte von Microsoft, die MSDE oder WMSDE enthalten, zu erwarten, z. B. bei folgenden Produkten:

  • Windows Server Update Services
  • Windows SharePoint Services
  • Windows Small Business Server
  • Microsoft ISA Server 2004
  • Universal Description, Discovery and Integration (UDDI)
Frage: Warum meldet die SQL Server-Überprüfung "Mitglieder der sysadmin-Rolle" ein blaues Sternchen, wenn ich den Computer überprüfe?

In zahlreichen Installationen (insbesondere in Unternehmensumgebungen) ist es für Administratoren hilfreich, zwischen der Rolle des Betriebssystemadministrators und der des SQL Server-Administrators zu unterscheiden.In diesen Szenarios kann es von Vorteil sein, die Mitgliedschaft des lokalen Windows-Administrators in der sysadmin-Rolle von SQL zu beenden.Aktuell setzen jedoch Instanzen von WMSDE eine Mitgliedschaft des lokalen Windows-Administrators in der sysadmin-Rolle von SQL voraus und müssen daher aus dieser Überprüfung ausgeschlossen werden.WMSDE ist eine Ableitung von MSDE für die Verwendung durch Windows Server 2003-Betriebssystemkomponenten, z. B. Windows SharePoint Services.Ermitteln Sie in der Dokumentation für die Anwendung die erforderlichen Mindestberechtigungen.

Diese Meldung ist daher bei der Überprüfung bestimmter Produkte, die MSDE oder WMSDE enthalten, zu erwarten, z. B. bei folgenden Produkten:

  • Windows Server Update Services
  • Windows SharePoint Services
  • Windows Small Business Server
  • Microsoft ISA Server 2004
  • Universal Description, Discovery and Integration (UDDI)

Es wird empfohlen, vor dem Entfernen des Gruppe "BUILTIN\Administrators" aus SQL Server mindestens eine andere Anmeldung mit Administratorberechtigungen in SQL Server zu erstellen.Einige Anwendungen setzen die Funktionen der Gruppe "BUILTIN\Administrators" voraus, um SQL Server zu verwalten.

Frage: Warum erfolgt die Überprüfung mit der Datei "wsusscn2.cab" bzw. das Anzeigen von Berichten zunächst relativ langsam?

Beim Überprüfen und Anzeigen von Berichten liest MBSA Daten aus der Datei "wsusscn2.cab".Diese Datei enthält eine CAB-Datei sowie eine große Anzahl weiterer Dateien, durch die bestimmte Antivirenprogramme überdurchschnittlich viel Prozessor- und Speicherkapazität belegen können, wenn eine Anwendung auf "wsusscn2.cab" zugreift.Diese Probleme wurden im Microsoft Knowledge Base-Artikel 900638 dokumentiert.Standardmäßig verwendet MBSA für die Überprüfung von Computern Microsoft Update und den optional zugewiesenen Update Services-Server. Die Datei "wsusscn2.cab" wird nur genutzt, wenn eine Offlineüberprüfung erforderlich ist.

Frage: Warum wird der Fehler "Der Windows Update-Agent wurde nicht gefunden, oder auf dem Computer wird nicht Windows 2000 SP3 oder höher ausgeführt" angezeigt, wenn ein Windows 2000 Datacenter Edition-Computer überprüft wird?

Der Windows Update-Agent, Windows Update und Microsoft Update bieten keine Unterstützung für die Aktualisierung von Windows 2000 Datacenter Edition.Weitere Informationen hierzu finden Sie auf der Microsoft-Website.Diese Einschränkung gilt nicht für Windows Server 2003-Produkte.

Frage: Warum wird der Fehler "Der Benutzer ist auf dem zu überprüfenden Computer kein Administrator" angezeigt, wenn ich eine Überprüfung als Administrator eines Remotezielcomputers ausführe?

Dieser Fehler kann auftreten, wenn unter Windows XP Professional die einfache Dateifreigabe aktiviert ist. Bei einer Remoteüberprüfung von Computern mit Windows XP Home Edition tritt er immer auf.

MBSA kann zwar unter Windows XP Home Edition installiert werden und eine lokale Überprüfung ausführen, ein Computer mit Windows XP Home Edition kann jedoch nicht remote auf Verwaltungsanfälligkeiten überprüft werden.Windows XP Professional kann hingegen remote überprüft werden, es muss jedoch mit einer Domäne verbunden sein.Ohne Domänenverbindung kann ein Computer mit Windows XP Professional nur dann remote überprüft werden, wenn die lokale Sicherheitseinstellung auf Klassisch – lokale Benutzer authentifizieren sich als sie selbst festgelegt und die einfache Dateifreigabe deaktiviert wurde.

Zum Deaktivieren der einfachen Dateifreigabe öffnen Sie den Windows-Explorer. Wählen Sie dann unter "Extras" und "Ordneroptionen" die Registerkarte "Ansicht" aus und deaktivieren Sie das Kontrollkästchen Einfache Dateifreigabe verwenden.

Frage: Es werden teilweise Fehlermeldungen mit mir unbekannten Fehlercodes angezeigt.Wie kann ich die Ursache des Fehlers ermitteln?

Es können Fehlermeldungen wie die folgenden angezeigt werden:

Ein unerwarteter Fehler ist aufgetreten.Das Betriebssystem hat den Fehlercode <nnn> zurückgegeben.

oder

Fehler beim Überprüfen auf Sicherheitsupdates.(0xnnnnnnnn)

Im Microsoft Knowledge Base-Artikel 186063 werden zahlreiche Fehlercodes erläutert, die bei Verwendung einer WUA-API, z. B. MBSA, zurückgegeben werden können.

Fehlercodes, die im Microsoft Knowledge Base-Artikel 186063 nicht aufgeführt sind, finden Sie meist in MSDN.

Vom Betriebssystem zurückgegebene Fehlercodes können mit Hilfe des Befehls net helpmsg nnn in ein Textformat konvertiert werden.Rufen Sie eine Eingabeaufforderung auf und geben Sie diesen Befehl mit dem jeweiligen Fehlercode anstelle von "nnn" aus.

Beispiel:

C:\> net helpmsg 5
Access is denied.

Frage: Was hat es zu bedeuten, wenn Sicherheitsupdatetitel in einer anderen Sprache als der Rest des Berichts angezeigt werden?

Wenn Sie bei der Überprüfung die erweiterte Update Services-Option Nur mit zugewiesenen Update Services-Servern überprüfen verwenden (oder die Befehlszeilenoption /wa, um nur nach von WSUS zugelassenen Updates zu suchen), hat der Administrator möglicherweise nicht Deutsch, Englisch, Französisch und Japanisch in die Liste der Sprachen für Updates eingeschlossen, die von Microsoft Update synchronisiert werden.Wenn der überprüfte Computer eine Sprache verwendet, die auf dem Update Services-Server nicht verfügbar ist, wird eine Standardsprache für die lokalisierten Eigenschaften des Updates genutzt, die unter Umständen nicht mit der Sprache der installierten MBSA-Version übereinstimmt.Beispiel: Wenn die französische Version von MBSA installiert wurde und auf dem Update Services-Server nur englischsprachige Updates synchronisiert wurden, kann der französische MBSA-Bericht für ein oder mehrere Sicherheitsupdates englische Titel enthalten.

Frage: Warum meldet MBSA ein potenzielles Problem mit dem Telnet-Dienst, wenn der Dienst deaktiviert wurde?

Diese Überprüfung ermittelt, ob Dienste in der Datei "Services.txt" auf dem überprüften Computer installiert sind, und führt die Dateien mit dem aktuellen Status (aktiviert oder deaktiviert) auf.Die Datei "Services.txt" ist eine konfigurierbare Liste der Dienste, die auf den überprüften Computern gesucht werden.Die standardmäßig mit dem Tool installierte Datei "Services.txt" enthält die folgenden Dienste:

  • MSFTPSVC (FTP)
  • TlntSvr (Telnet)
  • W3SVC (WWW)

MBSA kann den Status eines deaktivierten Dienstes melden, z. B. kann der Telnet-Dienst als "gestoppt" anstatt als deaktiviert angegeben werden.Dies ist eine bekannte Einschränkung in MBSA, die umgangen werden kann, indem Sie das Element aus der Datei "services.txt" im Installationsverzeichnis von MBSA entfernen.

Frage: Warum wird der Fehler "Verbindung zum IIS-COM-Objekt "Base Admin" konnte nicht hergestellt werden" bei dem Versuch, IIS zu überprüfen, angezeigt?

Dieser Fehler kann auftreten, wenn die überprüfte Version von IIS (auf dem Zielcomputer) höher ist als die Version auf dem Computer, auf dem MBSA ausgeführt wird.Dies kann zudem darauf hindeuten, dass die gemeinsamen Dateien von IIS auf dem Computer, der die Überprüfung initiiert hat, nicht installiert sind.Wenn der Fehlercode 0x80070005 oder 0x8007007e zurückgegeben wird, wurde der Zugriff durch den IIS-Remotecomputer verweigert.Dies ist möglich, wenn die Authentifizierung an einem Remotecomputer mit IIS über net use erfolgt und dieser dann überprüft wird. Da die net use-Verbindung keine Berechtigung für die Verwaltung von IIS beinhaltet, schlagen Verbindungsversuche zum IIS-Remotecomputer mit der Meldung "Zugriff verweigert" fehl.Weitere Informationen finden Sie im Abschnitt zu den Systemanforderungen der Datei "Readme.html" (die mit MBSA installiert wird) oder in der Hilfe zu MBSA (Link im linken Bereich der MBSA-Konsole).Beachten Sie, dass die gemeinsamen Dateien von IIS 6.0 auf dem lokalen Computer erforderlich sind, wenn Sie einen IIS 6.0-Server remote überprüfen.

Frage: Warum scheint MBSA während der Überprüfung manchmal mit der Meldung "Überprüfung..." stillzustehen?

Abhängig von der für die Überprüfung ausgewählten automatischen Konfigurationsoption kann MBSA den Windows Update-Agent bereitstellen und eine Konfigurationsänderung vornehmen, sodass der Zielcomputer Microsoft Update für das Überprüfen und Abrufen von Updates verwenden kann.Wenn eine dieser Aktionen für den überprüften Zielcomputer ausgeführt werden soll, überprüft MBSA mit Hilfe der Microsoft-Website, ob die neuesten Versionen der für diese Änderungen erforderlichen Dateien vorhanden sind, und lädt ggf. neuere Dateien herunter.Anschließend kopiert MBSA die Dateien auf den Zielcomputer und führt die Konfigurationsänderungen durch.Dieser Vorgang kann je nach Netzwerkgeschwindigkeit und verfügbarer Bandbreite mehrere Minuten in Anspruch nehmen.

Frage: Warum meldet MBSA einen Fehler bei dem Versuch, Dateien aus dem Internet herunterzuladen?

MBSA verwendet die Internet Explorer-Einstellungen (IE) für den Download von Dateien.In manchen Unternehmensumgebungen wird zudem ein Proxyserver verwendet.Der Clientcomputer ist daher möglicherweise nicht korrekt konfiguriert, um über einen Proxyserver auf das Internet zuzugreifen.

Sie müssen Internet Explorer so konfigurieren, dass der Proxyserver Ihres Netzwerks verwendet wird.

So konfigurieren Sie Proxyeinstellungen in Internet Explorer

  1. Klicken Sie in Internet Explorer auf Extras und dann auf Internetoptionen.
  2. Klicken Sie auf Verbindungen und dann auf LAN-Einstellungen.
  3. Führen Sie einen der folgenden Schritte durch:

    Wenn im Netzwerk die automatische Erkennung von Proxyservern konfiguriert ist, wählen Sie Automatische Suche der Einstellungen aus.

    oder

    Wenn im Netzwerk die automatische Erkennung von Proxyservern nicht konfiguriert ist, wählen Sie Proxyserver für LAN verwenden aus und geben Sie dann den Namen oder die IP-Adresse des Proxyservers in das Feld Adresse ein.Wenn der Proxyserver keinen Standardport verwendet, müssen Sie die Portnummer in das Feld Port eingeben.

Frage: Gibt es eine Protokolldatei, anhand der ich ein Problem beim Überprüfen auf Sicherheitsupdates diagnostizieren kann?

Ja. Der Windows Update-Agent stellt unter "%windir%\WindowsUpdate.log" eine Protokolldatei bereit.Bei Bedarf können Sie diese mit Hilfe einer Registrierungseinstellung so konfigurieren, dass weitere Details ausgegeben werden. Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel 902093.

Hinweis:Bestimmte Protokollierungseinstellungen können eine Abnahme der Systemleistung während der Überprüfung zur Folge haben und sollten daher nur zur Diagnose eines spezifischen Problems genutzt werden.

Frage: Während des Setups von MBSA werden Fehlernummern angezeigt, z. B. -2147024770 oder -2147221164. Wie kann ich diese Fehler beheben?

Von "ServerSecure.dll" und "XmlDb.dll" werden Registrierungsfehler gemeldet, wenn das System nicht korrekt konfiguriert ist.Führen Sie zur Umgehung dieser Fehler die folgenden Schritte aus:

Schritt 1:Klicken Sie für diese Fehler im Setupdialogfeld auf die Schaltfläche "Ignorieren" und beenden Sie das Setup.

Schritt 2:Öffnen Sie eine Eingabeaufforderung.

Schritt 3:Führen Sie die folgenden Befehle aus: (Nach der Eingabe jedes Befehls wird ein Bestätigungsdialogfeld eingeblendet. Klicken Sie in diesem Bestätigungsdialogfeld auf "OK" und fahren Sie mit dem nächsten Befehl fort.)

Regsvr32.exe /u c:\windows\system32\atl.dll
Regsvr32.exe c:\windows\system32\atl.dll
Regsvr32.exe "c:\Program Files\Microsoft Baseline Security Analyzer 2\ServerSecure.dll"
Regsvr32.exe "c:\Program Files\Microsoft Baseline Security Analyzer 2\XmlDb.dll"

Passen Sie die Ordnernamen in diesen Befehlen ggf. entsprechend den Installationsordnern von Windows und MBSA an.

Frage: Warum wird beim Überprüfen mit "mbsacli.exe" der Fehler "Die Katalogdatei ist beschädigt oder der Katalog ist ungültig" angezeigt?

Dieser Fehler kann auftreten, wenn sich die Datei "wsusscn2.cab" in einem schreibgeschützten Verzeichnis befindet (z. B. auf einer CD-ROM).Das MBSA-Befehlszeilendienstprogramm extrahiert Dateien aus der CAB-Datei, indem es die Dateien in das gleiche Verzeichnis schreibt, in dem sich die CAB-Datei befindet. Können die Dateien nicht in dieses Verzeichnis geschrieben werden, wird ein Fehler ausgegeben.Stellen Sie zum Vermeiden dieses Fehlers sicher, dass die Datei "wsusscn2.cab" in einem Verzeichnis gespeichert ist, auf das das Konto, unter dem "mbsacli.exe" ausgeführt wird, Schreibzugriff hat.

Frage: Warum wird der Fehler "Windows Update-Agent wird auf diesem Betriebssystem nicht unterstützt" angezeigt, wenn ich von einem Computer mit Windows Server 2003 Service Pack 1 oder Service Pack 2 einen Remotecomputer überprüfe?

Windows Server 2003 Service Pack 1 bietet ein erhöhtes Maß an Sicherheit, durch das für mehrere Verbindungen mit dem gleichen Remotecomputer keine unterschiedlichen Anmeldedaten verwendet werden können, wenn der überprüfende Computer mit einer Domäne verbunden ist.Wenn Sie einen Remotezielcomputer überprüfen und andere als die angemeldeten Anmeldedaten verwenden möchten, müssen Sie anstelle der mbsacli-Befehlszeilenoptionen /u und /p (Benutzername und Kennwort) den folgenden Befehl eingeben, um das für die Remoteverbindung zu verwendende Konto festzulegen:

C:\> runas /netonly /user:<Domäne\Benutzername> "cmd.exe" (gefolgt von einem oder mehreren MBSA-Befehlen, nachdem das neue Eingabeaufforderungsfenster geöffnet wurde)

oder

C:\> runas /netonly /user:<Domäne\Benutzername> "C:\Programme\Microsoft Baseline Security Analyzer 2\mbsacli.exe <add any MBSA command-line options here>"

Frage: Warum wird im SQL-Verwaltungsabschnitt eines abgeschlossenen Überprüfungsberichts der Fehler "Ungültige SID vom Betriebssystem zurückgegeben" angezeigt?

Dies ist ein bekanntes Problem in MBSA, das auftritt, wenn der Computernamen länger als 15 Zeichen ist und auf dem Zielcomputer eine unterstützte Version von SQL Server vorhanden ist.

Die einzigen, aktuell verfügbaren Problemumgehungen bestehen darin, das Ergebnis zu ignorieren, dieses Ergebniselement mit Hilfe der MBSA-Skriptbeispiele bzw. Microsoft Office Visio 2007 Connector for MBSA 2.2 heraus zu filtern oder in der grafischen Benutzeroberfläche die Option für die Überprüfung auf SQL-Verwaltungsanfälligkeiten zu deaktivieren.

Frage: Wenn ich die vom MBSA-Befehlszeilendienstprogramm bereitgestellten Variablen nutze, werden die Werte von MBSA nicht erkannt. Warum ist dies so?

Wenn MBSA innerhalb einer Batchdatei verwendet wird, müssen Sie sicherstellen, dass MBSA angemessen weitergeleitet wird, damit die korrekten Werte erfasst werden.In Batchdateien müssen hierzu häufig die Indikatoren "%" auf beiden Seiten der Variable verdoppelt werden, um eine korrekte Funktionsweise sicherzustellen.Die Variable %IP% müsste beispielsweise %%IP%% lauten, wenn sie in einer Batchdatei verwendet wird.

Frage: Warum wird in MBSA für die letzten Updates nicht der Status "Neustart steht aus" angezeigt?

Der Status "Neustart steht aus" kann in MBSA nur dann ausgegeben werden, wenn in der grafischen Benutzeroberfläche die Option Auf Windows-Verwaltungsanfälligkeiten überprüfen ausgewählt wurde bzw. wenn dem Befehlszeilendienstprogramm (Command-Line Utility, CLI) nicht die Option "/n Updates" zum Unterdrücken dieser Funktion hinzugefügt wurde.Der Status "Neustart steht aus" wird direkt aus dem WUA-Client (Windows Update-Agent) auf jedem Zielcomputer abgerufen.Sofern das Sicherheitsupdate mit Hilfe eines vom WUA unterstützten Verfahrens installiert wurde (Windows Update, Microsoft Update, SMS w/ITMU oder WSUS-Server), kann MBSA einen erforderlichen und noch nicht erfolgten Neustart melden.Wurde ein Update manuell oder durch einen externen Installationsprozess installiert, kann MBSA den Status "Neustart steht aus" nicht ausgeben.

Für Kunden, die im Befehlszeilendienstprogramm die Option /xmlout verwenden, ist der Status "Neustart steht aus" aufgrund der mit der Option /xmlout verbundenen Einschränkungen nicht verfügbar.Eine Problemumgehung besteht darin, "mbsacli.exe" ohne jegliche Schalter auszuführen.Hierfür ist eine vollständige Installation von MBSA erforderlich (nicht die Installationsoption "MBSA Lite", bei der nur ein kleiner Teil der Dateien für die Überprüfung auf Patches installiert wird).Dabei wird eine Überprüfung auf Verwaltungsanfälligkeiten ausgeführt.Steht ein Neustart aus, wird dieser wie folgt gemeldet:

Rubrik:Unvollständige Updates
Wertung:Fehler bei Überprüfung (nicht sehr wichtig)
Ergebnis:Eine vorherige Softwareupdateinstallation wurde nicht abgeschlossen.Sie müssen den Computer neu starten, um die Installation fertig zu stellen.Falls es sich bei der unvollständigen Installation um ein Sicherheitsupdate handelt, könnte es sein, dass ein Sicherheitsrisiko besteht, bis der Computer neu gestartet wurde.

Eine andere Problemumgehung besteht in einer Abfrage des folgenden Registrierungsschlüssels:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\UpdateExeVolatile.Weitere Informationen zur Verwendung dieses Registrierungsschlüssels und der Werte, die angegeben werden können, finden Sie im Microsoft Knowledge Base-Artikel 832475.

Frage: Warum wird beim Überprüfen eines Remotecomputers der Fehler "Sicherheitsmetadaten können nicht bereitgestellt werden (0x00000003)" angezeigt?

Dies ist häufig der Fall, wenn c$ und die Remoteregistrierung eines Zielcomputers für den MBSA-Computer, der die Überprüfung ausführt, nicht verfügbar sind.Auf diese Weise wird verhindert, dass MBSA die erforderliche Katalogdatei (zumeist "wsusscn2.cab") und ggf. eine aktualisierte Version der WUA-Clientbits überträgt, weil kein Administrator- und c$-Freigabezugriff auf den Zielcomputer abgerufen werden kann.

Darüber hinaus sind bei Existenz einer Firewall die verschiedenen Schritte zum Aktivieren von DCOM durch eine Firewall erforderlich (siehe Abschnitt Wie überprüfe ich einen Computer, der durch eine Firewall geschützt ist? in den häufig gestellten Fragen zu MBSA).Dies kann beinhalten, das erforderliche Sicherheitsupdate MS04-011 von Microsoft, die QFE-Version eines nicht öffentlichen Hot-Fixes, zu installieren und die Firewallkonfiguration zu ändern, um DCOM-Verbindungen durch die Firewall zu ermöglichen.

Sind diese Anforderungen erfüllt, versucht MBSA, die Datei MUAUTH.CAB zu übertragen. Diese wird auf dem Remotecomputer (Zielcomputer) ausgeführt und berechtigt den WUA dazu, Befehle von dem überprüfenden MBSA-Computer zu empfangen und diese zu beantworten.Abhängig von den Einstellungen von MBSA auf dem Zielcomputer kann MBSA ggf. auch aktualisierte WUA-Clientbits an den Zielcomputer übertragen.Alle anderen Fehler (z. B. 0x00000005) werden meist durch unzureichende Berechtigungen auf dem Remotecomputer ausgelöst.Wenn ein Problem auch nach Ausführung der hier angeführten Schritte nicht behoben werden konnte, wenden Sie sich an den Microsoft-Produktsupport (Product Support Services, PSS), um weitere Fehlerbehebungsschritte abzustimmen.Sorgen Sie dafür, dass Sie über eine Kopie der Datei "WindowsUpdate.LOG" vom Zielcomputer verfügen. Diese hilft Ihnen bei der Fehlerbehebung.

Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur -Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die -Website verlassen.

Möchten Sie teilnehmen?