Häufig gestellte Fragen zu MBSA 2.1

Microsoft Baseline Security Analyzer (MBSA) 2.1 ist ein leicht zu bedienendes Tool, mit dem kleine und mittelständische Unternehmen ihren Sicherheitsstatus in Bezug auf die Sicherheitsempfehlungen von Microsoft bestimmen können. Außerdem bietet es Hilfestellung für die Behebung von Problemen. Verbessern Sie Ihren Sicherheitsverwaltungsprozess, indem Sie MBSA verwenden, um bekannte administrative Sicherheitsrisiken und fehlende Sicherheitsupdates auf Ihren Computersystemen zu erkennen.

MBSA 2.1 bietet vollständige Unterstützung für aktuelle WUA-Clients (Windows Update-Agent), die von Microsoft Update- und WSUS-Servern (Windows Server Update Services) installiert wurden. MBSA 2.1 bietet außerdem eine aktualisierte grafische Oberfläche für Windows Vista und Windows Server 2008, ein 64-Bit-Installationsprogramm, das MBSA-Tool und die Überprüfung der Sicherheitsrisikobewertung (vulnerability assessment, VA) sowie überarbeitete und aktualisierte VA-Überprüfungen für die Plattformen SQL Server 2005 und Windows XP Embedded.

MBSA 2.1 ist ein Update von MBSA 2.0.1, das vollständige Unterstützung für den Windows Update-Agent bietet, um auf Warnungen wie „Auf dem Computer wird eine ältere Clientversion ausgeführt ...“ zu reagieren. Außerdem bietet es vollständige Unterstützung für die Überprüfung der Windows Vista- und Windows Server 2008-Plattformen sowie eine verbesserte Unterstützung für die Windows Embedded-Plattform. MBSA 2.1 enthält zudem zwei wichtige funktionale Änderungen, die auf Kundenfeedback basieren:

• Über die Befehlszeile können Kunden jetzt Berichte zu abgeschlossenen MBSA-Überprüfungen in einem bestimmten Verzeichnis oder in einer Netzwerkfreigabe speichern, indem sie die /rd-Option in mbsacli verwenden. Dadurch können Administratoren MBSA so programmieren, dass es Berichte zu abgeschlossenen Überprüfungen an eine bestimmte Netzwerkfreigabe ausgibt, um das Konsolidieren von MBSA-Überprüfungsberichten zu unterstützen.
• Sowohl in der Befehlszeile als auch in der grafischen Benutzeroberfläche führt MBSA auf den Zielcomputern, die von MBSA überprüft werden, keine automatische Aktualisierung des Windows Update-Agent (WUA) mehr durch. Administratoren müssen jetzt die Option „Computer für Microsoft Update konfigurieren und Vorraussetzungen überprüfen“ auswählen, um den aktuellen WUA auf jedem überprüften Computer zu installieren. Die automatische Installation war in früheren Versionen von MBSA als Standardeinstellung festlegt. Die neue Standardeinstellung (von der die automatische Aktualisierung der Clients deaktiviert wird) kann bei Clients, die einen neueren WUA-Client erfordern, zu vermehrten Überprüfungsfehlern führen, gibt Administratoren aber die Sicherheit, dass eine MBSA-Überprüfung keine überarbeiteten oder aktualisierten Dateien auf Zielcomputern installiert. Die Befehlszeilenschnittstelle enthält die neue /ia-Option, um ganz bewusst automatische Updates des WUA-Clients zu ermöglichen. Dadurch wird die frühere /nai-Option ersetzt, um die automatische Aktualisierung des WUA-Clients zu deaktivieren, was das Standardverhalten in früheren MBSA-Versionen war.

MBSA 2.0 bietet erweiterte Sicherheitskonfigurationsüberprüfungen über die anderen Microsoft Update-Technologien hinaus. Außerdem wurde MBSA 2.1 entworfen, um in Verbindung mit Microsoft Update (MU), Windows Server Update Services (WSUS), dem SMS-Inventurprogramm für Microsoft Updates (ITMU) und System Center Configuration Manager (SCCM) 2007 verwendet zu werden und so den Aktualisierungsstatus eines Zielcomputers zu überwachen und zu überprüfen. MBSA 2.1 bietet Konsistenz mit den anderen Tools, da es auch die allgemeine Infrastruktur des Windows Update-Agent (WUP) verwendet.

Nein. Für die Überprüfungen der Sicherheitsrisikobewertung (vulnerability assessment, VA) unterstützen MBSA 1.2.1 und 2.0 die gleichen Produkte. Zur Erkennung von Sicherheitsupdates unterstützt MBSA alle Produkte, die von Microsoft Update unterstützt werden, was die offizielle Quelle für alle Sicherheitsupdates für von Microsoft Update unterstützten Produkte ist. Einige Produkte wurden Microsoft Update noch nicht hinzugefügt, und deshalb sind noch keine Updates zu diesen Produkten verfügbar. Dazu gehören Office 2000 und eine Reihe von Verbraucheranwendungen sowie Produkte, die nicht mehr unterstützt werden, wie z. B. Windows NT 4. Microsoft empfiehlt, dass Kunden, die hauptsächlich die Umgebungen Windows 2000+, Office XP+, Exchange 2000+ und SQL 2000 SP4+ verwenden, auf MBSA 2.1 aktualisieren. Mit der Zeit werden alle Microsoft-Produkte durch Microsoft Update unterstützt werden, und die aktuelle Version von MBSA wird sie automatisch unterstützen. Es werden keine neuen Produkte zu MBSA 1.2.1 hinzugefügt, da es nicht mehr unterstützt wird. Weitere Informationen zu unterstützten Versionen von MBSA finden Sie auf der MBSA-Homepage.

MBSA 2.1 sucht nach administrativen Sicherheitsrisiken sowie nach fehlenden Sicherheitsupdates für verschiedene Microsoft-Produkte. Das Überprüfen auf administrative Sicherheitsrisiken wird unterstützt für Windows 2000; Windows XP; Windows Server 2003; Microsoft-Internetinformationsdienste (IIS) 5.0, 5.1 und 6.0; Microsoft Internet Explorer 5.01, 5.5 und 6.0 (einschließlich Internet Explorer 6.0 für Windows XP SP2 und Internet Explorer 6.0 für Windows Server 2003); Microsoft SQL Server 7.0, SQL Server 2000 und SQL Server 2005; sowie Microsoft Office 2000, Office XP und Office 2003.

Das Überprüfen auf Sicherheitsupdates basiert auf dem Microsoft Update-Katalog. Die Produkte, die MBSA 2.1 auf fehlende Sicherheitsupdates überprüfen kann, können Sie auf der Seite Von WSUS unterstützte Produkte anzeigen. Die Liste der Produkte wird sich mit der Zeit ändern, da über Microsoft Update eine neue Erkennungslogik veröffentlicht wird.

Hinweis: Für Produkte, die auf einem überprüften Computer nicht installiert sind, führt MBSA die Überprüfung auf Sicherheitsupdates für diese Produkte nicht durch und listet sie in der Tabelle „Überprüfungsergebnisse für Sicherheitsupdates“ des Berichts nicht auf.

MBSA erkennt einen WSUS-verwalteten Client und bietet ordnungsgemäß nur die Updates an, die vom WSUS-Administrator genehmigt wurden. Außerdem ermöglicht MBSA einem Administrator, MBSA so zu konfigurieren, dass die Microsoft Update-Website für die Evaluierung von Sicherheitsupdates weder in der Version für die grafische Benutzeroberfläche noch in der Version für die Befehlszeile verwendet wird. Der Bericht zu abgeschlossenen MBSA-Überprüfungen gibt an, welche Quellen für die Bewertung des Sicherheitsstatus verwendet wurden: WSUS Server, Microsoft Update-Livewebsite oder Microsoft Update (offline) mithilfe der wsusscn2.cab-Datei. Außerdem gibt er nach Bedarf den Downloadpfad für jedes Update an.

Alle Updates, die auf Microsoft Update als Sicherheitsupdate, Updaterollup oder Service Pack veröffentlicht werden, können mit MBSA überprüft werden. In seltenen Fällen kann eine Ausnahme für ein spezielles Problem bestehen, das Sicherheitsimplikationen hat. Diese Updates werden von Microsoft folgendermaßen definiert:

Sicherheitsupdate – Eine allgemein veröffentlichte Problembehebung für ein produktspezifisches sicherheitsbezogenes Sicherheitsrisiko. Sicherheitsrisiken werden nach Schweregrad eingeteilt, der im Microsoft-Sicherheitsbulletin als kritisch, hoch, mittel oder niedrig angegeben wird.

Updaterollup – Ein getesteter, kumulativer Satz von Hotfixes, Sicherheitsupdates, kritischen Updates und Updates, die zur einfachen Bereitstellung im Paket zur Verfügung gestellt werden. Ein Rollup zielt im Allgemeinen auf einen bestimmten Bereich, wie z. B. Sicherheit, oder eine Produktkomponente, wie z. B. Internetinformationsdienste (IIS), ab.

Service Pack – Ein getesteter, kumulativer Satz aller Hotfixes, Sicherheitsupdates, kritischen Updates und Updates sowie zusätzlichen Problembehebungen für Probleme, die seit der Veröffentlichung des Produkts intern festgestellt wurden. Service Packs können auch eine begrenzte Zahl von Änderungen am Entwurf oder Features, die von Kunden angefordert wurden, enthalten.

Wenn auf dem überprüften Computer Unternehmenshotfixes installiert sind, werden diese Updates auf Grundlage der von Microsoft festgelegten Dateiversion von der Erkennung beobachtet. In der Regel werden auch Dateien mit einer neueren als der erwarteten Version akzeptiert, es sei denn, Microsoft legt fest, dass eine Datei einer höheren Version nicht sicher ist. In diesem Fall würde das Update im Bericht angeboten werden.

Hinweis: Updates, wie z. B. das Malicious Software Removal Tool, werden aufgrund ihrer Beziehung zu bestimmten Sicherheitsproblemen angeboten. Dieses Tool wurde als Updaterollup klassifiziert.

Microsoft Update ist eine Website, die einen einzigen Computer überprüfen, fehlende/erforderliche Updates anzeigen und sie als Gruppe installieren kann, solange der Computer mit dem Internet verbunden ist und die Microsoft Update-Website erreichen kann. MBSA ermöglicht, dass mehrere Computer durch die Remoteüberprüfung gleichzeitig auf fehlende/erforderliche Updates überprüft werden, unabhängig davon, ob die Zielcomputer auf das Internet und die Microsoft Update-Website zugreifen können. Dadurch, dass Computer für Microsoft Update konfiguriert werden können, hilft MBSA den Kunden, die Windows und Microsoft Update verwenden, auch andere Microsoft-Produkte leichter zu aktualisieren. Denn wenn MBSA diese Konfigurationsaufgabe durchführt, wird zum einen die Überprüfungsleistung verbessert und zum anderen empfangen die automatischen Updates des Zielcomputers Benachrichtigungen von Microsoft Update. Wenn automatische Updates für das Herunterladen und Installieren von Updates konfiguriert werden, bietet die Verlagerung der automatischen Updates von Windows Update zu Microsoft Update eine verbesserte Sicherheit. MBSA führt die Installation von Updates nicht durch. Es überprüft nur auf Updates und hat die Möglichkeit, den Computer so zu konfigurieren, dass Microsoft Update für die Updateverwaltung verwendet wird.

Hinweis: Microsoft Update bietet Benutzern außerdem Updates an, wie z. B. „Wichtige Updates“ und „Optionale Updates“, die nicht die Sicherheit betreffen. Diese Updates, die nicht die Sicherheit betreffen, werden von MBSA nicht angeboten.

Angefangen bei SMS 2003 Service Pack 1 und in allen Versionen von SCCM 2007 enthalten SMS und SCCM ein integriertes Tool, mit dem sie direkt auf den Windows Update-Agent zugreifen, um nach Sicherheitsupdates zu suchen, und sie verwenden nicht MBSA für das Überprüfen. SMS verwendet nicht mehr MBSA, um Sicherheitsüberprüfungen durchzuführen. Es verwendet stattdessen die Microsoft Update-Technologien, die von SMS 2003, SCCM 2007, WSUS Server, SBS Server und MBSA verwendet werden.

MBSA bietet Unterstützung für das Durchführen des Sicherheitsupdateanteils einer Überprüfung anhand des Update Services-Servers, dem jeder überprüfte Computer zugewiesen ist, sowie für das Durchführen einer eigenständigen Überprüfung für Kunden ohne einen Update Services-Server. Auch wenn Administratoren Optionen im MBSA auswählen können, damit die Update Services-Liste der genehmigten Updates ignoriert oder ausschließlich befolgt wird, wird die Sicherheitsüberprüfung standardmäßig anhand der auf dem Update Services-Server befindlichen Liste genehmigter Sicherheitsupdates und anhand der vollständigen Liste der im Microsoft Update-Katalog verfügbaren Sicherheitsupdates durchgeführt. Elementen, die auf dem Update Services-Server für den überprüften Computer nicht genehmigt wurden, wird nur ein Informationsgehalt bescheinigt, sodass sie in der kumulativen Sicherheitsbewertung nicht berücksichtigt werden. Bei Elementen, die zwar genehmigt wurden, aber auf dem Zielcomputer nicht installiert sind, wird eine entsprechende Warnung ausgegeben, und sie werden als Sicherheitsrisiken betrachtet.

MBSA bietet die Option „Erweiterte Update Services“, um Zielcomputern, die über keinen zugewiesenen Update Services-Server verfügen, die Meldung von Fehlern zu ermöglichen, damit sie vom Helpdesk deutlich identifiziert werden können. Von einer Eingabeaufforderung aus wird dies durch die /wa-Option (WSUS approved) bereitgestellt.

MBSA wurde in vier Sprachen lokalisiert: Englisch, Deutsch, Französisch und Japanisch. Die zugrunde liegende Updateerkennung führt in den Sprachen, die von den Microsoft Update- und Windows Server Update Services-Technologien unterstützt werden, eine korrekte Überprüfung des Zielcomputers durch.

Nicht direkt, aber diese Datei wird unterstützt, wenn sie in Verbindung mit der vom Windows Update-Agent bereitgestellten öffentlichen Windows-Anwendungsprogrammierschnittstelle (API) verwendet wird. Die API akzeptiert diese Datei nur mit einer gültigen digitalen Signatur von Microsoft und verwendet sie, um eine Überprüfung des angegebenen Computers durchzuführen. Einzelheiten finden Sie im Windows Server Update Services Software Development Kit (SDK).

Der MBSA-Endbenutzer-Lizenzvertrag (EULA) muss vom Endkunden akzeptiert werden, wodurch verhindert wird, dass MBSA in Drittanbieterlösungen integriert oder durch andere Mittel verteilt wird.

Der Produktsupport (Product Support Services, PSS) und der Kundendienst (Customer Support Services, CSS) unterstützen nur die aktuelle Version von MBSA.

Weil Clients überprüft werden können, indem eine Onlinequelle (Microsoft Update oder ein zugewiesener Update Services-Server) verwendet wird, kann der Bericht zusätzlich zum Offlinekatalog (wsusscn2.cab) eine bestimmte Überschrift namens „Katalogsynchronisierungsdatum“ enthalten. Wenn der Offlinekatalog verwendet wurde, wird die Zeit der Katalogerstellung im Bericht angezeigt. Aufgrund dieser Zeit kann bestimmt werden, ob der aktuelle Katalog verwendet wurde. Um die Version des Offlinekatalogs zu prüfen, gehen Sie folgendermaßen vor:

Schritt 1: Wenn Sie die Datei nicht haben, laden Sie sie unter http://go.microsoft.com/fwlink/?LinkId=76054 herunter, und speichern Sie sie unter „C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.0\Cache\wsusscn2.cab“. Sie können einen beliebigen Ordner verwenden, aber dies ist der Ort, an dem MBSA die Datei speichert, nachdem MBSA sie heruntergeladen hat.

Schritt 2: Öffnen Sie „C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.0\Cache\wsusscn2.cab“ mit einem Programm, das eine Archivdatei vom Typ „*.cab“ anzeigen kann.

Schritt 3: Öffnen Sie package.cab von der Datei „wsusscn2.cab“ aus und dann die darin befindliche Datei „package.xml“.

Schritt 4: Zeigen Sie das Headerelement OfflineSyncPackage für CreationDate an. Es sollte auf einen Wert, wie z. B. „2005-06-01T18:42:49Z“, gesetzt werden. Stellen Sie mit dem gefundenen Wert fest, wann die Datei von Microsoft generiert wurde.

Die aktuelle Version von MBSA ist Version 2.1 und wird im Link Info in der grafischen Benutzeroberfläche oder bei der Ausführung in der Befehlszeilenschnittstelle auch als 2.1.2104.0 bezeichnet. . Falls eine neuere Version von MBSA veröffentlicht wurde, meldet MBSA automatisch, dass eine neuere Version von MBSA in der grafischen Benutzeroberfläche bzw. Befehlszeilenschnittstelle verfügbar ist. In der Befehlszeilenschnittstelle kann diese Überprüfung mit der /nvc-Option deaktiviert werden.

MBSA kann unter Windows 2000 Service Pack 3 oder höher, Windows XP Home Edition, Windows XP Professional, Windows Server 2003, Windows Vista und Windows Server 2008 mit einigen Überlegungen installiert und ausgeführt werden und kann diese Betriebssysteme überprüfen. Obwohl MBSA unter Windows XP Home Edition installiert und für eine lokale Überprüfung verwendet werden kann, kann ein Computer, der Windows XP Home Edition ausführt, von einem Remotestandort aus nicht auf administrative Sicherheitsrisiken überprüft werden. Windows XP Professional kann von einem Remotestandort aus überprüft werden, wenn es mit einer Domäne verknüpft ist. Wenn es nicht mit einer Domäne verknüpft ist, kann ein Computer, der Windows XP Professional ausführt, von einem Remotestandort aus nur überprüft werden, nachdem die lokale Sicherheitseinstellung auf Klassisch - lokale Benutzer authentifizieren sich als sie selbst gesetzt und die einfache Dateifreigabe deaktiviert ist.

MBSA wird auf Windows XP Embedded- und Windows-IA64-Plattformen nicht ausgeführt, aber Remoteüberprüfungen anhand dieser Plattformen werden vollständig unterstützt. Windows 2000 Datacenter wird von MBSA nicht unterstützt, weil der erforderliche Windows Update-Agent für diese Version nicht unterstützt wird.

SQL Server-Clusterkonfigurationen werden für das Überprüfen auf lokale administrative Sicherheitsrisiken unterstützt, aber in der MBSA-Hilfe sind jetzt mehrere spezifische Überprüfungen hinsichtlich bestimmter Einschränkungen bei einer Remoteüberprüfung dokumentiert. Beim Überprüfen auf Sicherheitsupdates wird der Windows Update-Agent verwendet.

Ältere Versionen von MBSA würden automatisch versuchen, die aktuelle Version des Windows Update-Agent auf jedem Zielcomputer zu installieren. Mit der Veröffentlichung von MBSA 2.1 soll die Standardeinstellung verhindern, dass ein überarbeiteter WUA-Client installiert wird, es sei denn, vom Administrator wurde die Option „Computer für Microsoft Update konfigurieren und Vorraussetzungen überprüfen“ ausgewählt. Wird dieses Feature nicht aktiviert, ist der erforderliche WUA-Client möglicherweise nicht auf dem überprüften Computer vorhanden. Dies kann zu einer vermehrten Anzahl von unten aufgelisteten Warnungen führen, aber es stellt sicher, dass – standardmäßig – ohne die Zustimmung des Administrators keine Änderungen an den Zielcomputern vorgenommen werden. Wenn der Windows Update-Agent fehlt oder älter als die für eine Sicherheitsüberprüfung erforderliche Version ist, enthält der Bericht zu abgeschlossenen MBSA-Überprüfungen einen der folgenden Fehler:

• „Auf dem Computer wird eine ältere Clientversion ausgeführt. Die Sicherheitsdatenbank erfordert eine neuere Version.“


oder

• „Der Windows Update-Agent wurde nicht gefunden, oder auf dem Computer wird nicht Windows 2000 SP3 oder höher ausgeführt.“

Nein. Windows Update-Agent ist ein integraler Bestandteil der Windows-Plattform und ein wichtiger Teil der Sicherheit, die Ihnen ermöglicht, bei Bedarf Updates von einem Update Services-Server oder von Microsoft Update zu erhalten. Alle Windows-Computer mit einer Internetverbindung unter Windows 2000 SP3 oder höher, die für automatische Updates konfiguriert sind oder Zugriff auf die Microsoft Update-Website haben, werden automatisch auf die aktuelle Version des WUA-Clients aktualisiert.

Windows Update-Agent ist eine Windows-Komponente. Diese Komponente bietet eine Updateverwaltung und ist eng in die Windows-Plattform integriert. Mit der kürzlichen Zunahme der Sicherheit wird jetzt der Zugriff auf Computer und die Bewertung von Computern über einen dedizierten Client, der auf dem Computer präsent ist, bevorzugt, statt den Client einem leichten Zugriff auf sein Stammverzeichnis und seine lokale Registrierung auszusetzen. Für Kunden mit Clients, die keine Verbindung zum Internet oder einem Update Services-Server herstellen, kann MBSA verwendet werden, um diese Windows-Komponente über die Option „Computer für Microsoft Update konfigurieren und Vorraussetzungen überprüfen“ oder die /ia-Option in der Befehlszeilenschnittstelle automatisch bereitzustellen.

Nein, aber wenn MBSA 2.0 einen Computer überprüft, der von einem WSUS-Server verwaltet wird, meldet es automatisch den Aktualisierungsstatus, der die Administratoreinstellungen für die von WSUS genehmigten Updates umfasst.

Die erforderlichen Dienste werden in der MBSA-Hilfedatei aufgelistet (siehe Link im linken Fensterbereich der MBSA-Benutzeroberfläche). Diese Anforderungen umfassen den Remoteregistrierungsdienst, den Serverdienst, den Arbeitsstationsdienst, den Datei- und Druckerfreigabedienst und den Dienst „Automatische Updates“. Die wsusscn2.cab-Datei wird von der Microsoft-Website in Abhängigkeit von Ihren Internet Explorer-Einstellungen über HTTP heruntergeladen. Überprüfungen von Remotecomputern werden mit den TCP-Ports 135, 139 und 445 durchgeführt. Wo eine Firewall oder ein Filterrouter zwei Netzwerke trennt, müssen die TCP-Ports 135, 139 und 445 sowie die UDP-Ports 137 und 138 geöffnet sein, damit MBSA eine Verbindung zum überprüften Remotecomputer herstellen und authentifizieren kann.

MBSA kennzeichnet lokale Benutzerkonten nicht mit leeren Kennwörtern für Computer unter Windows XP, auf denen die einfache Dateifreigabe verwendet wird (dazu gehören Computer unter Windows XP Home Edition sowie Computer unter Windows XP Professional, die nicht mit einer Domäne verknüpft sind und auf denen die einfache Dateifreigabe aktiviert ist). Standardmäßig ermöglichen diese Computer keine Anmeldung beim Computer über Konten mit leeren Kennwörtern von einem Remotestandort aus bzw. keine Anmeldeaktivität außer im Anmeldebildschirm der Hauptkonsole.

Ja, in dieser Tabelle wird die Unterstützung für jede Plattform beschrieben. Einige Plattformen erhalten nur eine begrenzte Unterstützung in dieser Version. Windows 2000 SP4 ist eine Mindestanforderung, zusätzlich zur Verfügbarkeit von Windows-Produkten für jeden Prozessortyp.

Beim Überprüfen von Computern, die Windows XP Embedded Edition ausführen, oder von Itanium-basierten Computern (IA64) muss der Administrator den entsprechenden WUA-Client manuell installieren und konfigurieren.

Ja. Office 2000 wird von Microsoft Update nicht unterstützt. Daher stellt MBSA keine Sicherheitsupdateüberprüfungen für Office 2000-Produkte bereit. Außerdem unterstützen MBSA und Microsoft Update keine Office-Installationen, die von einem Administratorinstallationspunkt (AIP) durchgeführt werden. Weitere Informationen zu AIP-Installationen erhalten Sie im Knowledge Base-Artikel 903773 „Bei Verwendung von Microsoft Update oder Windows Server Update Services werden keine Microsoft Office-Updates angezeigt“.

Nein. Die aktuelle Version von MBSA 2.x wird in einem separaten Ordner installiert und kann gleichzeitig mit MBSA 1.2.1 ausgeführt werden. Nachdem die Änderungen in der Funktionalität zwischen MBSA 1.2.1 und MBSA 2.0 gründlich überprüft wurden, können Sie MBSA 1.2.1 über die Option Software deinstallieren. Es wird empfohlen, vor dem Entfernen von MBSA 1.2.1 den Microsoft Knowledge Base-Artikel 895660 zu lesen, um die vollständige Abdeckung von Produkten in Ihrer Umgebung sicherzustellen.

MBSA verwendet Ihre Internet Explorer-Einstellungen, um das Herunterladen durchzuführen. Verwenden Sie die Einstellungsseite „Internetoptionen“ in Internet Explorer, um diese Einstellungen zu konfigurieren.

So konfigurieren Sie die Proxyeinstellungen in Internet Explorer

1. Klicken Sie in Internet Explorer auf Extras und dann auf Internetoptionen.
2. Klicken Sie auf Verbindungen und dann auf LAN-Einstellungen.
3. Führen Sie einen der folgenden Schritte durch:

   Wenn Ihre Netzwerkkonfiguration die automatische Erkennung von Proxyservern unterstützt, wählen Sie die Option Automatische Suche der Einstellungen aus.

   oder

   Wenn Ihre Netzwerkkonfiguration die automatische Erkennung von Proxyservern nicht unterstützt, wählen Sie die Option Proxyserver für LAN verwenden aus, und geben Sie dann im Feld Adresse den Namen oder die IP-Adresse des Proxyservers ein. Wenn der Proxyserver einen nicht standardmäßigen Port verwendet, geben Sie im Feld Port die Portnummer ein.

Sie können die Überprüfung entweder mit dem Befehlszeilendienstprogramm mbsacli mit dem Parameter /nd (do not download) durchführen, oder Sie können die Überprüfung durchführen, indem Sie die grafische Benutzeroberfläche verwenden. Vor dem Überprüfen müssen Sie die notwendigen Dateien auf den Computer kopieren, der die Überprüfung durchführt. Dazu sind vier Arten von Dateien erforderlich:

• Sicherheitsupdatekatalog (wsusscn2.cab), verfügbar auf der Microsoft-Website
• Windows Update-Verteilungskatalog (wuredist.cab) unter http://update.microsoft.com/redist/wuredist.cab
• Autorisierungskatalog (muauth.cab) für den Windows Update-Websitezugriff, verfügbar auf der Microsoft-Website oder durch Prüfen des Inhalts der wuredist.cab-Datei unter http://update.microsoft.com/redist/wuredist.cab
• Eigenständige Installationsprogramme des Windows Update-Agent (falls nicht bereits installiert):
  • Für x86-basierte Computer (WindowsUpdateAgent30-x86.exe) oder
  • Für x64-basierte Computer (WindowsUpdateAgent30-x64.exe) oder
  • Für ia64-basierte Computer (WindowsUpdateAgent30-ia64.exe) sind die aktuellen Versionen durch Prüfen des Inhalts der wuredist.cab-Datei unter http://update.microsoft.com/redist/wuredist.cab verfügbar

Kopieren Sie nach dem Herunterladen der Dateien von der Microsoft-Website alle oben aufgelisteten Dateien in den folgenden Ordner auf dem Computer, der die Sicherheitsupdateüberprüfung durchführt:
C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.1\Cache

Wichtig: Stellen Sie sicher, dass MBSA auf die aktuellen Versionen dieser Dateien zugreifen kann. Laden Sie sie deshalb jede Woche herunter oder wann immer ein Sicherheitsbulletin von Microsoft veröffentlicht wird. Dies ist besonders wichtig im Fall des Sicherheitsupdatekatalogs (Wsusscn2.cab), weil Microsoft eine aktualisierte Version dieser Datei veröffentlicht, wann immer neue Sicherheitsbulletins veröffentlicht oder aktualisiert werden.

Wenn Sie MBSA ausführen, um Überprüfungen auf Sicherheitsupdates auf Remotecomputern durchzuführen, stellt MBSA den Windows Update-Agent auf dem Remotecomputer bereit. Obwohl eine ia64-Version des Windows Update-Agent (WindowsUpdateAgent30-ia64.exe) für Itanium-basierte Computer verfügbar ist, stellt MBSA diese Version nicht automatisch bereit. Sie muss auf Itanium-basierten Computern vor dem Durchführen einer Sicherheitsüberprüfung installiert und konfiguriert werden.

Schritt 1: Überprüfen Sie die Systemanforderungen

MBSA kann keinen Remotecomputer überprüfen, der von einer Firewall geschützt wird, es sei denn, die Firewall wird so konfiguriert, dass die Ports geöffnet werden, die MBSA für die Kommunikation mit dem Computer verwendet. Der Windows Update-Agent implementiert eine auf DCOM basierende Remoteüberprüfungsschnittstelle. Das für die Überprüfung verwendete Konto muss über die Berechtigungen eines lokalen Administrators verfügen. Der Computer muss außerdem so konfiguriert sein, dass die folgenden Bedingungen erfüllt sind:

• Der Serverdienst, der Remoteregistrierungsdienst und der Datei- und Druckfreigabedienst müssen auf dem Remotecomputer ausgeführt werden.
• Die erforderlichen Ports müssen in der Firewall geöffnet sein.
• Der Windows Update-Agent muss installiert sein, und der Dienst „Automatische Updates“ darf nicht deaktiviert sein.

Die Überprüfungen von Remotecomputern werden mit dem TCP-Port 135, einem dynamischen oder statischen DCOM-Port und den Ports 139 und 445 durchgeführt. Wo eine Firewall oder ein Filterrouter zwei Netzwerke trennt, müssen die TCP-Ports 135, 139 und 445 sowie die UDP-Ports 137 und 138 geöffnet sein, damit MBSA eine Verbindung zum überprüften Remotecomputer herstellen und authentifizieren kann. Sie müssen diesen Ports ermöglichen, in der Remotefirewall geöffnet zu sein, falls Sie eine persönliche Firewall verwenden.

Hinweis: Die Verwendung von DCOM für die Remoteüberprüfung über die Windows-Firewall auf allen Versionen von Windows XP erfordert gegebenenfalls einen Post-SP2-Hotfix, wie im Microsoft Knowledge Base-Artikel 895200 beschrieben. Kunden können jetzt diese Problembehebung durch Installieren des COM+-Updates implementieren (Microsoft Knowledge Base-Artikel 902400), indem sie folgendermaßen vorgehen:

1. Laden Sie das Update im Microsoft Download Center unter http://www.microsoft.com/downloads/details.aspx?FamilyId=20F79CE7-D4DB-42D7-8E57-58656A3FB2F7 herunter.
2. Kopieren Sie das Update auf den Computer, den Sie aktualisieren, und öffnen Sie eine Eingabeaufforderung auf diesem Computer.
3. Führen Sie das Update aus, indem Sie die Befehlszeilenoptionen verwenden, wie im Microsoft Knowledge Base-Artikel 824994 beschrieben (vor allem die Befehlszeilenoption „/B:SP2QFE“). Dadurch werden alle Problembehebungen in Windows XP COM+ Hotfix Rollup Package 9 zusätzlich zu den im Sicherheitsbulletin MS05-051 veröffentlichten Problembehebungen installiert.

Schritt 2: Konfigurieren Sie nicht verwaltete Computer

DCOM ordnet einen dynamischen Port standardmäßig zu, aber eine Firewall blockiert den Zugriff auf diese Ports, es sei denn, sie werden explizit mithilfe des folgenden Verfahrens geöffnet:

1. Öffnen Sie den Port 135 und einen benutzerdefinierten Port in Ihrer Firewall (einige Firewalls ermöglichen Port 135 standardmäßig). Der ausgewählte Port muss geprüft werden, um sicherzustellen, dass er sich eignet oder dass er nicht anderen Anwendungen zugeordnet ist.
2. Konfigurieren Sie den Windows Update-Agent, um diesen statischen benutzerdefinierten Port zu verwenden, indem Sie einen Registrierungsschlüssel wie folgt festlegen: HKEY_LOCAL_MACHINE\Software\Classes \AppID\{B366DEBE-645B-43A5-B865-DDD82C345492}\Endpoints REG_MULTI_SZ “ncacn_ip_tcp,0,n” (wobei n die Portnummer darstellt, die Sie verwenden möchten). Sie können auch den Endpunkt konfigurieren, der die Anwendung „Komponentendienste“ in der Systemsteuerung verwendet. Der Endpunkt Windows Update-Agent – Remotezugriff befindet sich im Pfad Komponentendienste\Computer\Arbeitsplatz\DCOM Config. Klicken Sie mit der rechten Maustaste, und wählen Sie Eigenschaften aus. Konfigurieren Sie dann auf der Registerkarte Endpunkte der Eigenschaftenseite den statischen Port.

Schritt 3: Konfigurieren Sie verwaltete Computer

Verwenden Sie die Gruppenrichtlinie, um bestimmte administrative Firewall- und COM+-Einstellungen für Zielcomputer bereitzustellen. Sie können den Gruppenrichtlinien-Editor verwenden, um die nötigen Konfigurationseinstellungen zu erstellen, wie unter Bereitstellen der Windows-Firewalleinstellungen für Microsoft Windows XP Service Pack 2 im Abschnitt „Bereitstellen von Einstellungen für die Windows-Firewall mit Gruppenrichtlinien“ dokumentiert.

Windows-Firewalleinstellungen: Die folgenden Windows-Firewalleinstellungen werden empfohlen:

• Windows-Firewall: Remoteverwaltungsausnahme zulassen. Wird zur Aktivierung von Remotekonfigurationstools, wie z. B. Microsoft Management Console (MMC) und Windows-Verwaltungsinstrumentation (WMI), verwendet.
• Windows-Firewall: Ausnahme für Datei- und Druckerfreigabe zulassen. Wird verwendet, um anzugeben, ob der Datenverkehr über die Datei- und Druckerfreigabe zugelassen ist.
• Windows-Firewall: Portausnahmen festlegen. Wird verwendet, um den Ausnahmedatenverkehr im Hinblick auf die TCP- und UDP-Ports anzugeben. Definieren Sie in diesem Schritt die gleichen Ports, die Sie für nicht verwaltete Computer und in den Systemanforderungen ausgewählt haben.

Weitere Informationen zu den Einstellungen, die innerhalb der administrativen Vorlage für die Windows-Firewall verfügbar sind, wurden unter Verwenden der Windows-Firewall-INF-Datei in Microsoft Windows XP Service Pack 2 in den Abschnitten „Aktivieren der Remoteverwaltung“ und „Hinzufügen statischer Ports zur Liste der Standardausnahmen der Windows-Firewall“ dokumentiert.

COM+-Einstellungen: Die COM+-Endpunktregistrierungseinstellungen für den Windows Update-Agent können durch die Gruppenrichtlinie als Teil eines Startskripts konfiguriert werden. Einen Leitfaden für das Zuweisen von Startskripts finden Sie auf der Microsoft-Website http://technet.microsoft.com/de-de/library/cc779329.aspx. Das Skript muss den folgenden Befehl enthalten: reg add HKLM\Software\Classes\AppID\{B366DEBE-645B-43A5-B865-DDD82C345492} /v Endpoints /t REG_MULTI_SZ /d ncacn_ip_tcp,0,n /f (wobei n die Portnummer darstellt, die Sie verwenden möchten).

Hinweis: Denken Sie beim Verwenden dieser Methode daran, dass gegebenenfalls zusätzliche Einstellungen für die Administratorvorlage erforderlich werden, um diese Registrierungseinstellung zu entfernen, wenn die Funktionalität nicht mehr gewünscht ist.

Standardmäßig verwendet eine Überprüfung den Update Services-Server (falls überhaupt einen), dem der Client zugewiesen ist, sowie den Microsoft Update-Katalog. Die Ergebnisse werden verglichen, und alle nicht genehmigten Update Services-Updates werden im Bericht nach Informationsgehalt (blauer Stern) bewertet. Dies ermöglicht MBSA, für die Einstellungen für jedes Update einen Leitfaden zu bewährten Methoden mit oder ohne Update Services-Server anzugeben.

Mit den erweiterten Optionen können Sicherheitsprüfer auswählen, die Überprüfung nicht mit der Update Services-Liste genehmigter Updates durchzuführen, oder Update Services-Administratoren können auswählen, mit der Microsoft Update-Liste verfügbarer Updates zu überprüfen und sich dabei nur auf den genehmigten Satz von Updates zu konzentrieren.

Wenn ein Administrator entscheidet, die Überprüfung nicht mit der Liste der unter „Microsoft Update“ verfügbaren Updates durchzuführen, können Clients ohne einen Update Services-Server nicht überprüft werden. Dann wird ein Fehler zurückgeben, der anzeigt, dass diese Clients möglicherweise nicht den korrekten Satz verwalteter Updates empfangen.

Obwohl die erste Überprüfung auf einem bestimmten Client etwas länger dauert als gewöhnlich, laufen nachfolgende Überprüfungen viel schneller ab, da die Microsoft Update- und WUA-Konfigurationen dann bereits eingerichtet sind. Bei nachfolgenden Überprüfungen hängt die Leistung von der Geschwindigkeit der Verbindung zur Microsoft Update-Website oder zum Update Services-Server ab, sowie davon, wie lange der Zeitpunkt der letzten Katalogsynchronisierung mit dem Server seitens des Clients zurückliegt. Die Anzahl und die Art der installierten Produkte kann die Leistung einer Überprüfung ebenfalls beeinflussen. Stellen Sie sicher, dass Sie diese Zeitpläne, die auf Ihrer eigenen Hardwarekonfiguration und den Servereinstellungen basieren, prüfen, da die Leistung variieren wird.

Hinweis: Das Überprüfen auf verschiedene administrative Sicherheitsrisiken kann die für diesen Prozess erforderliche Zeit verlängern, vor allem wenn die Überprüfung auf schwache Kennwörter durchgeführt wird.

Das Überprüfen in MBSA wird nicht parallel durchgeführt, es sei denn, mehrere Kopien von MBSA werden gleichzeitig ausgeführt, um verschiedene Computer zu überprüfen. Mbsacli.exe kann mit dem neuen /listfile-Parameter (Liste der Computernamen oder IP-Adressen) verwendet werden, um Computer zu überprüfen, die in einer Textdatei mit Computernamen oder IP-Adressen aufgelistet werden. Diese Dateigröße kann bis zu 100 MB betragen. Mittels Skripterstellung (nicht im MBSA-Downloadpaket enthalten) können Administratoren diese Textdatei von einer Update Services-Serverzielgruppe oder von Active Directory auffüllen.

MBSA lädt die wsusscn2.cab-Datei bei der anfänglichen Überprüfung herunter bzw. jedes Mal, wenn sich die Datei auf der Microsoft-Website geändert hat. Die von MBSA verursachte Internetaktivität kann vollständig beseitigt werden, indem die Parameter /nvc (no tool version check), /catalog (Offlinekatalogdatei) und /nd (do not download) des Befehlszeilentools verwendet werden, wie in der MBSA-Hilfe beschrieben.

Hinweis:Stellen Sie sicher, dass MBSA auf die aktuellen Versionen dieser Dateien zugreifen kann. Laden Sie sie deshalb jede Woche herunter oder wann immer ein Sicherheitsbulletin von Microsoft veröffentlicht wird. Dies ist besonders wichtig im Fall des Sicherheitsupdatekatalogs (Wsusscn2.cab), weil Microsoft eine aktualisierte Version dieser Datei veröffentlicht, wann immer neue Sicherheitsbulletins veröffentlicht oder aktualisiert werden.

Das frühere MBSA-Erkennungsmodul ist durch den Windows Update-Agent ersetzt und vollständig in die Überprüfung im MBSA-Stil integriert worden. Für Benutzer, die sich an den /HF-Überprüfungsmodus in früheren Versionen von MBSA gewöhnt haben, wird eine einfache Lösung bereitgestellt, die nur Mbsacli.exe erfordert, und Wusscan.dll wird mit dem Parameter /xmlout (XML-Daten) bereitgestellt. Dieser Parameter bietet eine einfache Ausgabe zur Konsole im XML-Format, wodurch eine schnelle und einfache Integration in andere Lösungen ermöglicht wird. Die Ausgabe enthält alle Datenelemente des /HF-Modus und mehr.

Obwohl der /HF-Parameter durch aktualisierte MBSA-Features ersetzt wurde, kann eine lokale Sicherheitsupdateüberprüfung, die keine administrativen Sicherheitsrisiken enthält, mit einer Mindestanzahl von MBSA-Dateien durchgeführt werden.

Um eine lokale Sicherheitsupdateüberprüfung durchzuführen, kopieren Sie die Dateien MBSACLI. EXE und WUSSCAN.DLL von einer vollständigen MBSA-Installation in ein neues Verzeichnis auf dem lokalen Computer. Sie müssen außerdem die aktuelle Version der Sicherheitsupdatekatalogdatei (wsusscn2.cab) herunterladen und sie im Verzeichnis „C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.0\Cache“ speichern.

• Sicherheitsupdatekatalog (wsusscn2.cab), verfügbar auf der Microsoft-Website

Wenn dies der erste Versuch ist, den Zielcomputer mit MBSA 2.0 zu überprüfen, oder wenn Sie sicherstellen möchten, dass der WUA-Client auf dem lokalen Computer auf die aktuelle Version aktualisiert wurde, müssen Sie auch den Autorisierungskatalog und die aktuelle Installationsprogrammdatei des Windows Update-Agent im gleichen Verzeichnis „C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.0\Cache“ speichern.

• Autorisierungskatalog für den Zugriff auf die Windows Update-Website (Muauth.cab), verfügbar auf der Microsoft-Website
• Der entsprechende plattformspezifische Windows Update-Agent (falls nicht bereits installiert). Die aktuellen Versionen für die jeweilige Plattform können durch Untersuchen der Inhalte der wuredist.cab-Datei festgestellt werden, die Sie unter http://update.microsoft.com/redist/wuredist.cab finden.

Der /XMLOUT-Schalter muss verwendet werden, um die Überprüfungsergebnisse in diesem Modus auszugeben. Nur eine Teilmenge der MBSA-Befehlszeilenfeatures ist in diesem Modus („MBSA Lite“) verfügbar:

• /catalog (zum Angeben eines alternativen Speicherorts für die wsusscn2.cab-Datei)
• /wa (nur die auf dem WSUS-Server genehmigten Updates anzeigen)
• /wi (alle Updates anzeigen, unabhängig davon, welche auf dem WSUS-Server genehmigt wurden)
• /nvc (nicht überprüfen, ob eine neuere Version von MBSA vorhanden ist)
• /nd (nicht versuchen, Dateien von der Microsoft Update-Website herunterzuladen)
• /unicode (Ausgabe in Unicode-kompatiblem Format)

Beim Verwenden des /xmlout-Parameters müssen Sie die XML-Ausgabe explizit in eine Datei umleiten, indem Sie die Standardkonsolenumleitung verwenden. Außerdem müssen die XML-Ergebnisse separat von MBSA verarbeitet werden, weil sie ein anderes Format haben als die vollständigen MBSA-Berichtdateien. Dieser Parameter hat den Vorteil, dass Sie das vollständige Installationspaket von MBSA 2.0 vermeiden können, wenn Sie nur Updates auf einem einzigen Computer überprüfen. Bei Erfüllung der Mindestsystemanforderungen sind nur die oben erwähnten Moduldateien notwendig.

Ja. MBSA 2.1 bietet umfassende Unterstützung für Sicherheitsupdateüberprüfungen auf den x86-, x64- und ia64-Plattformen. MBSA 2.1 bietet Unterstützung für die Überprüfung der Sicherheitsrisikobewertung (vulnerability assessment, VA) auf den x86- und x64-Plattformen.

Ja. MBSA 2.0 kann Windows XP Embedded von einem Remotestandort aus auf Sicherheitsupdates überprüfen, wenn der entsprechende Windows Update-Agent bereits vorhanden ist (nicht alle Windows XP Embedded-Versionen unterstützen die Installation des WUA-Clients). Das Überprüfen auf häufige Fehler bei der Sicherheitskonfiguration wird beim Überprüfen von Windows XP Embedded unterstützt. Eine ausführliche Beschreibung der Sicherheitsupdateüberprüfungen und der Features für das Überprüfen auf administrative Sicherheitsrisiken sowie der Einschränkungen für diese Plattformen finden Sie in der MBSA-Hilfe.

Hinweis: Alle MBSA-Systemanforderungen müssen erfüllt sein. Wenden Sie sich dazu an den Hersteller des Computers oder an den Systemadministrator des Computers. Diese Anforderungen umfassen die Arbeitsstations-, Server-, Remoteregistrierungs- und Datei- und Druckfreigabedienste sowie einen aktuellen WUA-Client, wie in der MBSA-Hilfedatei aufgelistet.

Neben aktuellen Überwachungsmeldungen, die in das Ereignisprotokoll geschrieben werden, können zusätzliche Ereignisse erstellt werden, die auf dem neuen Remoteinstallationsprogramm basieren, das von MBSA für die Konfiguration des Zielcomputers verwendet wird, damit dieser beim Überprüfen den Windows Update-Agent oder Microsoft Update verwendet. Ein Beispiel für ein Ereignis:

Event Type:Information
Event Source:MBSA
Event Category:None
Event ID:1
Date:3/12/2005
Time:1:33:44 PM
User:domain\username
Computer:computer
Description: Security analysis complete.
Scanned from nnn.nnn.n.n.
Microsoft Baseline Security Analyzer version 2.1.nnnn.0.

For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp

Sie müssen die Katalogdatei auf den lokalen Computer kopieren, bevor Sie den Überprüfungsversuch starten, und einen lokalen Pfad für die Datei bereitstellen.

Beim Verwenden des MBSA-Befehlszeilentools (Mbsacli.exe) für die Überprüfung des lokalen Computers können Sie keinen UNC-Pfad (Universal Naming Convention) und kein zugeordnetes Netzwerklaufwerk als Argument für den Parameter /catalog (Offlinekatalogdatei) verwenden.

Gültige Beispielbefehle:

Mbsacli.exe /catalog wsusscn2.cab (current directory)
Mbsacli.exe /catalog c:\catalogs\wsusscn2.cab (fully qualified path)
Mbsacli.exe /catalog \folder\wsusscn2.cab (relative path)

Eine Reihe von Überprüfungen geben Informationen zu bewährten Methoden statt zu Fehlern oder potenziellen Risiken zurück. Diese Überprüfungen bieten einen Link zu Fehlerbehebungen und einen Leitfaden für die Überprüfung, der sorgfältig gelesen werden sollte. Als Beispiele dafür dienen die folgenden Überprüfungen:

• Unvollständige Updates
• Windows-Firewall
• SQL Server – Dienstkonten
• SQL Server – Mitglieder der sysadmin-Rolle

Bei der Überprüfung Unvollständige Updates wird nur dann ein gelbes Symbol (potenzielles Risiko) angezeigt, wenn mindestens ein unterstütztes Update den Status „Neustart erforderlich“ aufweist. Da sich andere Updates in diesem Status befinden könnten, die nicht ermittelt werden können, weil sie in einer älteren Version des Installationsprogramms enthalten waren, kann keine vollständige Überprüfung und daher auch keine vorübergehende Bewertung bereitgestellt werden.

Bei der Überprüfung Windows-Firewall wird nur dann, wenn die Firewall ohne jede Ausnahme aktiviert ist, ein grünes Symbol (vorübergehende Bewertung) angezeigt. Bei allen anderen Konfigurationen wird ein blaues Symbol anzeigt, um so die Einstellungsdetails für den Fall, dass die Ausnahmerichtlinie vom Computeradministrator als sicher eingestuft wird, verfügbar zu machen.

Bei den beiden SQL Server-Überprüfungen (Dienstkonten und Mitglieder der sysadmin-Rolle) wird immer ein blaues Symbol angezeigt, weil eine vorübergehende Bewertung möglicherweise nicht im Rahmen der Unterstützungsrichtlinie für Produkte liegt, die MSDE- oder WMSDE-Ableitungen von SQL Server 2000 verteilen. Nur die Produkte, die MSDE oder WMSDE verwenden, können die Sicherheit der Konfiguration bewerten.

Der maximale Schweregrad entspricht der Bewertung des maximalen Schweregrads im Sicherheitsbulletin, das von Microsoft veröffentlicht wird. Es kann sein, dass von einem bestimmten Sicherheitsbulletin mehrere Produkte betroffen sind, für die jeweils eine andere Bewertung des Schweregrads vorliegt. Der maximale Schweregrad ist der Schweregrad, der einem betroffenen Produkt zugewiesen wurde, das den höchsten Schweregrad innerhalb des Bulletins aufweist.

Dieser Wert ermöglicht Administratoren eine bessere Priorisierung des Aktualisierungsrisikos und der Bereitstellungsdringlichkeit. Das Download-Element ermöglicht den Direktzugriff auf das Updatepaket, das die Problembehebung für das Sicherheitsproblem enthält. Dieses Updatepaket, zu dem der Bericht eine Verknüpfung bereitstellt, ist das eigentliche Softwareupdate, das auf Grundlage der Konfiguration des überprüften Computers erforderlich ist. Beim Anzeigen eines Berichts für einen anderen Computer ist das Updatepaket möglicherweise für den Computer, auf dem die Berichtanzeige ausgeführt wird, nicht geeignet. Denken Sie daran, wenn Sie die Updatepakete herunterladen.

Dieser Wert ist nur dann in Berichten enthalten, wenn für die Überprüfung der Offlinekatalog verwendet wurde. Wenn der Sicherheitsupdatekatalog Microsoft Update (offline) enthält, ist dies der Fall. Durch Verwenden des Befehlszeilenparameters /catalog (Offlinekatalogdatei) kann sichergestellt werden, dass dieser Wert für alle Berichte verfügbar ist. Dies ermöglicht Kunden, die dieses Feld in früheren Versionen von MBSA verwendet haben, einen präziseren Vergleich von Berichten basierend auf einem bestimmten Zeitpunkt.

Dies kann in Abhängigkeit von der Bindungsreihenfolge installierter Adapter oft vorkommen. Sowohl die Adapterreihenfolge als auch die Anzahl installierter Adapter können eine Auswirkung darauf haben. Für die konsistenteste Identifikation überprüfter Computer wird die Verwendung von Computernamen empfohlen, besonders wenn IP-Adressen durch das Dynamic Host Configuration-Protokoll (DHCP) zugeordnet werden.

Ja, dies ist ein bekanntes Problem in den Windows Small Business Server-Produkten. Dies kann vorkommen, wenn der „SBS Backup User“ vom Sicherungstask mindestens einmal verwendet wurde, und wird sich fortsetzen, bis das gleiche Benutzerkonto mindestens einmal an der Konsole interaktiv angemeldet wurde.

Ja. Die aktualisierten Beispiele sind im Microsoft Download Center verfügbar. Der Download Microsoft Office Visio 2007 Connector für MBSA 2.1 ist ebenfalls ein empfohlener Download, der möglicherweise noch mehr Funktionalität bietet als das, was in den Skriptbeispielen bereitgestellt wird.

Textausgabe wird standardmäßig beim Verwenden von Mbsacli.exe bereitgestellt. Dies kann durch die Verwendung des Parameters /qt (quiet text output) unterdrückt werden und ist die gleiche Ausgabe, die von der Option /ld (list report details) bereitgestellt wird.

Updates, die in den Abschnitten zum Sicherheitsupdate des Berichts aufgelistet werden, stellen Elemente dar, die durch keine neueren Updates ersetzt wurden. Viele Updates, die von Microsoft veröffentlicht werden, sind kumulativ und enthalten frühere Problembehebungen. Deshalb werden in der Regel auch zusätzliche Schutzebenen bereitgestellt. Die Problembehebungen, die von früheren Updates in den derzeit installierten Updates enthalten sind, erhalten Sie im Sicherheitsbulletin oder in der Fehlerbehebungsliste für das Update. Darüber hinaus können Sie, wenn Sie ein Update installieren, mit diesem Abschnitt des Berichts bestätigen, dass das Update installiert wurde, indem Sie den Computer erneut überprüfen, wenn die Updateinstallation abgeschlossen ist (einschließlich erforderlicher Neustarts des Computers).

Nein, die in MBSA verwendeten Überprüfungen und Bewertungen können nicht geändert werden. Sie können aber ein Skript verwenden und die Elemente herausfiltern, für die Sie keine Überwachung oder Berichterstattung wünschen.

Diese Bewertungen helfen Ihnen, Prioritäten zu setzen und das Risiko im Zusammenhang mit den Ergebnissen eines Sicherheitsbulletins zu verwalten. Ein Link zu zusätzlichen Informationen findet sich unten in jedem MBSA-Bericht über die Option „Ergebnisdetails“ für Sicherheitsupdateüberprüfungen. Besuchen Sie die Microsoft-Website, um die Einzelheiten der jeweiligen Bewertung zu überprüfen und zu erfahren, wie Sie sie in Ihrer Umgebung anwenden.

MBSA zeigt verschiedene Symbole in den Ergebnisspalten des Berichts an, je nachdem, ob ein Sicherheitsrisiko auf dem überprüften Computer gefunden wurde. Es gibt zwei verschiedene Arten von Überprüfungen, die von MBSA durchgeführt werden: Überprüfungen auf administrative Sicherheitsrisiken (administrative vulnerability, VA) und Überprüfungen auf Sicherheitsupdates.

Bei den Überprüfungen auf administrative Sicherheitsrisiken wird ein rotes X verwendet, wenn eine kritische Überprüfung fehlschlägt (zum Beispiel wenn ein Benutzer ein leeres Kennwort eingegeben hat). Ein gelbes X wird verwendet, wenn eine nicht kritische Überprüfung fehlschlägt (zum Beispiel wenn ein Konto ein Kennwort hat, das nicht abläuft). Ein grünes Häkchen wird verwendet, wenn eine Überprüfung erfolgreich durchgeführt wurde (das heißt, es wurde bei dieser Überprüfung kein Problem gefunden). Ein blaues Sternchen wird für Überprüfungen gemäß bewährter Methoden verwendet (zum Beispiel bei der Überprüfung, ob die Überwachung aktiviert ist), und ein blaues Sternchen als Informationssymbol wird für Überprüfungen verwendet, die einfach nur Informationen zum Computer anzeigen, der gerade überprüft wird (zum Beispiel die Betriebssystemversion des überprüften Computers).

Bei den Überprüfungen auf administrative Sicherheitsrisiken wird ein rotes X verwendet, wenn MBSA bestätigt, dass auf dem überprüften Computer ein Sicherheitsupdate fehlt. Ein gelbes X wird für Warnmeldungen verwendet (zum Beispiel wenn der Computer nicht über das aktuelle Service Pack oder Updaterollup verfügt), und ein blaues Sternchen wird für Informationsmeldungen verwendet, die anzeigen, dass ein Update dem Computer nicht zur Verfügung steht, weil es auf dem Update Services-Server nicht genehmigt wurde. Bewertungen können nicht geändert oder erneut für Systemkonfigurationsüberprüfungen zugewiesen werden.

Einige Updates ersetzen Dateien, die derzeit von Windows verwendet werden und nicht vollständig installiert werden können, bis Windows neu gestartet wird. Bei Updates, die über automatische Updates, Windows Update oder Microsoft Update installiert werden, wird dieser Umstand im MBSA-Bericht angezeigt: Ein teilweise installiertes Update wird im Bericht als nicht installiert angezeigt, weil ein Neustart erforderlich ist. Außerdem werden alle Updates, die aufgrund eines ausstehenden Neustarts nicht vollständig angewendet wurden, auch in einem Bericht zu abgeschlossenen Überprüfungen im Abschnitt zu Verwaltungsanfälligkeiten unter Windows angezeigt. Diese VA-Überprüfung ist nicht updatespezifisch, spiegelt aber das potenzielle Risiko wider, das mit der Aktualisierung eines beliebigen Produkts und dem ausbleibenden Neustart des Computers verbunden ist, wenn das Update einen Neustart angefordert hat. Die MBSA-Hilfe enthält Anweisungen, mit denen Sie ein Updatepaket prüfen und bestimmen können, ob es diese Version des Installationsprogramms enthält.

Updates für mehrere Produkte innerhalb desselben Bulletins werden als verschiedene Produktfamilien in der Problemspalte des zusammenfassenden Berichts angezeigt. Jede produktspezifische Variation innerhalb des Bulletins enthält in der Regel eine unterschiedliche Anzahl von Knowledge Base-Artikeln, aber in einigen Fällen könnten mehrere Updates innerhalb derselben Produktkategorie vorhanden sein.

Wenn zum Beispiel ein Sicherheitsbulletin sowohl auf Windows Media Player als auch auf SQL Server zutrifft, listet der zusammenfassende Bericht zwei separate Probleme mit zwei separaten Ergebnisdetails auf, die zur Ansicht bereitstehen. In diesem Beispiel hätte jedes Element die gleiche Bulletin-ID, die Standardbenennungskonvention für Updatetitel würde die Knowledge Base-Artikelnummer enthalten, und die Beschreibungsspalte würde einen Link zur Supportartikelwebseite für das jeweilige Problem enthalten.

Ein weiteres Beispiel hierzu wäre der Fall, wenn innerhalb der gleichen Familie mehr als ein Produkt vorhanden ist, wie z. B. Windows Messenger und Windows Media Player (beide sind Windows-Komponenten). Hier würden separate Updates im gleichen Ergebnisdetailabschnitt des Berichts bereitgestellt werden, aber sie würden die gleiche Bulletin-ID aufweisen. Wenn die produktspezifische Knowledge Base-Artikel-ID notwendig ist, kann der Bericht in einem beliebigen XML-Anzeigeprogramm angezeigt werden (wie z. B. Editor oder Internet Explorer), und das KBID-Attribut würde die Artikelnummer enthalten.

Abschließend ist anzumerken, dass kurz nach der Veröffentlichung von Microsoft Update zusätzliche IDs mit veröffentlichten Updates im MBSA 2.0-Bericht aufgeführt werden, die sich direkt auf einzelne Sicherheitsrisiken beziehen, die im Bulletin angesprochen werden (in der Regel im Format „CAN-...“ oder „CVE-...“, wie im ursprünglichen Sicherheitsbulletin aufgelistet). Eine neue Version von MBSA 2.0 wird nicht nötig sein, sondern nur die neuen Daten, die mit den freigegebenen Updates veröffentlicht werden sollen.

Nein, die Ergebnisse werden im Bericht in der Reihenfolge gespeichert, in der Sie vom Windows Update-Agent an MBSA zurückgegeben werden. Diese Version von MBSA unterstützt nicht das benutzerkonfigurierte Sortieren in den Berichten, obwohl die Berichte nach Excel exportiert und sortiert oder durch ein Skript verarbeitet werden können, um in einer externen Anwendung eine bestimmte Reihenfolge anzuzeigen.

MBSA berichtet über bewährte sicherheitsbezogene Methoden. Das Windows Malicious Software Removal Tool ist ein kumulatives monatliches Update, das die Rückstände bekannter Malware entfernt, die sogar nach dem Anwenden des Sicherheitsbulletins auf den Computer vorhanden sein können. Wenn dieses Tool nicht regelmäßig ausgeführt wird, könnten schädliche Dateien oder Einstellungen auf dem Computer zurückbleiben.

Einige Updates, die auf Microsoft Update veröffentlicht werden, enthalten keine Links, aber in den meisten Fällen ermöglicht der Sicherheitsbulletinlink Benutzern den Zugriff auf die benötigten Informationen.

Die Sicherheitsberichte werden standardmäßig als MBSA-Dateien im XML-Format gespeichert unter: %userprofile%\SecurityScans. Mit der Veröffentlichung von MBSA 2.1 können Berichte zu abgeschlossenen MBSA-Überprüfungen in einem anderen Verzeichnis oder in einer anderen Netzwerkfreigabe platziert werden, indem die /rd-Option (Report Directory) in der Befehlszeilenschnittstelle verwendet wird. Die grafische Benutzeroberfläche unterstützt dieses neue Feature nicht.

Die Remoteüberprüfung erfordert, dass die aktuelle Version des Windows Update-Agent auf dem Computer vorhanden ist, der MBSA ausführt. Deshalb müssen Sie ihn vor dem Überprüfen von einem Remotestandort aus installieren. Obwohl MBSA ein Feature enthält, das Sie automatisch verwenden können, um den Agent zu installieren, können Sie ihn auch manuell installieren. Sie erhalten das Installationsprogramm im Microsoft Download Center, indem Sie einen der folgenden Links verwenden, der sich für den Computer eignet, der die Fehlermeldung ausgibt:

• Für x86-basierte Computer (WindowsUpdateAgent30-x86.exe) oder
• Für x64-basierte Computer (WindowsUpdateAgent30-x64.exe) oder
• Für ia64-basierte Computer (WindowsUpdateAgent30-ia64.exe) sind die aktuellen Versionen durch Prüfen des Inhalts der wuredist.cab-Datei unter http://update.microsoft.com/redist/wuredist.cab verfügbar

MBSA 2.1 verwendet eine Sicherheitsupdate-CAB-Datei (wsusscn2.cab), die anders formatiert ist als die frühere Version (wsusscan.cab). Der Grund für diese Änderung wird im Microsoft Knowledge Base-Artikel 926464 beschrieben. Sie müssen die neue Offlineüberprüfungsdatei „wsusscn2.cab“ herunterladen. Klicken Sie dazu auf http://go.microsoft.com/fwlink/?LinkId=76054. Speichern Sie sie unter „C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.1\Cache\wsusscn2.cab“.

MBSA und der Windows Update-Agent erfordern Windows 2000 Service Pack 3 oder höher. Die Versionsüberprüfung, die von MBSA durchgeführt wird, verwendet die Systemregistrierung. Wenn auf dem aktuell überprüften Remotecomputer der Remoteregistrierungsdienst deaktiviert ist, wird dieser Fehler angezeigt. Um dies zu korrigieren, stellen Sie sicher, dass der Remoteregistrierungsdienst auf dem Zielcomputer ausgeführt wird.

Diese Meldung wird möglicherweise angezeigt, wenn das Remoteinstallationsprogramm von Antivirus- oder Antispywareprodukten blockiert wird, wenn es eine Remoteüberprüfung eines Computers durchführt, auf dem die Option Computer für Microsoft Update konfigurieren und Vorraussetzungen überprüfen ausgewählt ist. Sie können die Software konfigurieren, von der verhindert wird, dass das MBSA-Installationsprogramm die Installation abschließt, um MBSA die Aktualisierung des Zielcomputers zu ermöglichen, oder Sie können den Computer manuell aktualisieren, indem Sie die Anweisungen in folgender häufig gestellten Frage befolgen: MBSA verwendet Dateien, die es aus dem Internet herunterlädt, aber der Computer, den ich zum Überprüfen meines Netzwerks verwenden will, hat keinen Internetzugang. Wie kann ich MBSA offline und in einer sicheren Umgebung verwenden?

Dieser Fehler kann aus mehreren Gründen angezeigt werden:

• Wenn der Clientcomputer über eine Registrierung für einen Update Services-Server verfügt und der Server vom Agent nicht kontaktiert werden kann, wird dieser Fehler zurückgegeben.
• Wenn sich der Server im Netzwerk befindet, der Client aber den Server nicht kontaktieren kann, tritt möglicherweise dieser Fehler auf und zeigt ein mögliches Problem in der Proxyserverkonfiguration oder Konnektivitätsprobleme an, durch die verhindert wird, dass der Prozess der Netzwerknamensauflösung dem Client ermöglicht, den Server auf dem Netzwerk zu finden.

Prüfen Sie die Proxyeinstellungen des Computers, auf dem MBSA ausgeführt wird, und stellen Sie sicher, dass der zugewiesene WSUS-Server im Netzwerk zugänglich ist.

Beim Herunterladen des Microsoft Update-Offlinekatalogs (wsusscn2.cab) werden vor jedem Überprüfungsversuch die heruntergeladenen Dateien auf eine gültige digitale Microsoft-Signatur geprüft, bevor sie verwendet werden. Wenn die Datei fehlt oder die digitale Signatur nicht überprüft werden kann, können diese Fehler auftreten.

Um diese Fehlermeldung zu vermeiden, wird empfohlen, dass das Update (siehe Microsoft Knowledge Base-Artikel 835732) auf allen Windows 2000-Computern, die MBSA ausführen, installiert wird, um die Überprüfung durchzuführen.

Dieser Fehler wird möglicherweise angezeigt, wenn Sie einen Proxyserver, wie z. B. Microsoft ISA 2000 Server, verwenden und wenn keine Richtlinie vorhanden ist, durch die der anonyme Zugriff auf die Microsoft Update-Website ermöglicht wird. Die Behebung dieses Problems wird im Microsoft Knowledge Base-Artikel 885819 beschrieben.

Eine andere Ursache für dieses Problem könnte darin bestehen, sich Internet Explorer im Offlinemodus (Offlinebetrieb) befindet. MBSA erfordert entweder, dass IE sich im Onlinemodus befindet und erfolgreich einen Proxyserver durchlaufen kann, um die wsusscn2.cab-Datei zu empfangen, oder Sie müssen ggf. die Schritte befolgen, die an anderer Stelle in den vorliegenden häufig gestellten Fragen beschrieben werden, um den notwendigen Katalog und die Authentifizierungsdateien zu erhalten, sodass Sie die wsusscn2.cab-Datei im Offlinemodus oder in einem sicheren Modus verwenden können, wenn die Internetkonnektivität nicht verfügbar ist.

Stellen Sie außerdem sicher, dass sowohl der Überprüfungs- als auch der Zielcomputer über die aktuellen Versionen des WUA-Clients verfügen, die auch an den folgenden Speicherorten erhältlich sind:

• Für x86-basierte Computer (WindowsUpdateAgent30-x86.exe) oder
• Für x64-basierte Computer (WindowsUpdateAgent30-x64.exe) oder
• Für ia64-basierte Computer (WindowsUpdateAgent30-ia64.exe) sind die aktuellen Versionen durch Prüfen des Inhalts der wuredist.cab-Datei unter http://update.microsoft.com/redist/wuredist.cab verfügbar

Diese Fehlermeldung bedeutet, dass die WUA-Version niedriger als die erforderliche Version ist, die in wsusscn2.cab angegeben wird. Wenn die WUA-Version nicht der von wsusscn2.cab benötigten Version entspricht oder eine höhere Version ist, wird bei der Überprüfung des Computers ein Fehler zurückgegeben.

Um dies zu korrigieren, stellen Sie sicher, dass auf dem Zielcomputer die aktuelle WUA-Version installiert ist. Damit MBSA diesen Fehler automatisch korrigiert, stellen Sie sicher, dass Sie die Option „Computer für Microsoft Update konfigurieren und Vorraussetzungen überprüfen“ auswählen oder die /ia-Option im Befehlszeilentool verwenden.

Dieser Fehler zeigt an, dass der Windows Update-Agent wegen der Proxykonfigurationseinstellung auf dem Zielcomputer nicht mit dem zugewiesenen Update Services-Server kommunizieren konnte. Wenn ein Proxyserver verwendet wird, überprüfen Sie die Einstellungen in den Internetoptionen in Internet Explorer auf dem Zielcomputer, und stellen Sie sicher, dass sich der Update Services-Server in der Proxyumgehungsliste befindet, indem Sie entweder die Einstellung Proxyserver für lokale Adressen umgehen oder die Schaltfläche „Erweitert“ in der Ausnahmeliste verwenden. Das Verwenden der Proxyumgehung ermöglicht Endbenutzern, über den Proxyserver auf das Internet und trotzdem direkt auf lokale Intranetserver zuzugreifen. Dies ist auch erforderlich, um WUA zu ermöglichen, den WSUS-Server im lokalen Netzwerk zu kontaktieren.

Dieser Fehler wird im Allgemein beim Überprüfen basierend auf einem IP-Adressbereich angezeigt. Dies liegt daran, dass MBSA den Bereich in eine Liste spezifischer IP-Adressen für diesen Bereich konvertiert und versucht, jede IP-Adresse in den zugeordneten NetBIOS-Computernamen aufzulösen. Wenn diese Namensauflösung nicht durchgeführt werden kann, weil der Computer ausgeschaltet ist, oder die IP-Adresse nicht verwendet wird, wird dieser Fehler zurückgegeben.

Der Fehler kann zudem auftreten, wenn ein Domänenname für Domänenmitglieder verwendet wird, die im Netzwerk nicht zugänglich sind, wie z. B. ein Laptopcomputer, der außerhalb des Drahtlosnetzwerks Roaming durchführt, oder ein Desktopcomputer, der heruntergefahren wurde.

Wenn Sie einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) als zu überprüfende Domäne angeben, werden diese Fehlermeldungen ebenfalls angezeigt. In diesem Fall müssen Sie den NetBIOS-kompatiblen Domänennamen verwenden.

Es wird zwar empfohlen, dass der Dienst als Konto mit niedriger Berechtigung ausgeführt wird, aber die Anwendung, von der SQL Server/MSDE installiert wurde, erfordert möglicherweise, dass es mit höheren Berechtigungen ausgeführt wird. Zum Beispiel müssen derzeit Instanzen von WMSDE als LocalSystem ausgeführt und deshalb von dieser Überprüfung ausgeschlossen werden. WMSDE ist eine Ableitung von MSDE, die für die Verwendung durch Windows Server 2003-Betriebssystemkomponenten bestimmt ist, wie z. B. Windows SharePoint Services. Prüfen Sie die Anwendungsdokumentation auf Informationen zur erforderlichen Mindestebene von Berechtigungen.

Aus diesen Gründen ist dies eine zu erwartende Meldung beim Überprüfen bestimmter Microsoft-Produkte, die MSDE oder WMSDE enthalten, wie z. B.:

• Windows Server Update Services
• Windows SharePoint Services
• Windows Small Business Server
• Microsoft ISA Server 2004
• Universal Description, Discovery and Integration (UDDI)

In vielen Installationen (besonders in Unternehmensumgebungen) ist es nützlich, wenn Administratoren zwischen den Rollen des Betriebssystemadministrators und des SQL Server-Administrators unterscheiden. In solchen Szenarios dürfte es nützlich sein, die Mitgliedschaft der lokalen Windows-Administratoren aus der SQL System-Administratorrolle zu entfernen. Derzeit ist es jedoch erforderlich, dass Instanzen von WMSDE eine Mitgliedschaft der lokalen Windows-Administratoren in der SQL System-Administratorrolle aufweisen. Deshalb müssen sie von dieser Überprüfung ausgeschlossen werden. WMSDE ist eine Ableitung von MSDE, die für die Verwendung durch Windows Server 2003-Betriebssystemkomponenten bestimmt ist, wie z. B. Windows SharePoint Services. Prüfen Sie die Anwendungsdokumentation auf Informationen zur erforderlichen Mindestebene von Berechtigungen.

Aus diesen Gründen ist dies eine zu erwartende Meldung beim Überprüfen bestimmter Produkte, die MSDE oder WMSDE enthalten, wie z. B.:

• Windows Server Update Services
• Windows SharePoint Services
• Windows Small Business Server
• Microsoft ISA Server 2004
• Universal Description, Discovery and Integration (UDDI)

Bevor Sie die Gruppe „VORDEFINIERT\Administratoren“ aus SQL Server entfernen, empfiehlt es sich, dass mindestens eine andere Anmeldung vorhanden ist, die über administrative Berechtigungen in SQL Server verfügt. Bestimmte Anwendungen basieren möglicherweise auf der Möglichkeit der Gruppe „VORDEFINIERT\Administratoren“, SQL Server zu verwalten.

Beim Überprüfen und Anzeigen von Berichten liest MBSA Daten aus wsusscn2.cab. Diese Datei enthält eine CAB-Datei und eine große Zahl anderer Dateien, die dazu führen können, dass bestimmte Antivirusprodukte eine größere Prozessor- und Speicherkapazität als üblich nutzen, wenn eine Anwendung auf wsusscn2.cab zugreift. Diese Probleme sind im Microsoft Knowledge Base-Artikel 900638 dokumentiert. Standardmäßig versucht MBSA 2.0, Computer mithilfe von Microsoft Update und des optional zugewiesenen Update Services-Servers zu überprüfen, und verwendet die wsusscn2.cab-Datei nur dann, wenn eine Offlineüberprüfung notwendig ist.

Der Windows Update-Agent, Windows Update und Microsoft Update unterstützen nicht die Aktualisierung von Windows 2000 Datacenter Edition. Weitere Informationen finden Sie auf der Microsoft-Website. Dies stellt für die Windows Server 2003-Produkte keine Einschränkung dar.

Dies kann vorkommen, wenn unter Windows XP Professional die einfache Dateifreigabe aktiviert ist, und ist immer bei Windows XP Home Edition-Computern der Fall, die von einem Remotestandort aus überprüft werden.

Obwohl MBSA unter Windows XP Home Edition installiert und für eine lokale Überprüfung verwendet werden kann, kann ein Computer, der Windows XP Home Edition ausführt, von einem Remotestandort aus nicht auf administrative Sicherheitsrisiken überprüft werden. Windows XP Professional kann von einem Remotestandort aus überprüft werden, wenn es mit einer Domäne verknüpft ist. Wenn es nicht mit einer Domäne verknüpft ist, kann ein Computer, der Windows XP Professional ausführt, von einem Remotestandort aus nur überprüft werden, nachdem die lokale Sicherheitseinstellung auf Klassisch - lokale Benutzer authentifizieren sich als sie selbst gesetzt und die einfache Dateifreigabe deaktiviert ist.

Öffnen Sie zum Deaktivieren der einfachen Dateifreigabe den Explorer, wählen Sie „Extras“ > „Ordneroptionen“ und die Registerkarte „Ansicht“, und deaktivieren Sie das Kontrollkästchen Einfache Dateifreigabe verwenden.

Sie sehen möglicherweise Fehlermeldungen wie die folgenden:

Unerwarteter Fehler. Das Betriebssystem hat die Fehlermeldung '<nnn>' zurückgegeben.

oder

Fehler beim Überprüfen auf Sicherheitsupdates. (0xnnnnnnnn)

Der Microsoft Knowledge Base-Artikel 186063 kann viele Fehlercodes erklären, die Benutzern der WUA-API, wie z. B. MBSA, möglicherweise zurückgegeben werden.

Fehlercodes, die nicht im Microsoft Knowledge Base-Artikel 186063 aufgelistet werden, sind im Allgemeinen auf MSDN zu finden.

Fehlermeldungen, die vom Betriebssystem zurückgegeben werden, können mit dem Befehl „net helpmsg nnn“ in ein Textformat konvertiert werden. Starten Sie eine Eingabeaufforderung, und verwenden Sie diesen Befehl, indem Sie „nnn“ durch den jeweiligen Fehlercode ersetzen.

Beispiel:

C:\> net helpmsg 5
Access is denied.

Beim Überprüfen mit der erweiterten Update Services-Option Nur mit zugewiesenen Windows Server Update Services-Servern (WSUS) überprüfen – oder wenn die Befehlszeilenoption /wa verwendet wird, um nur WSUS-genehmigte Updates zu überprüfen) –, ist es möglich, dass der Administrator des WSUS-Servers in der Liste der Sprachen für Updates, die von Microsoft Update synchronisiert werden, Englisch, Deutsch, Französisch oder Japanisch nicht angegeben hat. Wenn ein überprüfter Computer eine Sprache verwendet, die auf dem Update Services-Server nicht verfügbar ist, wird eine Standardsprache für die lokalisierten Eigenschaften des Updates verwendet, und die Standardsprache ist möglicherweise nicht mit der lokalisierten Version des installierten MBSA identisch. Wenn zum Beispiel eine französische Ausgabe von MBSA installiert wurde und nur englischsprachige Updates auf dem Update Services-Server synchronisiert wurden, kann der französische MBSA-Bericht einen englischen Titel für eines oder mehrere Sicherheitsupdates enthalten.

Diese Überprüfung bestimmt, ob Dienste, die in der Services.txt-Datei enthalten sind, auf dem überprüften Computer installiert sind, und listet die Dateien mit ihrem aktuellen Status auf (aktiviert oder deaktiviert). Die Services.txt-Datei ist eine konfigurierbare Liste der Dienste, die auf den überprüften Computern kontrolliert werden sollen. Die Services.txt-Datei, die standardmäßig mit dem Tool installiert wird, enthält die folgenden Dienste:

• MSFTPSVC (FTP)
• TlntSvr (Telnet)
• W3SVC (WWW)

MBSA kann den Status eines deaktivierten Diensts melden. Zum Beispiel kann der Telnet-Dienst statt als „Deaktiviert“ als „Beendet“ gemeldet werden. Dies ist eine bekannte Einschränkung in MBSA, die durch das Entfernen des Elements aus der Services.txt-Datei im MBSA-Installationsordner behoben werden kann.

Dieser Fehler kann auftreten, wenn die (auf dem Zielcomputer) überprüfte Version von IIS eine höhere Version ist als die Version auf dem Computer, auf dem MBSA ausgeführt wird. Dies ist möglicherweise auch ein Hinweis darauf, dass die gemeinsamen Dateien für IIS auf dem Computer, der die Überprüfung initiiert, nicht installiert sind. Wenn der Fehlercode 0x8007000 oder 0x8007007 zurückgegeben wird, zeigt dies an, dass der Zugriff vom Remote-IIS-Computer verweigert wurde. Dies kann vorkommen, wenn ein Remotecomputer, der IIS ausführt, über net use authentifiziert und überprüft wird. Da die net use-Verbindung keine Autorisierung für die IIS-Verwaltung bietet, schlagen die Versuche, eine Verbindung zum Remote-IIS-Computer herzustellen, mit „Zugriff verweigert“ fehl. Weitere Informationen finden Sie im Systemanforderungsabschnitt in der Readme.html-Datei (wird mit MBSA installiert) oder in der MBSA-Hilfe (siehe Link im linken Fensterbereich der MBSA-Konsole). Beachten Sie, dass die gemeinsamen Dateien für IIS 6.0 auf dem lokalen Computer erforderlich sind, wenn Sie einen IIS 6.0-Server von einem Remotestandort aus überprüfen.

In Abhängigkeit von der automatischen Konfigurationsoption, die für die Überprüfung ausgewählt wird, hat MBSA die Möglichkeit, den Windows Update-Agent bereitzustellen und eine Konfigurationsänderung durchzuführen, die dem Zielcomputer ermöglicht, Microsoft Update für das Überprüfen und Empfangen von Updates zu verwenden. Wenn eine dieser Aktionen für die Überprüfung des Zielcomputers notwendig ist, prüft MBSA die Microsoft-Website, um sicherzustellen, dass es über die aktuellen Versionen der Dateien verfügt, die für diese Änderungen nötig sind, und lädt sie herunter, wenn neuere Dateien verfügbar sind. Dann kopiert MBSA die Dateien auf den Zielcomputer und führt die Konfigurationsänderungen durch. Dieser Prozess kann mehrere Minuten dauern, je nach Netzwerkgeschwindigkeit und verfügbarer Bandbreite.

MBSA verwendet beim Herunterladen von Dateien die den Einstellungen von Internet Explorer (IE). Einige Firmenumgebungen können auch einen Proxyserver verwenden. Folglich kann es vorkommen, dass der Clientcomputer nicht richtig konfiguriert ist, um über einen Proxyserver auf das Internet zuzugreifen.

Sie müssen Internet Explorer so konfigurieren, dass es den Proxyserver Ihres Netzwerks verwendet.

So konfigurieren Sie die Proxyeinstellungen in Internet Explorer

1. Klicken Sie in Internet Explorer auf Extras und dann auf Internetoptionen.
2. Klicken Sie auf Verbindungen und dann auf LAN-Einstellungen.
3. Führen Sie einen der folgenden Schritte durch:

   Wenn Ihre Netzwerkkonfiguration die automatische Erkennung von Proxyservern unterstützt, wählen Sie die Option Automatische Suche der Einstellungen aus.

   oder

   Wenn Ihre Netzwerkkonfiguration die automatische Erkennung von Proxyservern nicht unterstützt, wählen Sie die Option Proxyserver für LAN verwenden aus, und geben Sie dann im Feld Adresse den Namen oder die IP-Adresse des Proxyservers ein. Wenn der Proxyserver einen nicht standardmäßigen Port verwendet, geben Sie im Feld Port die Portnummer ein.

Ja, der Windows Update-Agent stellt eine Protokolldatei bereit, die Sie unter „%windir%\WindowsUpdate.log“ finden. Sie kann so konfiguriert werden, dass sie bei Bedarf unter Verwendung einer Registrierungseinstellung weitere Details bereitstellt, und wurde im Microsoft Knowledge Base-Artikel 902093 dokumentiert.

Hinweis: Bestimmte Protokollierungseinstellungen können beim Überprüfen einen Systemleistungsabfall nach sich ziehen und sollten nur während der Analyse eines bestimmten Problems verwendet werden.

ServerSecure.dll und XmlDb.dll können Registrierungsfehler melden, wenn das System nicht richtig konfiguriert ist. Zur Problemumgehung dieser Fehler können Sie es mit folgenden Schritten versuchen:

Schritt 1: Klicken Sie im Setupdialogfeld für diese Fehler auf die Schaltfläche „Ignorieren“, und ermöglichen Sie, dass das Setup abgeschlossen wird.

Schritt 2: Öffnen Sie eine Eingabeaufforderung.

Schritt 3: Führen Sie die folgenden Befehle aus. (Beachten Sie, dass nach der Eingabe der einzelnen Befehle ein Bestätigungsdialogfeld angezeigt wird. Klicken Sie im Bestätigungsdialogfeld auf die Schaltfläche „OK“, und fahren Sie dann mit dem nächsten Befehl fort.)

Regsvr32.exe /u c:\windows\system32\atl.dll
Regsvr32.exe c:\windows\system32\atl.dll
Regsvr32.exe "c:\Program Files\Microsoft Baseline Security Analyzer 2\ServerSecure.dll"
Regsvr32.exe "c:\Program Files\Microsoft Baseline Security Analyzer 2\XmlDb.dll"

Stellen Sie sicher, dass Sie die Ordnernamen in diesen Befehlen bei Bedarf entsprechend den Installationsordnern für Windows und MBSA anpassen.

Dieser Fehler kann auftreten, wenn die wsusscn2.cab-Datei sich in einem schreibgeschützten Verzeichnis (z. B. auf einer CD-ROM) befindet. Das MBSA-Befehlszeilendienstprogramm extrahiert Dateien aus der .cab-Datei, indem es Dateien in das Verzeichnis schreibt, in dem sich die .cab-Datei befindet, und meldet diesen Fehler, wenn es keine Dateien in dieses Verzeichnis schreiben kann. Um diesen Fehler zu vermeiden, stellen Sie sicher, dass sich wsusscn2.cab in einem Verzeichnis befindet, für das das Konto, von dem mbsacli.exe ausgeführt wird, Schreibzugriff hat.

Windows Server 2003 Service Pack 1 bietet ein zusätzliches Maß an Sicherheit, das mehrere Verbindungen zum selben Remotecomputer verhindert, die durch das Verwenden verschiedener Anmeldeinformationen zustande kommen, wenn der überprüfende Computer mit einer Domäne verknüpft ist. Wenn Sie beim Überprüfen eines Remotezielcomputers andere Anmeldeinformationen verwenden möchten als Ihre angegebenen Anmeldeinformationen, verwenden Sie statt der mbsacli-Befehlszeilenoptionen /u und /p (Benutzername und Kennwort) den folgenden Befehl, um das in der Remoteverbindung zu verwendende Konto anzugeben:

C:\> runas /netonly /user:<Domäne\Benutzername> "cmd.exe" (gefolgt von einem oder mehreren MBSA-Befehlen, nachdem das neue Eingabeaufforderungsfenster geöffnet wurde).

oder

C:\> runas /netonly /user:<Domäne\Benutzername> "C:\Programme\Microsoft Baseline Security Analyzer 2\mbsacli.exe <MBSA-Befehlszeilenoptionen hier einfügen>"

Dies ist ein bekanntes Problem in MBSA, wenn der Computername länger als 15 Zeichen ist und eine unterstützte Version von SQL Server auf dem Zielcomputer vorhanden ist.

Die einzigen derzeit verfügbaren Problemumgehungen bestehen darin, das Ergebnis zu ignorieren, die MBSA-Skriptbeispiele oder Microsoft Office Visio 2007 Connector für MBSA 2.1 zu verwenden, um dieses Ergebniselement herauszufiltern, oder, wenn Sie die grafische Benutzeroberfläche verwenden, die Auswahl der Option aufzuheben, um die SQL Server-Überprüfungen auf administrative Sicherheitsrisiken durchzuführen.

Wenn MBSA innerhalb einer Batchdatei verwendet wird, müssen Sie möglicherweise eine ausreichende Umleitung sicherstellen, damit MBSA die richtigen Werte aufzeichnet. Innerhalb von Batchdateien erfordert dies oft das Verdoppeln der „%“-Indikatoren auf beiden Seiten der Variablen, um sicherzustellen, dass sie richtig funktioniert. Die Variable „%IP%“ sollte zum Beispiel „%%IP%%“ lauten, wenn sie innerhalb einer Batchdatei verwendet wird.

MBSA kann den Status „Ausstehender Neustart“ nur bereitstellen, wenn die Option Überprüfung auf Windows-Verwaltungsanfälligkeiten in der grafischen Benutzeroberfläche ausgewählt ist, oder standardmäßig, wenn „/n Updates“ nicht dem Befehlszeilendienstprogramm hinzugefügt wurde, um dieses Feature zu unterdrücken. Der Status „Ausstehender Neustart“ wird direkt vom WUA-Client (Windows Update-Agent) auf jedem Zielcomputer empfangen. Solange das Sicherheitsupdate durch einen WUA-unterstützten Prozess (Windows Update, Microsoft Update, SMS mit ITMU oder WSUS-Server) installiert wurde, kann MBSA alle erforderlichen ausstehenden Neustarts melden. Wenn ein Update manuell oder durch einen Drittanbieterinstallationsvorgang installiert wurde, kann MBSA den Status „Ausstehender Neustart“ nicht melden.

Für Kunden, die die Option /xmlout vom Befehlszeilendienstprogramm aus verwenden, ist der Status „Ausstehender Neustart“ aufgrund der Einschränkung bei der Verwendung der Option /xmlout nicht verfügbar. Problemumgehungen sind möglicherweise das Ausführen von mbsacli.exe ohne jegliche Schalter. Dies erfordert die vollständige Installation von MBSA (nicht die Installationsoption „MBSA Lite“, um einfach einige notwendige Dateien für das Überprüfen von Patches zu installieren). Dadurch wird auf administrative Sicherheitsrisiken überprüft. Wenn der Status „Ausstehender Neustart“ vorliegt, wird er so wie unten aufgelistet gemeldet:

Problem: Unvollständige Updates
Bewertung: Fehler bei Überprüfung (nicht sehr wichtig)
Ergebnis: Eine vorherige Softwareupdateinstallation wurde nicht abgeschlossen. Sie müssen den Computer neu starten, um die Installation fertig zu stellen. Falls es sich bei der unvollständigen Installation um ein Sicherheitsupdate handelt, besteht möglicherweise ein Sicherheitsrisiko, bis der Computer neu gestartet wurde.

Eine andere Problemumgehung besteht im Abfragen des folgenden Registrierungsschlüssels: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\UpdateExeVolatile. Weitere Informationen zur Verwendung dieses Registrierungsschlüssels und der möglicherweise dargestellten Werte finden Sie im Microsoft Knowledge Base-Artikel 832475.

Dies ist oft der Fall, wenn die c$- und Remoteregistrierung eines Zielcomputers für den MBSA-Computer, der die Überprüfung durchführt, nicht verfügbar sind. Dadurch wird verhindert, dass MBSA aufgrund der fehlenden Möglichkeit, einen gemeinsamen Administrator- und c$-Zugriff auf den Zielcomputer zu erhalten, die notwendige Katalogdatei (meist wsusscn2.cab) und möglicherweise eine aktualisierte Version der WUA-Clientanteile überträgt.

Außerdem sind, wenn eine Firewall vorhanden ist, mehrere Schritte erforderlich, um DCOM durch eine Firewall zu ermöglichen (siehe Abschnitt Wie kann ich einen Computer überprüfen, der von einer Firewall geschützt wird? in diesen häufig gestellten Fragen zu MBSA). Dafür müssen möglicherweise das erforderliche Microsoft-Sicherheitsupdate MS04-011 und die QFE-Version eines nicht öffentlichen Hotfix installiert und möglicherweise Änderungen der Firewallkonfiguration implementiert werden, um DCOM-Verbindungen durch die Firewall zu ermöglichen.

Sobald diese Anforderungen erfüllt sind, wird MBSA versuchen, eine MUAUTH.CAB-Datei zu übertragen, die auf dem Remotecomputer (Zielcomputer) ausgeführt wird, um WUA zur Annahme von Befehlen und zur Reaktion auf den überprüfenden MBSA-Computer zu autorisieren. In Abhängigkeit von den MBSA-Einstellungen auf dem überprüfenden Computer kann MBSA außerdem versuchen, aktualisierte WUA-Clientanteile zum Ziel zu übertragen. Alle weiteren Fehlermeldungen (wie z. B. 0x00000005) treten möglicherweise aufgrund unzureichender Berechtigungen auf dem Remotecomputer auf. Falls das Problem nach dem Durchführen der folgenden Schritte weiterhin besteht, ist es möglicherweise angebracht, sich an den Microsoft-Produktsupport (Product Support Services, PSS) zu wenden, um zusätzliche Schritte zur Problembehandlung zu bestimmen. Stellen Sie sicher, dass auf dem Zielcomputer eine Kopie der WindowsUpdate.LOG-Datei vorhanden ist, um dadurch die Problembehandlung zu unterstützen.