Artikel-ID: 320454 - Geändert am: Mittwoch, 5. Dezember 2007 - Version: 26.10

Microsoft Baseline Security Analyzer (MBSA) Version 1.2.1 verfügbar

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
320454  (http://support.microsoft.com/kb/320454/EN-US/ ) Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 is available
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Alles erweitern | Alles schließen

Zusammenfassung

Dieser Artikel enthält Informationen über den Microsoft Baseline Security Analyzer (MBSA). Dieses Programm führt auf Windows-Computern einen zentralen Scan nach häufigen Fehlkonfigurationen der Systemsicherheit durch und erstellt für jeden gescannten Computer einen eigenen Sicherheitsbericht. Der MBSA kann auf Computern mit Windows Server 2003, Windows 2000 oder Windows XP ausgeführt werden. Er kann auf Computern mit Windows NT 4.0, Windows 2000, Windows XP und Windows Server 2003 nach Sicherheitsanfälligkeiten suchen. Der MBSA sucht nach häufigen Fehlkonfigurationen der Systemsicherheit in Microsoft Windows, Microsoft Internet Information Services (IIS), Microsoft SQL Server, Microsoft Internet Explorer und Microsoft Office. Der MBSA sucht außerdem nach fehlenden Sicherheitsupdates in Windows, IIS, SQL Server, Internet Explorer, Windows Media Player, Exchange Server, Microsoft Data Access Components (MDAC), Microsoft XML (MSXML), Microsoft Virtual Machine (VM), Content Management Server, Commerce Server, BizTalk Server, Host Integration Server und Office (nur lokale Scans). In der Version 1.2.1. stehen eine grafische Benutzeroberfläche und eine Befehlszeilenschnittstelle zur Verfügung.

MBSA ersetzt das eigenständige Tool "HFNetChk" und stellt sämtliche Befehlszeilenoptionen von HFNetChk in der MBSA-Befehlszeilenschnittstelle ("Mbsacli.exe") zur Verfügung. Weitere Informationen zu MBSA finden Sie auf folgender Microsoft-Website:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx (http://www.microsoft.com/technet/security/tools/mbsahome.mspx)
Zum Anfang

Informationen zum Download

MBSA-Versionen in Englisch, Französisch, Deutsch und Japanisch sind im Microsoft Download Center verfügbar. Sie finden die direkten Download-Links auf der folgenden MBSA-Webseite:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx#XSLTsection124121120120 (http://www.microsoft.com/technet/security/tools/mbsahome.mspx#XSLTsection124121120120)
Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie in folgendem Artikel der Microsoft Knowledge Base:
119591  (http://support.microsoft.com/kb/119591/DE/ ) So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.
Zum Anfang

Weitere Informationen

Verwendung von MBSA

Die MBSA-Version mit grafischer Benutzeroberfläche können Sie verwenden, indem Sie die Datei "Mbsa.exe" aus dem Ordner starten, in dem das Programm installiert wurde. Die befehlszeilenbasierte Version können Sie verwenden, indem Sie den folgenden Befehl in eine Eingabeaufforderung eingeben (aus dem Ordner heraus, in dem das Programm installiert wurde) und anschließend die [EINGABETASTE] drücken:
mbsacli.exe
Zum Anfang

Systemvoraussetzungen und Sprachversionen

MBSA-Version 1.2.1 kann auf Computern mit Windows Server 2003, Windows 2000 oder Windows XP ausgeführt werden. Computer mit Windows NT 4.0, Windows 2000, Windows XP und Windows Server 2003 können mit MBSA gescannt werden. Ein Windows XP Home Edition-Computer kann nicht von einem Remotestandort aus gescannt werden. Ein Windows XP Professional-Computer kann nicht von einem Remotestandort aus gescannt werden, wenn er einer Domäne angehört. Wenn der Windows XP Professional-Computer keiner Domäne angehört, kann er nur dann von einem Remotestandort gescannt werden, wenn die lokale Sicherheitsrichtlinie auf Klassisch - lokale Benutzer authentifizieren sich als sie selbst gesetzt ist und die einfache Dateifreigabe deaktiviert ist.

Weitere Informationen zur einfachen Dateifreigabe finden Sie in folgendem Artikel der Microsoft Knowledge Base:
304040  (http://support.microsoft.com/kb/304040/DE/ ) So konfigurieren Sie die Dateifreigabe in Windows XP
MBSA funktioniert nicht auf Computern mit Microsoft Windows 95, Windows 98 oder Windows Millennium Edition.

MBSA 1.2.1 steht als lokalisierte Version in Englisch, Japanisch, Deutsch und Französisch zur Verfügung.
Zum Anfang

Systemvoraussetzungen

Die folgende Liste beschreibt die Systemvoraussetzungen zum Scannen eines lokalen Computers:
  • Windows Server 2003, Windows 2000 oder Windows XP.
  • Internet Explorer 5.01 oder höher.
  • Es wird ein XML-Parser benötigt, damit das Programm einwandfrei funktioniert. Microsoft empfiehlt die Verwendung der neuesten Version des MSXML-Parsers. Wie Sie einen XML-Parser separat beziehen können, entnehmen Sie den Hinweisen weiter unten in diesem Artikel. Auf Windows 2000-Systemen, auf denen nicht MSXML 3.0 oder höher installiert ist, wird Setup erst fortgesetzt, nachdem der Benutzer den neuesten MSXML-Parser installiert hat.
  • Der Arbeitsstationsdienst und der Serverdienst müssen ausgeführt werden.
  • Sie müssen über den WWW-Dienst (World Wide Web Service) verfügen, um als Administrator lokale Überprüfungen auf Sicherheitsanfälligkeiten in IIS durchführen zu können.
Die folgende Liste beschreibt die Systemvoraussetzungen für einen Computer, auf dem das Programm ausgeführt wird, um Remotecomputer zu scannen:
  • Windows Server 2003, Windows 2000 oder Windows XP.
  • Internet Explorer 5.01 oder höher.
  • Es wird ein XML-Parser benötigt, damit das Programm einwandfrei funktioniert. Microsoft empfiehlt die Verwendung der neuesten Version des MSXML-Parsers. Wie Sie einen XML-Parser separat beziehen können, entnehmen Sie den Hinweisen weiter unten in diesem Artikel. Auf Windows 2000-Systemen, auf denen nicht MSXML 3.0 oder höher installiert ist, wird Setup erst fortgesetzt, nachdem der Benutzer den neuesten MSXML-Parser installiert hat.
  • Die gemeinsamen Dateien von IIS müssen auf dem Computer installiert sein, auf dem das Programm installiert wurde, um Remotescans von IIS-Computern durchführen zu können.

    Hinweis: Sie benötigen die gemeinsamen Dateien von IIS 6.0 auf dem lokalen Computer, um einen Remotescan eines IIS 6.0-Servers durchführen zu können.
  • Der Arbeitsstationsdienst und der Dienst "Client für Microsoft-Netzwerke" müssen aktiviert sein.
Die folgende Liste beschreibt die Systemanforderungen für den Computer, auf dem Sie mit dem Programm einen Remotescan durchführen möchten:
  • Windows NT 4.0 Service Pack 4 (SP4) oder höher, Windows 2000, Windows XP (auf Windows XP-Computern mit aktivierter einfacher Dateifreigabe sind nur lokale Scans möglich) oder Windows Server 2003.
  • IIS 4.0, 5.0, 5.1 oder 6.0 (für die Prüfung auf Sicherheitsanfälligkeiten in IIS)
  • Internet Explorer 5.01 oder höher (für die Überprüfung der Internet Explorer-Sicherheitszonen).
  • SQL 7.0, 2000 (für die Prüfung auf Sicherheitsanfälligkeiten in SQL)
  • Office 2000, Office XP oder Office 2003 (für die Prüfung auf Sicherheitsanfälligkeiten in Office)
  • Die folgenden Dienste müssen installiert sein: Serverdienst, Remoteregistrierungsdienst, Datei- und Druckerfreigabe.
Der Benutzer, der die Überprüfung durchführt, muss auf jedem zu scannenden Computer lokale Administratorrechte besitzen, sowohl beim lokalen Scan als auch beim Remotescan. Für Remotescans müssen auf dem zu scannenden Computer die administrativen Freigaben aktiviert sein, damit MBSA die Verbindung herstellen und den Scan durchführen kann.

Sie müssen über einen Internetzugang verfügen, um die Datei "Mssecure.cab" vom Microsoft Download Center downloaden zu können. "Mssecure.cab" wird für die Überprüfung auf vorhandene Sicherheitsupdates verwendet. Wenn keine Internetverbindung erkannt wird und während eines vorangegangenen Scans bereits ein Download einer früheren Kopie der Datei "Mssecure.cab" durchgeführt wurde, versucht MBSA, die lokal zwischengespeicherte Kopie der Datei zu verwenden.
Zum Anfang

Beziehen des MSXML-Parsers

XML-Parser sind in Internet Explorer 5.01 und höher enthalten. Microsoft empfiehlt jedoch, die neueste Version von Internet Explorer und die neueste Version des MSXML-Parsers zu verwenden. Besuchen Sie die folgende Microsoft-Website, um die neueste Version des MSXML-Parsers zu downloaden:
http://go.microsoft.com/fwlink/?LinkId=16533 (http://go.microsoft.com/fwlink/?LinkId=16533)
Zum Anfang

MBSA-Scanoptionen

Die folgenden Teile eines Scans sind optional. Sie können sie vor dem Scannen eines Computers in der Benutzeroberfläche oder der Befehlszeilenschnittstelle deaktivieren:
  • Überprüfung von Windows (Betriebssystem)
  • Überprüfung von IIS
  • Überprüfung von SQL
  • Überprüfung von Sicherheitsupdates
  • Überprüfung der Kennwörter
Zum Anfang

Befehlszeilenoptionen von MBSA

Von der MBSA-Befehlszeile aus können Sie zwei Arten von Scans durchführen: Scans nach dem MBSA-Verfahren und Scans nach dem HFNetChk-Verfahren.

Scans nach dem MBSA-Verfahren

Scans nach dem MBSA-Verfahren legen ihre Ergebnisse wie bei MBSA V1.1.1 in einzelnen XML-Dateien ab, die später mithilfe der Benutzeroberfläche von MBSA angezeigt werden können. Bei Scans nach dem MBSA-Verfahren steht das gesamte Repertoire von Überprüfungen (Windows, IIS, SQL, Desktopanwendungen und Sicherheitsupdates) zur Verfügung.

Hinweis:Benutzer, die einen Scan mit denselben Optionen wie in der MBSA-Benutzeroberfläche durchführen möchten, muss die Befehlszeilenoption /nosum verwendet werden.

Geben Sie zum Starten des Programms von der Befehlszeile (aus dem MBSA-Installationsordner) den Befehl mbsacli.exe ein, und verwenden Sie folgende Parameter:
mbsacli [/c|/i|/r|/d Domänenname|IP-Adresse|IP-Adressbereich] [/n Option] [/baseline] [/sus SUS-Server|SUS-Dateiname] [/s Level] [/nosum] [/nvc] [/o Dateiname] [/e] [/l] [/ls] [/lr Berichtsname] [/ld Berichtsname] [/v] [/?] [/qp] [/qe] [/qr] [/q] [/f] [/unicode]

Auswählen des zu scannenden Computers
  • Keine Option - Den lokalen Computer scannen.
  • /c Domänenname\Computername - Den angegebenen Computer scannen.
  • /i xxx.xxx.xxx.xxx - Die angegebene IP-Adresse scannen.
  • /r xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx - Den angegebenen IP-Adressbereich scannen.
  • /d Domänenname - Die angegebene Domäne scannen.
Auswählen der Scanoptionen, die nicht verwendet werden sollen
Hinweis: Sie können diese Optionen verketten. Sie können beispielsweise /n OS + IIS + Updates verwenden, um die Überprüfung von IIS, Windows und Sicherheitsupdates zu überspringen.
  • /n IIS - Überprüfung von IIS überspringen.
  • /n OS - Überprüfung von Windows (Betriebssystem) überspringen.

    Hinweis: Wenn Sie diese Option verwenden, wird auch die Überprüfung von Internet Explorer- und Outlook-Sicherheitszonen sowie die Überprüfung der Office-Makrosicherheit übersprungen.
  • /n Password - Überprüfung von Kennwörtern überspringen.
  • /n SQL - Überprüfung von SQL überspringen.
  • /n Updates - Überprüfung von Sicherheitsupdates überspringen.
Optionen für die Überprüfung von Sicherheitsupdates
  • /sus SUS-Server | SUS-Dateiname - Nur genehmigte Sicherheitsupdates auf dem angegebenen SUS-Server oder dem Dateipfad der Datei "Approveditems.txt" überprüfen. Verwenden Sie eine der folgenden Optionen mit dem Parameter /sus:
    • Den URL für den SUS-Server, zum Beispiel http://server.
    • Den URL oder den UNC-Pfad der Datei "Approveditems.txt", zum Beispiel http://server/Approveditems.txt.
    Hinweis: Wird kein URL oder UNC-Pfad angegeben, wird der auf dem Clientcomputer in der Registrierung gespeicherte Wert verwendet (falls verfügbar). Dieser Registrierungswert kann vom Netzwerkadministrator mittels einer Gruppenrichtlinie angegeben werden.
  • /s 1 - Hinweismeldungen bei der Überprüfung von Sicherheitsupdates unterdrücken.
  • /s 2 - Hinweis- und Warnmeldungen bei der Überprüfung von Sicherheitsupdates unterdrücken.
  • /s 3 - Alle Warnmeldungen, bis auf die für Service Packs, werden unterdrückt.
  • /nosum - Keine Überprüfung von Dateiprüfsummen bei Überprüfung von Sicherheitsupdates.
Angeben der Namensvorlage für die Ausgabedatei
  • /o Dateiname - Der Name der Ausgabedatei verwendet standardmäßig das Format Domäne - Computername (Datum).
Anzeigen der Ergebnisse und Details
  • /e - Beim letzten Scan gefundene Fehler auflisten.
  • /l - Alle verfügbaren Berichte auflisten.
  • /ls - Berichte des letzten Scans auflisten.
  • /lr Berichtsname - Übersichtsbericht anzeigen.
  • /ld Berichtsname - Detaillierten Bericht anzeigen.
  • /v - Ursachencodes für Sicherheitsupdates anzeigen.
Weitere Optionen
  • /? - Hilfe zur Verwendung
  • /qp - Keine Statusinformationen anzeigen.
  • /qe - Keine Fehlerliste anzeigen.
  • /qr - Keine Berichtsliste anzeigen.
  • /q - Weder Statusinformationen noch Fehlerliste oder Berichtsliste anzeigen.
  • /f - Ausgabe in eine Datei umleiten.
  • /unicode - Ausgabe im Unicode-Format generieren. Sie sollten diese Befehlszeilenoption angeben, wenn Sie eine japanische Version von MBSA verwenden oder Computer überprüfen, die mit einer japanischen Version von Windows arbeiten.

Scans nach dem HFNetChk-Verfahren

Wie bei HFNetChk als eigenständigem Programm wird bei Scans nach dem HFNetChk-Verfahren überprüft, ob auf dem System Sicherheitsupdates fehlen, und die Ergebnisse werden im Fenster der Eingabeaufforderung angezeigt. Verwenden Sie den die Befehlszeilenoption /hf in Verbindung mit "Mbsacli.exe", um einen Scan nach dem HFNetChk-Verfahren mit MBSA 1.2.1 durchzuführen.

Hinweis: Benutzer, die einen Scan mit denselben Optionen wie in der MBSA-Benutzeroberfläche mithilfe der Option /hf durchführen möchten, müssen explizit die Optionen -b, -v und -nosum (Beschreibung siehe unten) verwenden.

Hinweis: Sie können die oben aufgeführten Scanparameter für Scans im MBSA-Verfahren nicht zusammen mit der Option /hf verwenden.

Geben Sie zum Starten des Programms von der Befehlszeile (aus dem MBSA-Installationsordner) den Befehl mbsacli.exe /hf ein, gefolgt von einem oder mehreren der weiter unten in diesem Artikel aufgeführten Parameter.
Zum Anfang

Verfügbare Optionen in Verbindung mit dem Parameter /hf


mbsacli /hf [-h Hostname] [-fh Dateiname] [-i IP-Adresse] [-fip Dateiname] [-r IP-Adressbereich] [-d Domänenname] [-n] [-sus SUS-Server|SUS-Dateiname] [-fq Dateiname] [-s 1] [-s 2] [-nosum] [-sum] [-z] [-v] [-history Level] [-nvc] [-o Option] [-f Dateiname] [-unicode] [-t] [-u Benutzername] [-p Kennwort] [-x] [-?]
Auswählen des zu scannenden Computers
  • -h Hostname - Scannt den mittels seines NetBIOS-Namens angegebenen Computer. In der Standardeinstellung ist dies der lokale Host. Geben Sie zum Scannen mehrerer Hosts die Namen der Hosts durch Kommas (",") voneinander getrennt ein.
  • -fh Dateiname - Scannt die in der Textdatei per NetBIOS-Namen angegebenen Computer. Geben Sie in der Textdatei einen Computernamen pro Zeile an (maximal 128 Namen).
  • -i xxx.xxx.xxx.xxx - Scannt die angegebene IP-Adresse. Geben Sie zum Scannen mehrerer IP-Adressen die Adressen durch Kommas voneinander getrennt an.
  • -fip Dateiname - Scannt die in der Textdatei angegebenen IP-Adressen. Geben Sie in der Textdatei eine IP-Adresse pro Zeile an (maximal 256 Adressen).
  • -r xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx - Scannt den angegebenen IP-Adressbereich.

    Hinweis: Sie können die vorstehenden Befehlszeilenoptionen auch kombinieren. Sie können beispielsweise eine Befehlszeile mit dem folgenden Format verwenden: mbsacli /hf ?h Host1,Host2 -i xxx.xxx.xxx.xxx -fip ip_adressen.txt -r yyy.yyy.yyy.yyy-zzz.zzz.zzz.zzz
  • -d Domänenname - Scannt die angegebene Domäne.
  • -n - Scannt alle Computer im lokalen Netzwerk. Alle Computer aus allen Domänen in der Netzwerkumgebung werden gescannt.
Angeben der auszuführenden bzw. anzuzeigenden Scanoptionen
  • -sus SUS-Server|SUS-Dateiname oder -sus SUS-Server - Es werden nur genehmigte Sicherheitsupdates auf dem angegebenen URL des SUS-Servers oder dem Dateipfad der angegebenen Datei "Approveditems.txt" überprüft. Wird kein URL oder Pfad angegeben, wird der auf dem Clientcomputer in der Registrierung gespeicherte Wert verwendet.
  • -fq Dateiname - Gibt den Namen einer Datei mit Q-Nummern an, die bei der Ausgabe unterdrückt werden sollen. Geben Sie eine Q-Nummer pro Zeile an. Mit dieser Option deaktivieren Sie lediglich die Ausgabe für die jeweiligen Objekte; die Objekte werden trotzdem in den Scanvorgang einbezogen.
  • -s 1 - Hinweismeldungen bei der Überprüfung von Sicherheitsupdates unterdrücken.
  • -s 2 - Hinweis- und Warnmeldungen bei der Überprüfung von Sicherheitsupdates unterdrücken.
  • -nosum - Gibt an, dass für die Dateien der Sicherheitsupdates keine Prüfsummen geprüft werden sollen. Normalerweise wird diese Option nicht benötigt.
  • -sum - Erzwingt beim Scannen eines Computers, der für eine andere Sprache als Englisch konfiguriert ist, das Überprüfen von Prüfsummen. Verwenden Sie diese Option nur, wenn Sie eine benutzerdefinierte XML-Datei mit sprachspezifischen Prüfsummen verwenden.
  • -z - Gibt an, dass die Registrierung nicht überprüft werden soll.

    Hinweis: Wenn Sie diese Befehlszeilenoption in Verbindung mit dem Parameter -history verwenden, werden für Patches, für die in der Datei "Mssecure.xml" nur Informationen zu Registrierungsschlüsseln und nicht zur Dateiversion enthalten sind, dennoch Registrierungsprüfungen durchgeführt.
  • -v - Zeigt im Zeilenumbruchmodus den Grund dafür an, warum ein Test fehlgeschlagen ist. Sie können mit dieser Option anzeigen lassen, warum ein Sicherheitsupdate als "nicht gefunden" eingestuft wurde, oder den Grund für das Anzeigen einer Hinweis- oder Warnmeldung anzeigen.
  • -history [n] - Zeigt explizit installierte Updates, nicht explizit installierte Updates oder beide Arten von Updates an. Normalerweise wird diese Option nicht benötigt. Unter bestimmten Umständen kann sie jedoch erforderlich sein. Für diese Option stehen die folgenden Optionen zur Verfügung:
    • 1 - Zeigt die Updates an, die explizit installiert wurden.
    • 2 - Zeigt die Updates an, die nicht explizit installiert wurden.
    • 3 - Zeigt die Updates an, die explizit und nicht explizit installiert wurden.
    Verwenden Sie zum Beispiel -history 1, um die Updates anzeigen zu lassen, die explizit installiert wurden.
  • -nvc - Keine Überprüfung auf eine neue Version von MBSA.
Angeben des Ausgabeformats und der Dateinamen
  • -o [Option] - Gibt das gewünschte Ausgabeformat an. Für diese Option stehen die folgenden Optionen zur Verfügung:
    • tab - Zeigt die Ausgabe durch Tabstopps getrennt an.
    • wrap - Zeigt die Ausgabe mit Zeilenumbrüchen an.
  • -f Dateiname - Gibt den Namen einer Datei zum Speichern der Ergebnisse an. Diese Option können Sie bei Ausgabe mit Tabstopps oder Ausgabe mit Zeilenumbrüchen verwenden.
  • -unicode - Ausgabe im Unicode-Format generieren. Sie sollten diese Befehlszeilenoption angeben, wenn Sie eine japanische Version von MBSA verwenden oder Computer überprüfen, die mit einer japanischen Version von Windows arbeiten.
Weitere Optionen
  • -t - Zeigt die Anzahl der Threads an, die für das Ausführen des Scans verwendet werden. Die Standardeinstellung für diesen Wert ist 64, es sind jedoch Werte zwischen 1 und 128 möglich. Sie können diese Option zum Erhöhen oder Verringern der Scangeschwindigkeit verwenden.
  • -u Benutzername - Gibt den Benutzernamen an, der zum Scannen eines lokalen oder Remotecomputers bzw. einer Gruppe von Computern verwendet werden soll. Sie müssen diese Option zusammen mit der Option -p (Kennwort) verwenden.
  • -p Kennwort - Gibt das Kennwort an, das zum Scannen eines lokalen oder Remotecomputers bzw. einer Gruppe von Computern verwendet werden soll. Sie müssen diese Option zusammen mit der Option -u (Benutzername) verwenden. Aus Sicherheitsgründen wird das Kennwort nicht im Klartext im Netzwerk übertragen. HFNetChk verwendet stattdessen zum Absichern des Authentifizierungsprozesses den in Windows NT 4.0 und höher integrierten Challenge-Response-Mechanismus.
  • -x - Gibt eine XML-Datenquelle an, die Informationen über die verfügbaren Sicherheitsupdates enthält. Bei dem Speicherort kann es sich um eine XML-Datei, eine komprimierte XML-Datei mit der Dateierweiterung ".cab" oder einen URL handeln. Standardmäßig wird die Datei "Mssecure.cab" von der Microsoft-Website verwendet. Wenn Sie diese Option nicht verwenden, erfolgt ein Download der Datei "Mssecure.xml" von der Microsoft-Website.
  • -? - Zeigt ein Menü an. Diese Option können Sie auch mit /? aktivieren. Das Menü wird zudem immer dann angezeigt, wenn die Befehlszeile nicht die korrekte Syntax aufweist.
Zum Anfang

Erkennen von Updates

Version 1.2.1 des Microsoft Baseline Security Analyzer (MBSA) enthält eine Änderung hinsichtlich der Erkennung von Updates. Aufgrund der besseren Erkennungsfunktionen in MBSA Version 1.2.1 kann zudem bei manchen Updates die Meldung "Nicht anwendbar" kommen, obwohl die Updates in der Vorgängerversion noch als "Anwendbar" gemeldet wurden.

Weitere Informationen zu Unterscheiden zwischen MBSA 1.1.1 und MBSA 1.2.1 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
306460  (http://support.microsoft.com/kb/306460/DE/ ) Microsoft Baseline Security Analyzer (MBSA) gibt Hinweismeldungen zu einigen Updates zurück
Zum Anfang

Hinweise zum Scannen

Scanberichte

Die Scanberichte werden auf dem Computer gespeichert, auf dem das Programm installiert ist, und zwar im Ordner "%Benutzerprofil%\SecurityScans". Für jeden gescannten Computer (lokal und remote) wird ein eigener Sicherheitsbericht erstellt. Sie müssen Windows Explorer verwenden, um Scanberichte zu löschen, die von dem Programm in diesem Ordner angelegt wurden.

Scannen nach Sicherheitsupdates

Standardmäßig wird bei einem von der MBSA-Benutzeroberfläche oder der MBSA-Befehlszeile gestarteten Sicherheitsupdate-Scan der Computer auf installierte und fehlende Updates überprüft, die in Windows Update als "wichtige Updates" (baseline critical) eingestuft sind. Fehlende Sicherheitsupdates werden gemeldet. Beim Scannen nach Sicherheitsupdates mit "Mbsacli.exe" und der Option /hf werden alle sicherheitsrelevanten Updates gescannt und in den Bericht aufgenommen. Bei einem Scan im HFNetChk-Verfahren muss die Option -b verwendet werden, um nur nach Sicherheitsupdates zu suchen, die gemäß Windows Update "wichtige Updates" sind.

Kennwortüberprüfung

Die Überprüfung von Kennwörtern kann die zum Scannen benötigte Zeit erheblich erhöhen, je nachdem, welche sonstigen Aufgaben der Computer übernimmt und wie viele Benutzerkonten auf dem Computer verwaltet werden. Außerdem kann es beim Überprüfen einzelner Konten auf schwache Kennwörter zu Einträgen im Sicherheitsprotokoll kommen (Anmelde- und Abmeldeereignisse), falls auf dem Computer die Überwachung aktiviert ist. MBSA deaktiviert während des Scannens sämtliche auf dem Computer erkannten Kontosperrungsrichtlinien, damit durch die Kennwortüberprüfung keine Benutzerkonten deaktiviert werden. Diese Überprüfung wird auf Domänencontrollern nicht durchgeführt.

Wenn Sie diese Option nicht vor dem Scannen eines Computers auswählen, wird weder die Kennwortüberprüfung lokaler Konten in Windows noch die Kennwortüberprüfung von SQL-Konten durchgeführt.

Überprüfung von IIS

Sie benötigen die gemeinsamen Dateien von IIS 6.0 auf dem lokalen Computer, um einen Remotescan eines IIS 6.0-Servers durchführen zu können. Die gemeinsamen Dateien von IIS 6.0 können auch zum Scannen von IIS-Computern mit früheren Versionen (zum Beispiel IIS 5.0) verwendet werden. Die gemeinsamen Dateien von IIS 5.0 können jedoch nicht verwendet werden, um eine Remoteverbindung zu einem IIS 6.0-Computer herzustellen und auf diesem Computer einen Remotescan durchzuführen.

Überprüfung von SQL Server

Das Programm führt für jede auf dem Computer gefundene Instanz von SQL Server eine Überprüfung auf Sicherheitsanfälligkeiten durch. Für jede Instanz werden alle einzelnen SQL-Überprüfungen durchgeführt.

Lokalisierte Versionen von Windows

MBSA 1.2.1 kann Windows-Betriebssysteme mit den lokalisierten Versionen für Englisch, Deutsch, Französisch und Japanisch scannen. Diese Unterstützung beinhaltet auch die Möglichkeit zum Download lokalisierter Versionen der Datei "Mssecure.xml" von Microsoft. Beim Scannen eines Computers mit einer anderen Sprache als Englisch auf fehlende Sicherheitsupdates werden Überprüfungen der Prüfsumme nur durchgeführt, wenn die entsprechende lokalisierte Datei "Mssecure.xml" vorhanden ist.
Zum Anfang

Supportoptionen

Es wurde eine Newsgroup für den Microsoft Baseline Security Analyzer eingerichtet, in der Fragen gestellt werden können und Informationen zu Updates, technischen Fragestellungen und geplanten Versionen verfügbar sind:
  • Newsserver: Msnews.microsoft.com
  • Newsgroup: Microsoft.public.security.baseline_analyzer
Fügen Sie die folgenden Informationen bei, wenn Sie in der Newsgroup einen Fehlerbericht verfassen:
  • Version des Betriebssystems/Service Packs des Computers, auf dem das Programm ausgeführt wird.
  • Version des Betriebssystems/Service Packs des Computers, der vom Programm gescannt wird.
  • Version von Internet Explorer für den Computer, auf dem das Programm ausgeführt wird.
  • Version von Internet Explorer für den Computer, der gescannt wird.
  • Version von MBSA. Sie können diese Informationen ermitteln, indem Sie in MBSA auf Info klicken.
MBSA wurde von Shavlik Technologies LLC für Microsoft entwickelt. Weitere Informationen über Shavlik Technologies LLC finden Sie auf der folgenden Website von Shavlik Technologies LLC:
http://www.shavlik.com (http://www.shavlik.com)
Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.
Zum Anfang

Fehlermeldungen

Beim Einsatz des Tools Mbsacli /hf kann eine der unten beschriebenen Fehlermeldungen angezeigt werden. Die folgende Liste beschreibt die Fehlermeldungen und die Schritte, die Sie zur Problembehebung ergreifen müssen.
Error: 200 - System not found. Scan not performed.
Diese Fehlermeldung zeigt an, dass Mbsacli /hf den angegebenen Computer nicht finden und daher auch nicht überprüfen konnte. Vergewissern Sie sich zum Beheben dieses Problems, dass sich der betreffende Computer im Netzwerk befindet und dass Hostname und IP-Adresse korrekt sind.
Error: 201 - System not found. Computer-Fehlermeldung
Diese Fehlermeldung kann angezeigt werden, wenn Mbsacli den angegebenen Computer aufgrund eines Netzwerkproblems nicht überprüfen kann. Stellen Sie sicher, dass Ihr Computer (der Computer, der die Überprüfung durchführt) ordnungsgemäß an das Netzwerk angeschlossen ist und dass der Remotezugriff auf den zu überprüfenden Computer funktioniert.
Error: 202 - System not found. Scan not performed.
Diese Fehlermeldung wird angezeigt, wenn während der Überprüfung ein Netzwerk- oder Computerfehler auftritt. Stellen Sie sicher, dass der Computer, der die Überprüfung durchführt, ordnungsgemäß an das Netzwerk angeschlossen ist und dass der Computer, den Sie überprüfen möchten, immer noch mit dem Netzwerk verbunden ist. Vergewissern Sie sich zudem, dass auf dem Remotecomputer der Serverdienst ausgeführt wird.
Error: 230 - Scan not performed. Computer-Fehlermeldung
Diese Fehlermeldung wird angezeigt, wenn ein allgemeiner Netzwerkfehler aufgetreten ist. Weitere Informationen dazu finden Sie in Ihrer Computerdokumentation.
Fehler: 235 - System not found, or NetBIOS ports may be firewalled. Scan not performed.
Diese Fehlermeldung wird angezeigt, wenn es keinen Computer mit der angegebenen IP-Adresse gibt. Wenn es einen Computer mit dieser Adresse gibt, kann es sein, dass eine persönliche Firewall oder ein Portfilter Pakete "verwirft", die für die TCP-Ports 139 und 445 bestimmt sind.
Fehler: 261 - System found but it is not listening on NetBIOS ports. Scan not performed.
Diese Fehlermeldung wird angezeigt, wenn es zwar einen Computer mit dieser IP-Adresse gibt, der Computer jedoch die TCP-Ports 139 und 445 nicht überwacht oder den Zugriff auf diese Ports blockiert.
Fehler: 301 - SystemRoot share access required to scan. Unable to connect to the remote machine?s system share.
Diese Fehlermeldung wird angezeigt, wenn der Administrator die administrative Freigabe (üblicherweise C$ oder ähnlich) aufgehoben oder AutoShareServer(Wks) über die Registrierung deaktiviert hat.
Fehler: 451 - Admin rights are required to scan. Scan not performed.
Diese Fehlermeldung wird angezeigt, weil das aktuelle oder angegebene Benutzerkonto, mit dem die Überprüfung durchgeführt wird, keine Administratorrechte auf dem Computer besitzt, der überprüft wird. Stellen Sie sicher, dass das verwendete Konto Mitglied der lokalen Gruppe "Administratoren" (oder Mitglied einer Gruppe, die lokale Administratorrechte besitzt) auf dem zu überprüfenden Computer ist.
Fehler: 452 - HFNetChk is unable to scan this computer. Please check to see that you have administrative rights to this machine and are able to login to this machine from your workstation. Scan not performed.
Vergewissern Sie sich zum Beheben dieses Problems, dass der Serverdienst auf dem Remotecomputer aktiviert ist und der Remotezugriff auf den Computer möglich ist. Vergewissern Sie sich zudem, dass der Arbeitsstationsdienst auf dem Computer ausgeführt wird, der die Überprüfung vornimmt.
Fehler: 501 - Remote registry access denied. Scan not performed.
Vergewissern Sie sich zum Beheben dieses Problems, dass der Remote-Registrierungsdienst auf dem zu überprüfenden Computer aktiviert ist.
Error: 502 - Scan not performed. Error reading Registry. Computer-Fehlermeldung
Diese Fehlermeldung wird angezeigt, wenn ein allgemeiner Fehler in der Registrierung aufgetreten ist. Weitere Informationen dazu finden Sie in Ihrer Computerdokumentation.
Error: 503 - Scan not performed. Error reading Registry.
Diese Fehlermeldung wird angezeigt, wenn ein allgemeiner Fehler in der Registrierung aufgetreten ist. Zu dieser Fehlermeldung gibt es keine weiteren Informationen.
Error: 553 - Unable to read registry. Please ensure that the remote registry service is running. Scan not performed.
Vergewissern Sie sich zum Beheben dieses Problems, dass der Remote-Registrierungsdienst auf dem zu überprüfenden Computer aktiviert ist.
Error: 621 - Machine is not one of Windows (NT 4, 2000, XP or .NET). Scan not performed.
Der Computer, den Sie überprüfen möchten, verwendet ein Betriebssystem, das von dem Tool nicht unterstützt wird. Der zu überprüfende Computer verwendet möglicherweise ein Betriebssystem eines Fremdanbieters mit SMB-Diensten oder emuliert anderweitig ein Produkt von Microsoft.
Error: 622 - Machine OS is not Recognized. Please run with tracing on and send to technical support. Scan not performed. Unable to determine the Operating System of the specified machine.
Diese Fehlermeldung wird angezeigt, wenn Sie Betaversionen oder nicht freigegebene Versionen von Microsoft-Betriebssystemen überprüfen.
Error: 623 - Machine OS is not Recognized. Please run with tracing on and send to technical support. Scan not performed. Unable to determine the Operating System of the specified machine.
Diese Fehlermeldung wird angezeigt, wenn Sie Betaversionen oder nicht freigegebene Versionen von Microsoft Service Packs überprüfen.
Error: 701 - File http://download.microsoft.com/download/xml/security/1.0/NT5/EN-US/mssecure.cab was NOT downloaded. The signed, compressed .cab file containing the security patch information could not be obtained from the specified location.
Diese Fehlermeldung wird angezeigt, wenn der Computer, der die Überprüfung vornimmt, nicht an ein Netzwerk angeschlossen ist oder nicht auf die angegebene Datei bzw. den Speicherort zugreifen kann.
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Data Engine 1.0
  • Microsoft Exchange 2000 Server Standard Edition
  • Microsoft Exchange Server 2000 Service Pack 1
  • Microsoft Exchange Server 5.5 Standard Edition
  • Microsoft Exchange Server 5.5 Service Pack 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange Server 5.5 Service Pack 4
  • Microsoft Internet Explorer 5.5 Service Pack 1
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 6.0
  • Microsoft SQL Server 2000 Service Pack 1
  • Microsoft SQL Server 2000 Service Pack 2
  • Microsoft SQL Server 7.0 Standard Edition
  • Microsoft SQL Server 7.0 Service Pack 1
  • Microsoft SQL Server 7.0 Service Pack 2
  • Microsoft SQL Server 7.0 Service Pack 3
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Windows Media Player 9 Series
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 4
  • Microsoft Windows Media Player 7.1
  • Microsoft Windows Media Player 7.0
  • Microsoft Windows Media Player 6.4
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 5
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 6
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
  • Microsoft XML Parser 2.5
  • Microsoft XML Parser 2.6
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Virtual Machine for Java
  • Microsoft Content Management Server 2001 Enterprise Edition
  • Microsoft Content Management Server 2002
  • Microsoft Commerce Server 2000 Standard Edition
  • Microsoft Commerce Server 2002 Standard Edition
  • Microsoft BizTalk Server 2000 Standard Edition
  • Microsoft BizTalk Server 2002 Standard Edition
  • Microsoft SNA Server 4.0
  • Microsoft Host Integration Server 2000 Standard Edition
  • Microsoft Internet Explorer 6.0, wenn verwendet mit:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
Zum Anfang
Keywords: 
atdownload kbenv kberrmsg kbinfo KB320454
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN