Данная статья содержит сведения о средстве Microsoft Baseline Security Analyzer (MBSA), которое служит для централизованной проверки компьютеров под управлением Windows с целью выявления типичных ошибок конфигурации системы безопасности и создания отдельного отчета по результатам проверки каждого компьютера. Средство MBSA запускается на компьютере под управлением Windows 2000, Windows XP или Windows Server 2003 и предназначено для определения уязвимых мест в системе безопасности компьютеров под управлением Windows NT 4.0, Windows 2000, Windows XP и Windows Server 2003. Оно находит типичные ошибки в конфигурации операционной системы Windows, служб Internet Information Services (IIS), сервера SQL Server, обозревателя Internet Explorer и приложений Office. Кроме того, средство MBSA выявляет отсутствующие обновления безопасности для Windows, служб IIS, сервера SQL Server, обозревателя Internet Explorer, проигрывателя Windows Media, сервера Exchange Server, компонентов доступа к данным Microsoft (MDAC), модуля Microsoft XML (MSXML), виртуальной машины Microsoft (VM), приложений Content Management Server, Commerce Server, BizTalk Server, Host Integration Server и пакета Office (допускается проверка только локальной системы). Версия 1.2.1 имеет графический пользовательский интерфейс, но может быть запущена и в режиме командной строки.

Средство MBSA заменяет программу HFNetChk и поддерживает все ее параметры при запуске из командной строки (Mbsacli.exe). Дополнительные сведения о средстве MBSA см. на веб-узле корпорации Майкрософт по адресу:

Сведения о загрузке

На веб-узле центра загрузки Майкрософт существуют версии средства MBSA на английском, японском, немецком и французском языках. Чтобы загрузить средство MBSA, обратитесь на веб-узел Майкрософт по адресу: Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Использование средства MBSA

Для запуска средства MBSA с поддержкой графического пользовательского интерфейса служит файл Mbsa.exe из папки, в которой установлено средство. Из командной строки средство MBSA запускается с помощью следующей команды (из папки, в которой установлено средство):

Системы и языки

Средство MBSA версии 1.2.1 может запускаться на компьютерах под управлением Windows Server 2003, Windows 2000 и Windows XP и предназначено для проверки компьютеров под управлением Windows NT 4.0, Windows 2000, Windows XP и Windows Server 2003. Компьютер под управлением Windows XP Home Edition можно проверить только локально. Компьютер под управлением Windows XP Professional можно проверить в удаленном режиме, если он входит в состав домена. В противном случае для этого необходимо, чтобы на компьютере под управлением Windows XP Professional параметру локальной безопасности было присвоено значение Обычная — локальные пользователи удостоверяются как они сами и отключен простой общий доступ к файлам

Дополнительные сведения о модели простого общего доступа к файлам см. в следующей статье базы знаний Майкрософт: С помощью средства MBSA нельзя проверить компьютер под управлением Windows 95, Windows 98 или Windows Millennium Edition.

Существуют версии средства MBSA 1.2.1 на английском, японском, немецком и французском языках.

Системные требования

Системные требования для проверки локального компьютера.

•	Операционная система Windows Server 2003, Windows 2000 или Windows XP.
•	Internet Explorer версии 5.01 или более поздней.
•	Для использования средства требуется наличие модуля синтаксического анализа XML (корпорация Майкрософт рекомендует установить модуль MSXML последней версии). Сведения о получении модуля XML см. далее в этой статье. Если на компьютере под управлением Windows 2000 нет модуля MSXML 3.0, то установка средства не может быть завершена.
•	Запущены служба рабочей станции и служба сервера.
•	Для локальной проверки служб IIS требуется служба World Wide Web.

Системные требования для компьютера, на котором данное средство запускается для проверки удаленных компьютеров.

•	Операционная система Windows Server 2003, Windows 2000 или Windows XP.
•	Internet Explorer версии 5.01 или более поздней.
•	Для использования средства требуется наличие модуля синтаксического анализа XML (корпорация Майкрософт рекомендует установить модуль синтаксического анализа MSXML последней версии). Сведения о получении модуля синтаксического анализа XML см. далее в этой статье. Если на компьютере под управлением Windows 2000 нет модуля MSXML 3.0, то установка средства не может быть завершена.
•	Чтобы выполнять проверку удаленных компьютеров со службами IIS на компьютере, с которого запускается средство, необходимо установить общие файлы IIS. Примечание. На локальном компьютере требуется наличие общих файлов IIS 6.0 для проверки сервера IIS 6.0.
•	Должны быть запущены служба рабочей станции и клиент для сетей Майкрософт.

Системные требования для проверяемого в удаленном режиме компьютера.

•	Операционная система Windows NT 4.0 с пакетом обновления версии 4 (SP4) или более поздней, Windows XP (в случае использования простого общего доступа к файлам выполняется проверка только локального компьютера) или Windows Server 2003.
•	IIS 4.0, 5.0, 5.1 или 6.0 (для нахождения уязвимостей служб IIS).
•	Internet Explorer версии 5.01 или более поздней (для проверки зон безопасности Internet Explorer).
•	SQL 7.0 или 2000 (для проверки уязвимости SQL).
•	Office 2000, Office XP или Office 2003 (для проверки уязвимости Office).
•	Должны быть установлены службы сервера, удаленного реестра и совместного доступа к файлам и принтерам.

Как получить модуль синтаксического анализа MSXML

Модули синтаксического анализа XML входят в состав Internet Explorer начиная с версии 5.01. Корпорация Майкрософт рекомендует использовать обозреватель Internet Explorer и модуль синтаксического анализа MSXML последней версии. Чтобы загрузить модуль синтаксического анализа MSXML последней версии, обратитесь на веб-узел корпорации Майкрософт по адресу:

Элементы проверки

Следующие элементы проверки являются необязательными и могут быть отключены через пользовательский интерфейс или из командной строки:

•	проверка операционной системы Windows;
•	проверка служб IIS;
•	проверка сервера SQL;
•	проверка установленных обновлений безопасности;
•	проверка паролей.

Параметры командной строки, которые поддерживаются средством MBSA

Средство MBSA можно запустить из командной строки в режиме MBSA или в режиме HFNetChk.

Режим проверки MBSA

Результаты проверки в режиме MBSA (подобно средству MBSA версии 1.1.1) сохраняются в отдельных файлах XML. При этом проверяется операционная система Windows, службы IIS, сервер SQL, клиентские приложения и обновления безопасности.

Примечание. Для проведения проверки в конфигурации, которая запускается из графического интерфейса, необходимо явно указать параметр /nosum.

Для запуска из командной строки (из папки, в которой установлено средство MBSA) служит команда mbsacli.exe с соответствующими параметрами.

•	параметр отсутствует Проверить локальный компьютер.
•	/cимя_домена\имя_компьютера Проверить указанный компьютер.
•	/ixxx.xxx.xxx.xxx Проверить компьютер с указанным IP-адресом.
•	/rxxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx Проверить компьютеры из указанного диапазона IP-адресов.
•	/dимя_домена Проверить указанный домен.

Примечание . В одной командной строке можно указывать несколько параметров Например, можно использовать /n OS + IIS + Updates , чтобы пропустить проверку Windows, служб IIS и обновлений безопасности.

•	/n IIS Не проверять службы IIS.
•	/n OS Не проверять операционную систему Windows. Примечание. Кроме того, в случае использования этого параметра не проверяются зоны безопасности Internet Explorer и Outlook, а также макросы приложений пакета Office.
•	/n Password Не проверять пароли.
•	/n SQL Не проверять сервер SQL.
•	/n Updates Не проверять наличие обновлений безопасности.

•	/susсервер_SUS | имя_файла_SUS Проверять только обновления безопасности, которые подтверждены на указанном сервере SUS или в файле Approveditems.txt. Для данного параметра необходимо указать одно из следующих значений: • адрес URL сервера SUS (например, http://server); • адрес URL или путь UNC к файлу Approveditems.txt (например, http://server/Approveditems.txt). Примечание . Если адрес URL или путь не указаны, применяется значение, которое хранится в реестре клиентского компьютера. Это значение может быть определено администратором сети через групповую политику.
•	/s 1 Отключить вывод примечаний при проверке обновлений безопасности.
•	/s 2 Отключить вывод примечаний и предупреждений при проверке обновлений безопасности.
•	/s 3 Отключить вывод всех предупреждений, кроме предупреждений для пакетов обновления.
•	/nosum Отключить проверку контрольных сумм для обновлений безопасности.

•	/oимя_файла По умолчанию для файла результатов используется формат имя_домена - имя_компьютера (дата).

•	/e Показать список ошибок последней проверки.
•	/l Показать список доступных отчетов.
•	/ls Показать список отчетов последней проверки.
•	/lrимя_отчета Краткий отчет.
•	/ldимя_отчета Подробный отчет.
•	/v Отобразить коды обновлений безопасности.

•	/? Вызов справки.
•	/qp Не отображать индикатор состояния процесса.
•	/qe Не показывать список ошибок.
•	/qr Не показывать список отчетов.
•	/q Не показывать индикатор состояния процесса, список ошибок и список отчетов.
•	/f Переадресовать вывод результатов проверки в файл.
•	/unicode Организовать вывод в формате Юникод. Этот параметр рекомендуется указывать при использовании японской версии средства MBSA или при проверке компьютеров под управлением японской версии Windows.

Режим проверки HFNetChk

Подобно автономной программе HFNetChk, целью проведения проверки в данном режиме является определение отсутствующих обновлений безопасности с отображением результатов на экране монитора. Для запуска средства MBSA 1.2.1 в режиме HFNetChk служит команда Mbsacli.exe с параметром /hf.

Примечание. Для проведения проверки в конфигурации, которая запускается из графического интерфейса, необходимо явно указать параметры -b, -v и –nosum (описание см. дальше в этой статье).

Примечание. Описанные выше параметры проверки в режиме MBSA нельзя использовать с параметром /hf.

Для запуска из командной строки (из папки, в которой установлено средство MBSA) служит команда mbsacli.exe /hf с одним или несколькими параметрами, перечисленными ниже.

Параметры, используемые вместе с параметром /hf

mbsacli /hf [-hимя_узла] [-fh имя_файла] [-iIP-адрес] [-fipимя_файла] [-r диапазон_IP-адресов] [-d имя_домена] [-n] [-susсервер_SUS|имя_файла_SUS] [-fq имя_файла] [-s 1] [-s 2] [-nosum] [-sum] [-z] [-v] [-historyуровень] [-nvc] [-o параметр] [-fимя_файла] [-unicode] [-t] [-uимя_пользователя] [-p пароль] [-x] [-?]

•	-hимя_узла Проверить компьютер с указанным NetBIOS-именем. По умолчанию проверяется локальный компьютер. Чтобы проверить несколько компьютеров, укажите их NetBIOS-имена через запятую после параметра -h.
•	-fhимя_файла Проверить компьютеры, NetBIOS-имена которых перечислены в указанном файле. В этом файле каждое NetBIOS-имя располагается в отдельной строке, всего в файле может быть не более 128 имен.
•	-ixxx.xxx.xxx.xxx Проверить компьютер с указанным IP-адресом. Чтобы проверить несколько компьютеров, укажите их IP-адреса через запятую.
•	-fipимя_файла Проверить компьютеры, IP-адреса которых перечислены в указанном файле. В этом файле каждый IP-адрес располагается в отдельной строке, всего в файле может быть не более 256 IP-адресов.
•	-rxxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx Проверить компьютеры из указанного диапазона IP-адресов. Примечание. Несколько предыдущих параметров можно использовать в одной командной строке. Например, mbsacli /hf –h узел1,узел2 -i xxx.xxx.xxx.xxx -fip ipaddresses.txt -r yyy.yyy.yyy.yyy-zzz.zzz.zzz.zzz
•	-dимя_домена Проверить указанный домен.
•	-n Проверить все компьютеры локальной сети. Проверяются компьютеры из всех доменов в сетевом окружении.

•	-susсервер_SUS|имя_файла_SUS или -sus сервер_SUS Проверять только обновления безопасности, которые подтверждены на указанном сервере SUS или в файле Approveditems.txt. Если адрес URL или путь не указаны, применяется значение, которое хранится в реестре клиентского компьютера.
•	-fqимя_файла Имя файла, который содержит номера обновлений (Qномер), не отображаемых в результатах проверки (один номер в строке). Проверка указанных обновлений не отключается, но ее результаты не появляются на экране монитора.
•	-s 1 Отключить вывод примечаний при проверке обновлений безопасности.
•	-s 2 Отключить вывод примечаний и предупреждений при проверке обновлений безопасности.
•	-nosum Отключить проверку контрольных сумм для обновлений безопасности (используется редко).
•	-sum Проверять контрольные суммы при проверке локализованной версии операционной системы. Используйте данный параметр только при наличии специального файла в формате XML, в котором содержатся контрольные суммы для файлов указанной языковой версии операционной системы.
•	-z Не проверять системный реестр. Примечание. Если этот параметр используется вместе с параметром –history, производится проверка реестра для обновлений, содержащих только данные в определенном разделе реестра и не имеющих номера версии в файле Mssecure.xml.
•	-v Отобразить причину сбоя проверки в режиме переноса по словам (почему обновление не было найдено, появилось уведомление или предупреждение).
•	-history [n] Отобразить либо обновления, которые были установлены отдельно, либо в составе другого пакета, либо и те и другие (используется редко). Данный Параметр принимает следующие значения. • 1 Отобразить обновления, которые были установлены отдельно. • 2 Отобразить обновления, которые не были установлены отдельно. • 3 Отобразить обновления, которые относятся к обеим категориям. Например, для отображения обновлений, установленных отдельно, укажите в составе команды –history 1.
•	-nvc Не проверять наличие новых версий средства MBSA.

•	-o [параметр] Формат представления результатов проверки. Параметр принимает следующие значения. • tab В формате с разделяющим символом табуляции. • wrap В формате с переносом по словам.
•	-fимя_файла Имя файла, в котором будет сохранен результат проверки. Данный параметр используется для сохранения результатов как в формате с разделителями, так и в формате с переносом по словам.
•	-unicode Организовать вывод в формате Юникод. Этот параметр рекомендуется указывать при использовании японской версии средства MBSA или при проверке компьютеров под управлением японской версии Windows.

•	-t Количество потоков, используемых для выполнения проверки. Возможные значения — от 1 до 128, по умолчанию — 64. Данный параметр служит для изменения скорости проверки.
•	-uимя_пользователя Имя пользователя для проверки локального компьютера, удаленного компьютера или группы компьютеров. Данный параметр должен использоваться с параметром -p (пароль).
•	-pпароль Пароль для проверки локального компьютера, удаленного компьютера или группы компьютеров. Данный параметр должен использоваться с параметром -u (имя_пользователя). В целях безопасности пароль не отправляется по сети открытым текстом. Вместо этого программа Hfnetchk использует механизм проверки подлинности с запросом и подтверждением, который встроен в Windows версии NT 4.0 и более поздних.
•	-x Источник данных в формате XML, который содержит сведения об обновлениях безопасности. В качестве источника может выступать файл в формате XML, архив САВ или адрес URL (по умолчанию файл Mssecure.cab с веб-узла корпорации Майкрософт). Если данный параметр не указан, с веб-узла корпорации Майкрософт загружается файл Mssecure.xml.
•	-? Вывод меню справки (поддерживается также синтаксис /?). Данное меню появляется каждый раз при вводе неправильной команды.

Обнаружение обновлений

В версии 1.2.1 средства MBSA изменен алгоритм обнаружения обновлений. Кроме того, новые возможности средства MBSA версии 1.2.1 позволяют обнаруживать обновления, о которых предыдущая версия MBSA сообщала как о применимых, но которые на самом деле были неприменимы.

Дополнительные сведения об отличиях версий 1.1.1 и 1.2.1 средства MBSA см. в следующей статье базы знаний Майкрософт:

Примечания

Отчеты о проверке

Отчеты по результатам проверки сохраняются в папке %userprofile%\SecurityScans на компьютере, где установлено средство MBSA. Отчет создается для каждого проверенного локально или в удаленном режиме компьютера. Созданные файлы могут быть удалены или переименованы с помощью проводника Windows.

Проверка обновлений безопасности

По умолчанию при запуске средства с графическим интерфейсом или в режиме командной строки производится поиск обновлений, которые отмечены на веб-узле Windows Update в качестве критических. Программа Mbsacli.exe с параметром /hf служит для проверки всех обновлений безопасности и составления соответствующего отчета. Чтобы проверять только критические обновления с веб-узла Windows Update, средство MBSA следует запустить в режиме HFNetChk с параметром -b.

Проверка паролей

Проверка паролей может существенно увеличить продолжительность проверки компьютера. Это зависит от роли компьютера и количества учетных записей пользователей. Кроме того, если на компьютере включен аудит, поиск ненадежных паролей учетных записей приводит к регистрации дополнительных записей в журнале безопасности (события входа в систему или завершения сеанса работы). Средство MBSA сбрасывает настройки политик блокирования учетных записей (в процессе проверки паролей все учетные записи разблокируются). Данная проверка не выполняется на контроллерах домена.

Если данный параметр не указан перед началом проверки компьютера, пароли локальных учетных записей Windows и SQL не проверяются.

Проверка служб IIS

На локальном компьютере требуется наличие общих файлов IIS 6.0 для проверки сервера IIS 6.0 в удаленном режиме. Общие файлы IIS 6.0 могут использоваться и для проверки служб IIS более ранних версий (например, IIS 5.0), однако общие файлы IIS 5.0 не позволяют удаленно подключиться и проверить компьютер с IIS 6.0.

Проверка SQL Server

Средство проверяет наличие уязвимостей в системе безопасности каждой установленной на компьютере копии SQL Server (все возможные проверки).

Локализованные версии Windows

Средство MBSA 1.2.1 предназначено для проверки версий Windows на английском, японском, немецком и французском языках. Поддержка этих версий включает загрузку локализованной версии файла Mssecure.xml с веб-узла корпорации Майкрософт. В случае отсутствия соответствующей версии файла Mssecure.xml при поиске отсутствующих обновлений безопасности на локализованной версии Windows контрольные суммы не проверяются.

Поддержка

С целью обмена информацией об обновлениях, новых версиях продукта и использовании программы была создана группа новостей MBSA.

•	Сервер новостей: Msnews.microsoft.com
•	Группа новостей: Microsoft.public.security.baseline_analyzer

Сообщая об ошибках в программе, не забудьте указать следующие сведения:

•	версия операционной системы и пакета обновления на компьютере, где запускается средство;
•	версия операционной системы и пакета обновления на проверяемом компьютере;
•	версия Internet Explorer на компьютере, где запускается средство;
•	версия Internet Explorer на проверяемом компьютере;
•	версия MBSA (откройте меню About Microsoft Baseline Security Analyzer в окне средства MBSA).

Средство MBSA разработано для корпорации Майкрософт компанией Shavlik Technologies LLC. Дополнительные сведения о компании Shavlik Technologies LLC см. на следующем веб-узле: Контактные данные независимых производителей предоставлены в данной статье с целью помочь пользователям в получении необходимой технической поддержки. Данная информация может быть изменена без предварительного уведомления. Корпорация Майкрософт не дает никаких явных или подразумеваемых гарантий относительно верности приведенных контактных данных независимых производителей.

Сообщения об ошибках

При использовании программы Mbsacli /hf могут появляться следующие сообщения об ошибках. Ниже представлены описания сообщений и возможные пути разрешения возникших проблем. Данное сообщение об ошибке указывает, что программа Mbsacli /hf не может найти заданный компьютер. Убедитесь, что компьютер подключен к сети и имя или IP-адрес компьютера указаны правильно. Данное сообщение об ошибке появляется, если произошла ошибка в сети, мешающая программе Mbsacli выполнить проверку указанного компьютера. Для устранения ошибки убедитесь, что выполняющий проверку компьютер правильно подключен к сети и что возможно удаленное подключение к компьютеру, который необходимо проверить. Данное сообщение об ошибке появляется, если в процессе проверки произошла сетевая ошибка или ошибка в работе компьютера. Для устранения ошибки убедитесь в правильности подключения к сети проверяющего и проверяемого компьютеров и в том, что на удаленном компьютере запущена служба «Сервер». Данное сообщение об ошибке появляется, если произошла общая ошибка сети. Дополнительные сведения см. в документации к компьютеру. Данное сообщение об ошибке появляется, если не найден компьютер с указанным IP-адресом. Если компьютер с указанным IP-адресом подключен к сети, то, возможно, персональный брандмауэр или фильтр пакетов отбрасывают пакеты, поступающие на порты TCP 139 и 445.
Данное сообщение об ошибке появляется, если компьютер с указанным IP-адресом существует, но не принимает пакеты, поступающие на порты TCP 139 и 445, либо данные порты заблокированы. Данное сообщение об ошибке появляется, если запрещен общий доступ к папке %systemroot% или свойство AutoShareServer(Wks) отключено с помощью настроек системного реестра. Данное сообщение об ошибке появляется, если пользователь, выполняющий проверку, не обладает правами администратора на проверяемом компьютере. Для устранения проблемы необходимо убедиться, что на проверяемом компьютере указанная учетная запись входит в локальную группу «Администраторы» или в другую группу, имеющую права администратора. Для устранения проблемы убедитесь, что на удаленном компьютере запущена служба «Сервер» и пользователь, выполняющий проверку, может войти в систему на удаленном компьютере, а на компьютере, выполняющем проверку, запущена служба «Рабочая станция». Для исправления ошибки необходимо убедиться, что на удаленном компьютере запущена служба удаленного управления реестром. Данное сообщение об ошибке появляется, если произошла общая ошибка чтения реестра. Дополнительные сведения см. в документации к компьютеру. Данное сообщение об ошибке появляется, если произошла общая ошибка чтения реестра. Дополнительные сведения о данном сообщении об ошибке отсутствуют. Для исправления ошибки необходимо убедиться, что на удаленном компьютере запущена служба удаленного управления реестром. На проверяемом компьютере используется операционная система, не поддерживаемая программой MBSA. Операционная система, установленная на проверяемом компьютере, не является продуктом корпорации Майкрософт. В ней запущены службы SMB, либо она эмулирует продукт Майкрософт другим образом. Данное сообщение об ошибке появляется, если на проверяемом компьютере установлена бета-версия операционной системы корпорации Майкрософт. Данное сообщение об ошибке появляется, если на проверяемом компьютере установлена бета-версия пакета обновления Майкрософт. Данное сообщение об ошибке появляется, если проверяющий компьютер не подключен к сети или не может получить доступ к указанному файлу.

Источник: support.microsoft.com