セキュリティチェックツール「Microsoft Baseline Security Analyzer（MBSA）」を継ぐものは？：山市良のうぃんどうず日記（202）

以前、Microsoftは「Microsoft Baseline Security Analyzer（MBSA）」というセキュリティチェックツールを提供していました。最近、このツールの話題を聞かないと思っていたら、数年前（2018年ごろ）に提供を停止していたようです。Windows 10など、現在メインストリームまたは延長サポートフェーズのWindowsで利用可能な代替ツールをざっと調査してみました。

» 2021年03月10日 05時00分公開

[山市良，テクニカルライター]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

山市良のうぃんどうず日記

MBSAの開発とダウンロード提供は数年前に既に終了

　Microsoftが提供していた「Microsoft Baseline Security Analyzer（MBSA）」は、ローカルまたはリモートのWindows PCのセキュリティ更新プログラム適用状況や不適切なセキュリティ構成をスキャンしてレポートしてくれるツールでした。

　最初のMBSAは「Windows 2000」以降に対応し、Windows Updateや「Windows Server Update Services（WSUS）」をオンラインで利用できない状況でも実行でき、全てのセキュリティ更新プログラムと推奨セキュリティ設定が企業内で維持されているかどうかをチェックできました（画面1）。

画面1　在りし日のMBSA（画面は最後のバージョンとなったMBSA 2.3）

　MBSAの用途について説明している以下のドキュメントでは、「Windows 8.1」および「Windows Server 2012 R2」に対応したMBSA 2.3（2013年11月リリース）を最後に開発は終了し、ダウンロード提供も停止されました。「Windows 10」および「Windows Server 2016」に対応するために、MBSA 2.3に対して更新などが提供されることはありませんでした。

Microsoft Baseline Security Analyzerとその用途（Microsoft Docs）

　つまり、Windows 10／Windows Server 2016以降に対応したMBSAは存在しないということです。また、それ以前のWindowsに、過去に導入したMBSAが残っている場合でも、Windows UpdateやWSUSにおけるSHA-1（Secure Hash Algorithm 1）廃止の影響を受け、MBSAによるオフラインスキャンはエラーで失敗するそうです。MBSA 2.3以前が残っている場合は、アンインストールしてしまいましょう。

最新の「wsusscn2.cab」に対するWUA APIによるオフラインスキャン

　Windows UpdateやWSUSにオンラインでアクセスできないコンピュータのセキュリティ更新プログラムの適用状況を調査する代替手段としては、以下のドキュメントで説明されている、最新の「wsusscn2.cab」と「Windows Update Agent（WUA）API」を使用したオフラインスキャンが紹介されています。

Using WUA to Scan for Updates Offline［英語］（Microsoft Docs）

　「wsusscn2.cab」は署名者「Microsoft Corporation」によってデジタル署名されたカタログで、セキュリティ関連の更新プログラムの最新情報を含みます。このファイルはWindows Updateサイトからダウンロード可能で（ダウンロードリンクはドキュメントに示されています）、毎月のセキュリティ更新プログラムのリリース（米国時間の第2火曜日）に最新版に置き換えられます（2021年1月版のサイズは約935MB）。

　ドキュメントには「Windows Script Host（WSH）」用のVBScript（Visual Basic Scripting Edition）コードが掲載されているので、コピーしてテキストファイルに貼り付け、ダウンロードした「wsusscn2.cab」の保存先パスを適宜書き換えて、例えば「offlinescan.vbs」というファイル名を付けて保存します。チェック対象のコンピュータ上でスクリプトを実行（cscript offlinescan.vbs）することで、不足しているセキュリティ更新プログラムを調査できます（画面2）。

cscript offlinescan.vbs

画面2　最新の「wsusscn2.cab」を使用したオフラインスキャン。ネットワークに接続していなくてもセキュリティ更新の不足を調査できる

　また、以下のサイトでかなり前から公開されている、同じくWUA APIを使用したWindows Update用のサンプルスクリプト「WUA_SearchDownloadInstall.vbs」は、最近機能アップ版に差し替えられ、オフラインスキャンにも対応しました。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

Microsoft TeamsをDXのハブに、ローコードツール連携など最新オススメ機能とは
ニューノーマルな時代に向けたMicrosoft＆Windowsテクノロジー活用の新たな道筋を探る本特集。企業のビジネス革新を支援し、エンドユーザーの利便性と生産性の向上に寄与するテクノロジーとはどのようなものか。第3弾は、「新たなコラボレーション環境がもたらすDX」を見ていく。
誰も知らなかった、これからも知られることがない、Windows Updateの「幻のオプション」とは
ある調査のため、2020年10月に公開されたWindows 10 バージョン20H2のインストールメディアを使用して、仮想マシン環境に新規インストールしました。その際、目的の調査とは関係なく目にした「Windows Updateの新しいオプション」についてお話ししましょう。恐らく、現行バージョンではもう誰も目にすることはない、幻のオプションの話です。
Windows 10におけるレガシーSMBプロトコルに関する重要な変更とSMB v3新機能まとめ
Windows 10およびWindows Server 2016以降、レガシーなSMB（SMB v1やSMB v2）の扱いについて、既定の動作に幾つか重要な変更が行われています。Windows 10やWindows Server 2016以降への移行時、または機能更新プログラムによる新バージョンへのアップグレードのタイミングで、以前のWindowsネットワークになかった挙動に遭遇した場合は、変更点を確認してみてください。
さよならPHP、WindowsでのPHPのサポートが「2022年11月28日」に完全終了
「PHP」は、古くから人気のあるWebアプリのためのスクリプト言語です。当初はLinux上のApache Webサーバと組み合わせて利用されることが多かったものの、Windowsの「IIS」でも古くからサポートされていました。2020年11月26日に最新バージョン「PHP 8.0」がリリースされましたが、Microsoftはこのバージョンをサポートする予定はありません。