Die Windows-Grundsicherheit prüfen

Das Skript Check-WindowsSecurityBasics.vbs prüft automatisiert einige grundlegende Sicherheitseinstellungen einer Windows-Installation:

• Den Virenscanner (nur bei Clients)
• Den Update-Status
• Den Status der Windows-Firewall
• Die Mitglieder der lokalen Administratoren

Es kann daher als Grundlage für weitere Untersuchungen dienen und erspart einiges Klicken und manuelles Notieren. Da es in VBScript geschrieben ist, sollte es auch mit älteren Windows-Versionen funktionieren und benötigt keine PowerShell.

Die Überprüfung des Virenscanners läuft über das Windows Security Center, das nur auf Clients (ab Windows 7) vorhanden ist. Auf Servern gibt dieser Test also kein Eregbnis.

Den Update-Status prüft das Skript über das Windows-Update-API. Zur Einschätzung der Update-Versorgung versucht das Skript dabei auch zu ermitteln, wie viele Updates für ein frisch installiertes System verfügbar wären. Bei einer Installation, die schon länger läuft, können durchaus mehr Updates vorhanden sein, als für eine Neuinstallation anstünden: Das liegt daran, dass manche Updates bereits durch andere ersetzt wurden.

Diese Prüfung braucht oft eine ganze Weile. Falls es besonders lange dauert, kann das daran liegen, dass der Component Store in Unordnung geraten ist. Der folgende Blog-Artikel beschreibt, wie man ihn reparieren kann:

[Fixing Component Store Corruption in Windows 8 and Windows Server 2012 – TechNet Blogs]
https://blogs.technet.microsoft.com/joscon/2012/09/26/fixing-component-store-corruption-in-windows-8-and-windows-server-2012/

Das Skript arbeitet auf der Kommandozeile, es ist daher mit cscript in einem CMD-Fenster aufzurufen, nicht per Doppelklick. Die Ausgabe leitet man am besten in eine Datei um:

cscript //nologo C:\Pfad\Check-WindowsSecurityBasics.vbs > C:\Pfad\Ergebnis.txt

Mit einigen Schaltern kann man das Verhalten des Skripts steuern:

• /mode:csv – schaltet auf CSV-Ausgabe um, dann kann man das Ergebnis z.B. mit Excel auswerten. Das ist praktisch, wenn man die Ergebnisse mehrerer Rechner gemeinsam analysiert.
• /headers:yes – gibt im CSV-Betrieb die Spaltenüberschriften mit aus. Sammelt man die Ergebnisse mehrerer Rechner in einer Datei (z.B. in einer Server-Dateifreigabe), so kann man beim ersten Rechner die Überschriften mit ausgeben, auf den folgenden dann nicht.
• /updatesearch:no – überspringt den Windows-Update-Check.
• /verbose:no – lässt die ausführlichen Angaben weg.
• /help oder /? – zeigt die Syntaxhilfe an.

Das Skript sollte ohne Administratorrechte ausführbar sein.

  Check-WindowsSecurityBasics.zip (4,3 KiB, 1.148-mal heruntergeladen, letzte Änderung am 18. Oktober 2016)