Chequeo Offline de actualizaciones y configuraciones de seguridad con Microsoft Baseline Security Analyzer (MBSA)

Existen situaciones donde nos toca trabajar en ambientes sin conexión al exterior, por razones de seguridad. Cuando los entornos son Windows, quizás nos sintamos un poco mas inseguros que de costumbre y tengamos la necesidad de tener nuestros equipo sumamente actualizados y medir de alguna forma el estado de la seguridad de cada uno de ellos.
¿Pero como lo podemos lograr, sin tener conexión a los servidores de microsft ?
Bueno, Micrsoft provee gratuitamente (aunque usted no lo crea) de una herramienta de tipo auditoria de seguridad que nos indicara las actualizaciones, hotfix y parches faltantes. Errores comunes en configuraciones de seguridad de servicios (como IIS y MSSQL), cuentas de usuarios, passwords, etc. Suena bastante bien no?, estoy hablando de MBSA (Microsoft Baseline Security Analyzer) esta tool nos puede brindar un buen panorama en lineas generales de como estamos.
Microsoft la define de la siguiente manera:

"Microsoft Baseline Security Analyzer (MBSA) is an easy-to-use tool designed for the IT professional that helps small- and medium-sized businesses determine their security state in accordance with Microsoft security recommendations and offers specific remediation guidance. Improve your security management process by using MBSA to detect common security misconfigurations and missing security updates on your computer systems."

Aunque todo lo que brilla no es oro, si queremos que MBSA revise las actualizaciones, necesitara los servicios de Windows Update (WU) para indicarnos los security updates que faltan, en este punto la herramienta nos permite tomar tres acciones:
a) Conectar el equipo a Internet (No es mi caso, por lo que lo descarto).
b) Utilizar los servicios de WSUS de nuestra red local o Intranet.
c) Utilizar el catalogo de actualizaciones wsusscn2.cab para offline scans.

Si bien WSUS es una alternativa para manejar las actualizaciones dentro de la Intranet (solo debemos habilitar el puertos 80 en los firewalls de la DMZ) los pro y contras aun debo analizarlos. Lo que si me resulto totalmente seguro es poder realizar los analisis de MBSA de forma offline, totalmente desconectados de la Internet y Intranet.

Para hacer esto desde las FAQ's de MBSA en la pregunta:
Q: MBSA uses files that it downloads from the Internet, but the computer I want to use to scan my network doesn't have Internet access. How can I use MBSA in an offline and secure environment?
Decargamos wsusscn2.cab, muauth.cab, wuredist.cab y el Windows Update Agent (WUA) standalone instaler. Los *.cab debemos colocarlos en la carpeta "C:\Documents and Settings\\Local Settings\Application Data\Microsoft\MBSA\Cache" si estamos en Windows 2008 Server veran que este path no existe por lo que deben crear este otro: "C:\Users\Administrator\AppData\Local\Microsoft\MBSA\Cache". Como decian por ahí, este path se crear la primera vez que MBSA se conecta a Internet.
Instalamos el WUA y el MBSA 2.2 (que lo bajamos desde aqu ) luego ejecutamos el MBSA, su uso es intuitivo, por lo que no me explayare al respecto.

Lo único a tener en cuenta en el chequeo de los security updates es que se debe seleccionar "Scan using offline catalog only"

Esta es la salida después de aplicar MBSA a una de mis maquinas virtuales de testing.