一、我的计算机有漏洞吗
1.近距离接触MBSA
这里以MBSA 1.2.1汉化版为蓝本来说明,在默认情况下,MBSA安装在\program files\microsoft baseline security analyzer目录,其中mbsa.exe是MBSA的图形界面程序,命令行界面程序是mbsacli.exe。MBSA的目录下面还有几个配制文本文件,利用这些文件可以定制MBSA的扫描过程和方式。
services.txt列出了MBSA需要监视和扫描的服务,默认列出的服务包括MSFTPSVC、TlntSvr、W3SVC和SMTPSVC,如果要让MBSA扫描其它服务,只要把服务的简称加入该文件即可。noexpireok.txt列出了MBSA不将其视为潜在安全隐患的帐户名称(如:密码设置为永不过期的帐户),MBSA默认不报告IUSR_*和IWAM_*帐户,修改这个文件可以让MBSA跳过对其它帐户的检查。
来子提示:MBSA是针对Windows NT/2000/XP/2003操作平台开发的,需要Internet Explorer 5.01以上版本支持。要使用MBSA来检测本地计算机,必须以管理员身份登录系统,如果需要远程扫描计算机,那么必须拥有远程计算机的管理员权限。同时,必须确保已经连接到Internet,因为MBSA需要从微软的网站下载mssecure.cab这个文件,否则MBSA将试图使用上次下载到本地的mssecure.cab这个文件来进行扫描。
2.实战MBSA安全扫描
双击桌面上的Microsoft Baseline Security Analyzer 1.2.1,出现其程序主界面。MBSA可以对一台或多台计算机进行安全检测这里就以扫描本地计算机10.0.3.57为例,单击“选择一个计算机扫描”,进入“选择要扫描的计算机”页面。在“计算机名称”栏中输入要检测的计算机的名称,默认为本地机器名,或者在“IP 地址”栏中输入要检测机器的IP地址然后在“安全报表名称”栏中输入安全检测报告的名称格式,使用默认格式就行了(其中,%D%代表域, %C%代表计算机, %T%代表日期和时间, %IP%代表 IP 地址)。接着在“选项”功能区域中选择安全检测的内容,MBSA可以检查操作系统漏洞、弱密码、IIS漏洞、SQL漏洞、安全更新等,一般使用默认选项即可,当然也可根据需要进行选择。如果本机处于局域网中,并且网内已经部署了SUS服务器,就可选中“使用 SUS 服务”选项,并输入SUS服务器的IP地址或计算机名。点击“更多 扫描选项”可以更详细的配置扫描参数。
点击“开始扫描”,MBSA就会尝试从微软网站下载一个mssecure.cab文件,然后开始对指定的计算机进行安全检测扫描所需的时间与具体的扫描项目和机器数量有关,扫描结束后,为该机生成一份XML格式的安全报告(存放在\%userprofile%\securityscan文件夹中),详细地列出这台机器存在的安全问题。
来子提示:mssecure.cab是一个压缩的XML文件,它列出了所有最近的更新。如果本地网络上有SUS服务器,MBSA可以配制成从SUS下载mssecure.cab文件。如果没有指定SUS服务器,MBSA将从微软网站下载软件更新的清单。默认情况下,图形界面的MBSA将执行微软所谓的基线扫描,即只扫描和报告Windows Update定义的关键更新,而不是扫描和报告所有的安全更新。 如果想对多台计算机进行安全漏洞扫描,请点击“选择一批计算机扫描”,在这里可以对某个IP地址段或者整个域的计算机进行检测。在“域名”栏中输入想检测的域,或者在“IP地址范围”栏中输入要检测的IP网段,设置好要检测的项目后点击“开始扫描”即可。
3.命令行玩转扫描
MBSA命令行版本功能更加强大,应用更灵活,支持MBSA标准的语法结构和补丁检查工具HFNetChk命令行语法的结构。执行Mbsacli /?显示出标准命令行选项的清单,执行Mbsacli /hf /?显示出模拟HFNetChk时的命令行参数。
比如:要扫描一个特定IP地址范围的子网,检查因配制不当而导致的安全隐患,但不要求扫描软件更新,只在其安装目录中运行如下命令:mbsacli /n updates /r 10.0.3.50-10.0.3.60,其中,参数/n指示Mbsacli不必执行某项扫描操作,在这里MBSA将不扫描软件更新;/r参数用来指定一个IP地址的范围。
如果要扫描某台特定的机器,检查未安装的软件更新,请运行如下命令:mbsacli /n os+sql+iis+password /i 10.0.3.57点击“开始扫描”即可。
Mbsacli在扫描的过程中会显示出摘要信息,同样也会生成XML格式的报告,还提供了列出和显示这些报告的命令行选项。比如,Mbsacli -l命令将列出当前用户的用户配制文件夹(\%userprofile%\securityscans)下面的所有XML报告,利用“-ld 报表名称”选项可以访问报表。
二、补漏防黑爱你很容易
这里以图形界面版本来看看如何巧借MBSA来补漏防黑,点击“选择安全报告查看”,这样就可以查看扫描结果,在这里详细地列出这台机器未安装的各类补丁,以及存在的安全漏洞请大家注意,在“评估”栏中给出各测试项目的安全风险级别,其中:红色或黄色的叉号表示该项目未能通过测试,雪花图标表示该项目还可以进行优化,也可能是程序跳过了其中的某项测试,感叹号表示尚有更详细的信息,绿色的对钩表示该项目已通过测试,这当然是我们所希望的啦!
下面来详细分析一下安全报告各项内容:
1.安全更新
在“安全更新扫描结果”项目中显示着刚测试的Windows XP系统需要的安全修复补丁程序,比如:Windows Security Updates、Microsoft VM Security Updates、Windows Media Player Security Updates、Office Updates等等,如果这部分项目出现红色“X”,表明存在安全隐患未通过安全检测。在那些未能通过测试的项目下面,一般都会提供“已扫描了什么”、“详细结果”和“如何去纠正”三个选项,其中第一个将告诉我们分析器在该项目上主要进行了什么测试,而后两项告诉我们详细的结果,以及如何做才能够通过这项测试。我们只要点击“如何去纠正”,就可以按照系统提示去下载补丁程序,从而修补该漏洞。
2.操作系统
在“操作系统扫描结果”项目中,列出MBSA对操作系统进行的一些检测,包括:Automatic Updates(自动更新)、“File System”(文件系统)、“Local Account Password Test”(本地帐户密码测试)、“Windows Firewall”(Windows防火墙)、“Guest Account”(Guest帐户状态)等,按照“结果”中的“如何去纠正”对操作系统做出相应调整就可以消除这方面的安全隐患。
3.其它系统信息
在“其他系统信息”项目中,MBSA主要检测系统是否存在不安全的服务,共享文件夹状态等。在“Internet 信息服务 (IIS) 扫描结果”中列出了IIS的检测结果,一些不正确的设置,或者是已发现的IIS漏洞都在此一目了然。在“桌面应用程序扫描结果”项目会显示IE浏览器和Office产品的安全检测结果。
我们只要按照MBSA扫描结果的建议,对系统进行漏洞修补、调整安全设置,就可以让系统更加健壮,以杜绝漏洞攻击、病毒入侵。
MBSA 1.2.1汉化版下载地址:http://www.ldcatv.com/soft/MBSA.rar
