使用手记：扫描多台计算机

　　此项功能是“扫描一台计算机”功能的延伸，只是将扫描对象扩大到网络中的一个域或IP地址段，它的工作原理与“扫描一台计算机”相同，即：以安全漏洞清单为蓝本，对指定域（或IP地址段）中的所有计算机逐一进行扫描。

　　注意：MBSA只能扫描网络中安装了Windows NT 4.0/2000/XP/2003操作系统的计算机，而不能扫描Windows 9X/Me系统的计算机。

　　具体的操作步骤如下：

　　第一步：单击MBSA主窗口中的“Scan more than one computer”（或“Pick multiple computer to scan”）菜单，将弹出“Pick multiple computer to scan”对话框（如图6）。

　　图6

　　在此对话框中也要进行必要的、准确的设置。但由于此功能是“扫描一台计算机（Scan a computer）”功能的扩展，所以“Security report name”和“Options”处的设置用户可以参照操作。

　　不同的是“指定要扫描的对象”方面：用户只要在“Domain name”文本框中输入要被扫描的域的名称，或在“IP address range”文本框中输入要被扫描的IP地址范围，就能让MBSA扫描某个域（或IP地址段）中的所有计算机。

　　注意，无论域（或IP地址段）中的所有计算机安装的软件是否相同，MBSA都将依据“Options”处的设置“一视同仁”地扫描每台计算机。

　　第二步：设定好各项参数后单击“Start Scan”菜单，将弹出“Scanning”对话框（如图7），MBSA将依次扫描域（或IP地址段）中的每台计算机。完成扫描所需的时间与被扫描的计算机数量和设置的扫描项目有关。

　　图7

　　第三步：与“扫描一台计算机”功能不同的是，扫描结束后，将弹出“Unable to scan all computers”对话窗（如图8）。在此对话窗中，将列举没有扫描成功的计算机名（或IP地址）及原因。扫描失败的原因有两种：

　　图8

　　⑴“User is not an administrator on the scanned machine.”：被扫描的计算机上的用户不是系统管理员。

　　造成这种情况出现的原因主要有：用户没有以“Administrator”的用户名登录操作MBSA的计算机上；或者，被扫描的计算机设置了登录密码。

　　⑵“This is not a Windows NT/2000/XP/2003 Server or Workstation.”：被扫描的计算机不是Windows NT 4.0/2000/XP/2003系统。

　　造成这种情况出现的原因是：被扫描的计算机没有安装Windows NT 4.0/2000/XP/2003操作系统，可能安装了Windows 9X/Me系统，或者安装了非Windows操作系统，如Linux等；或者，被扫描的根本就不是计算机，可能是其它网络设备，如路由器等。

　　第四步：在“Unable to scan all computers”对话窗的底部还会显示以下菜单之一，以引导用户进行下一步操作：

　　⑴若显示“Continue”菜单：说明此次扫描中没有一台计算机扫描成功。单击此菜单后将返回到MBSA的主窗口。

　　⑵若显示“Pick a security report to view”菜单：说明此次扫描中至少有一台计算机成功的完成扫描并生成了安全报告。单击此菜单后将弹出“Pick a security report to view”对话窗。此时，MBSA将显示所有扫描成功的计算机的安全报告，供用户选择查看其详细内容。

　　说明：此时无论扫描成功的计算机是几台，MBSA都不会生成综合性的安全报告，而是为每一台计算机生成各自单独的安全报告。

　　选择—查看安全报告

　　单击MBSA主窗口中的“Pick a security report to view”（或“View existing security reports”）菜单，将弹出“Pick a security report to view”窗口（如图9）。在此窗口中，MBSA将列出已有的所有安全报告清单（包括安全报告名、生成日期等信息），双击安全报告名就可查看其详细内容。

　　安全报告的具体内容、格式、操作方法与“扫描一台计算机”部分的第三步和第四步大同小异，用户可以参照操作。

　　图9

命令行用法

　　MBSA不但能以GUI界面运行，还能在命令提示符下运行，执行其安装目录下的mbsacli.exe文件就能实现。mbsacli.exe文件不仅提供了丰富、灵活的参数，而且还支持二种语法结构：

　　一种是MBSA标准的命令行语法结构，即“mbsacli 参数”格式。在命令提示符下运行“mbsacli /？”（仅双引号内的文字）命令可以显示详细的语法信息。

　　另一种是模拟补丁检查工具HFNetChk的命令行语法结构，即“mbsacli /hf 参数”格式。运行“mbsacli /hf /？”（仅双引号内的文字）命令可以显示详细的语法信息。

　　mbsacli.exe还能用于各种脚本环境中，如：命令脚本（。bat或。cmd文件）、WSH脚本（。vbs或。js文件）等。通过这些脚本的调用，结合Windows系统的其它功能（如：“计划任务”功能）就能实现对计算机的灵活扫描。

　　此外，在MBSA的安装目录下还有两个文本文件，编辑它们就能定制MBSA的扫描过程和方式：

　　services.txt文件：它包含了MBSA要扫描的服务（如图10），默认值为MSFTPSVC、TlntSvr、W3SVC和SMTPSVC服务。添加（或删除）服务名可以让MBSA进行（或忽略）对该服务的检测。

　　图10