|
中华网络安全联盟 作者:佚名 来源:网络转载 时间:2006-3-23
前言
windows系统的“漏洞”就像它的GUI(图形用户接口)界面一样“举世闻名”,几乎每个星期都有新的漏洞被发现。这些漏洞常被计算机病毒和黑客们用来非法入侵计算机,进行大肆破坏。虽然微软会及时发布修补程序,但是发布时间是随机的,而且这些漏洞会因Windows软件版本的不同而发生变化,这就使得完全修补所有漏洞成为每个Windows用户的头号难题。
解决这个难题的简单方法就是:利用特定的软件对Windows系统进行扫描,检查是否存在漏洞?哪些方面存在漏洞?以便及时修补。
这类软件有很多,在此笔者推荐一款微软开发的免费软件──MBSA(Microsoft Baseline Security Analyzer,微软基准安全分析器),该软件能对Windows、Office、IIS、SQL Server等软件进行安全和更新扫描(如图1),扫描完成后会用“X”将存在的漏洞标示出来,并提供相应的解决方法来指导用户进行修补。
 使用手记
MBSA只能在Windows 2000∕XP∕Server 2003系统上运行。在微软的官方网站上可以下载到最新版的MBSA,而且只要按照“安装向导”的提示操作即可完成安装过程。安装完成后,依次单击“开始”|“程序”|“Microsoft Baseline Security Analyzer 1.2.1”程序项(或双击“桌面”上的“Microsoft Baseline Security Analyzer 1.2.1”快捷图标),就可弹出MBSA的主窗口。
扫描一台计算机
对一台计算机进行扫描是MBSA的基本功能,具体的操作步骤如下:
第一步:单击MBSA主窗口中的“Scan a computer”(或“Pick a computer to scan”)菜单,将弹出“Pick a computer to scan”对话框(如图2)。
要想让MBSA成功扫描计算机,需在此对话框中进行正确地参数设置:
⑴设定要扫描的对象
告诉MBSA要扫描的计算机是扫描成功的基础。MBSA提供两种方法:
方法1:在“Computer name”文本框中输入计算机名称,格式为“工作组名\计算机名”。
默认情况下,MBSA会显示运行MBSA的计算机的名称,如图2所示,“WORKGROUP”是笔者运行MBSA的计算机所属的工作组名称,“JXNO”是计算机名称。
方法2:在“IP aDDRess”文本框中输入计算机的IP地址。
在此文本框中允许输入在同一个网段中的任意IP地址,但不能输入跨网段的IP,否则会提示“Computer not found.”(计算机没有找到)的信息。
⑵设定安全报告的名称格式
每次扫描成功后,MBSA会将扫描结果以“安全报告”的形式自动地保存起来。MBSA允许用户自行定义安全报告的文件名格式,只要在“Security report name”文本框中输入文件格式即可。
MBSA提供两种默认的名称格式:“%D% - %C% (%T%)”(域名-计算机名(日期戳))和“%D% - %IP% (%T%)”(域名-IP地址(日期戳))。
⑶设定扫描中要检测的项目
MBSA允许检测包括Office、IIS等在内的多种微软软件产品的漏洞。在默认情况下,无论计算机是否安装了以上软件,MBSA都要检测计算机上是否存在以上软件的漏洞。这不但浪费扫描时间,而且影响扫描速度。用户可以根据自身情况进行选择,对于一些没有安装的软件可以不选,例如:若没有安装SQL Server,则可不选中“Check for SQL vulnerabilities”复选项,这样能缩短扫描时间,提高扫描速度。
基于这点考虑,MBSA提供了让用户自主选择检测的项目的功能。只要用户选中(或取消)“Options”中某个复选项,就可让MBSA检测(或忽略)该项目。
不过,允许用户自主选择的项目只有“Check for Windows vulnerabilities”(检查Windows的漏洞)、“Check for weak passwords”(检查密码的安全性)、“Check for IIS vulnerabilities”(检查IIS系统的漏洞)、“Check for SQL vulnerabilities”(检查SQL Server的漏洞)等四项。
至于其它项目(如:Office软件的漏洞等)MBSA会强制扫描。
⑷设定安全漏洞清单的下载途径
MBSA的工作原理是:以一份包含了所有已发现的漏洞的详细信息(如:什么软件隐含漏洞、漏洞存在的具体位置、漏洞的严重级别等)的安全漏洞清单为蓝本,全面扫描计算机,将计算机上安装的所有软件与安全漏洞清单进行对比。如果发现某个漏洞,MBSA就会将其写入到安全报告中。
因此,要想让MBSA准确地检测出计算机上是否存在漏洞,安全漏洞清单的内容是否是最新的就至关重要了。
由于新的漏洞不断被发现,所以我们要像更新防病毒软件的病毒库一样,及时更新安全漏洞清单。MBSA提供了两种更新方法:
①从微软官方网站上下载
微软会在它的官方网站上及时发布最新的安全漏洞清单,所以MBSA被默认设置为每一次扫描时自动链接到微软官方网站下载最新的安全漏洞清单。
如果用户已经下载了最新的安全漏洞清单,则可取消“Check for security updates”复选项。否则应该选中此复选项,以确保安全漏洞清单的内容是最新的。
此方法适用于能连入Internet的计算机用户。
②从SUS服务器上下载
有些局域网中架设了SUS(Software Update Services,软件升级服务)服务器,所以此类用户可以选择此方法下载最新的安全漏洞清单,只要选中“Use SUS Server”复选框,并在其下的文本框中输入SUS的地址即可。
第二步:用户根据自身情况设置好各项参数后单击“Start Scan”菜单,将弹出“Scanning”对话框(如图3),MBSA将开始扫描指定的计算机。
第三步:扫描完成后,MBSA会将扫描的结果以安全报告的形式保存到“X:\Documents and Settings\username\SecurityScans”(X:指Windows的系统分区符,username:是操作MBSA的用户名)文件夹中。
第四步:此时,MBSA还会自动弹出“View security report”对话窗(如图4),将刚生成的安全报告的内容显示出来。
用户可以根据安全报告的“Score”列中不同颜色的图标来简单区分被扫描的计算机上哪些方面存在漏洞,哪些方面需要改进,如:
●绿色的“√”图标表示该项目已经通过检测。
●红色(或黄色)的“×”图标表示该项目没有通过检测,即存在漏洞或安全隐患。
●蓝色的“*”图标表示该项目虽然通过了检测但可以进行优化,或者是由于某种原因MBSA跳过了其中的某项检测。
●白色的“i”图标表示该项目虽然没有通过检测,但问题不很严重,只要进行简单的修改即可。
但是这种判断方法很不准确,正确的方法是查看检测项目的“Result”列中是否含有“How to correct this”(如何修正它)选项。只要有项目存在,用户就应该单击“How to correct this”选项。然后根据提供的解决方法,或是下载相应的补丁程序,或是修改相关的设置,就可修正存在的问题。
例如:安全报告提示“IE Zones”(IE区域设置)项目没有通过检测,单击“How to correct this”选项后都将弹出信息提示窗(如图5),根据“Solution”(解决方法)处的文字信息得知,只要按照“Instructions”(提示信息)中的步骤更改IE的区域设置值即可解决。
(二)扫描多台计算机
此项功能是“扫描一台计算机”功能的延伸,只是将扫描对象扩大到网络中的一个域或IP地址段,它的工作原理与“扫描一台计算机”功能的相同,即:以安全漏洞清单为蓝本,对指定域(或IP地址段)中的所有计算机逐一进行扫描。
注意:MBSA只能扫描网络中安装了Windows NT 4.0∕2000∕XP∕Server 2003操作系统的计算机,而不能扫描Windows 9X∕Me系统的计算机。
具体的操作步骤如下:
第一步:单击MBSA主窗口中的“Scan more than one computer”(或“Pick multiple computer to scan”)菜单,将弹出“Pick multiple computer to scan”对话框(如图6)。
在此对话框中也要进行必要的、准确的设置。但由于此功能是“扫描一台计算机(Scan a computer)”功能的扩展,所以“Security report name”和“Options”处的设置用户可以参照操作。
不同的是“指定要扫描的对象”方面:用户只要在“Domain name”文本框中输入要被扫描的域的名称,或在“IP address range”文本框中输入要被扫描的IP地址范围,就能让MBSA扫描某个域(或IP地址段)中的所有计算机。
注意,无论域(或IP地址段)中的所有计算机安装的软件是否相同,MBSA都将依据“Options”处的设置“一视同仁”地扫描每台计算机。
第二步:设定好各项参数后单击“Start Scan”菜单,将弹出“Scanning”对话框(如图7),MBSA将依次扫描域(或IP地址段)中的每台计算机。完成扫描所需的时间与被扫描的计算机数量和设置的扫描项目有关。
第三步:与“扫描一台计算机”功能不同的是,扫描结束后,将弹出“Unable to scan all computers”对话窗(如图8)。在此对话窗中,将列举没有扫描成功的计算机名(或IP地址)及原因。扫描失败的原因有两种:
⑴“User is not an administrator on the scanned machine.”:被扫描的计算机上的用户不是系统管理员。
造成这种情况出现的原因主要有:用户没有以“Administrator”的用户名登录操作MBSA的计算机上;或者,被扫描的计算机设置了登录密码。
⑵“This is not a Windows NT/200/XP/2003 Server or Workstation.”:被扫描的计算机不是Windows NT 4.0∕2000∕XP∕Server 2003系统,或者不是工作站。
造成这种情况出现的原因是:被扫描的计算机没有安装Windows NT 4.0∕2000∕XP∕Server 2003操作系统,可能安装了Windows 9X/Me系统,或者安装了非Windows操作系统,如:Linux等;或者,被扫描的根本就不是计算机,可能是其它网络设备,如路由器等。
第四步:在“Unable to scan all computers”对话窗的底部还会显示以下菜单之一,以引导用户进行下一步操作:
⑴若显示“Continue”菜单:说明此次扫描中没有一台计算机扫描成功。单击此菜单后将返回到MBSA的主窗口。
⑵若显示“Pick a security report to view”菜单:说明此次扫描中至少有一台计算机成功的完成扫描并生成了安全报告。单击此菜单后将弹出“Pick a security report to view”对话窗。此时,MBSA将显示所有扫描成功的计算机的安全报告,供用户选择查看其详细内容
说明:此时无论扫描成功的计算机是几台,MBSA都不会生成综合性的安全报告,而是为每一台计算机生成各自单独的安全报告。
(三)选择∕查看安全报告
单击MBSA主窗口中的“Pick a security report to view”(或“View existing security reports”)菜单,将弹出“Pick a security report to view”窗口(如图9)。在此窗口中,MBSA将列出已有的所有安全报告清单(包括安全报告名、生成日期等信息),双击安全报告名就可查看其详细内容。
安全报告的具体内容、格式、操作方法与“扫描一台计算机”部分的第三步和第四步大同小异,用户可以参照操作。
命令行用法
MBSA不但能以GUI界面运行,还能在命令提示符下运行,执行其安装目录下的mbsacli.exe文件就能实现。mbsacli.exe文件不仅提供了丰富、灵活的参数,而且还支持二种语法结构:
⑴一种是MBSA标准的命令行语法结构,即“mbsacli 参数”格式。在命令提示符下运行“mbsacli /?”(仅双引号内的文字)命令可以显示详细的语法信息。
⑵另一种是模拟补丁检查工具HFNetChk的命令行语法结构,即“mbsacli /hf 参数”格式。运行“mbsacli /hf /?”(仅双引号内的文字)命令可以显示详细的语法信息。
mbsacli.exe还能用于各种脚本环境中,如:命令脚本(.bat或.cmd文件)、WSH脚本(.vbs或.js文件)等。通过这些脚本的调用,结合Windows系统的其它功能(如:“计划任务”功能)就能实现对计算机的灵活扫描。
此外,在MBSA的安装目录下还有两个文本文件,编辑它们能定制MBSA的扫描过程和方式:
⑴services.txt文件:包含了MBSA要扫描的服务(如图10),默认值为MSFTPSVC、TlntSvr、W3SVC和SMTPSVC服务。添加(或删除)服务名可以让MBSA扫描(或忽略)对该服务的检测。
 ⑵noexpireok.txt文件:包含了MBSA不扫描的账户名(如图11),如:IUSR_*、IWAM_*、SUPPORT_*、SQLDebugger等。删除(或添加)账户名可以让MBSA增加(或忽略)对该账户的检测。
注意事项
MBSA虽然好用,但是在使用过程中还需注意以下事项:
1、MBSA对Windows、Office、IIS等软件进行的扫描包括两种:
⑴“安全扫描”是指扫描以上软件是否进行了安全的配置,如:IIS锁定工具是否已运行,文件系统的类型是否都采用了NTFS格式等。
⑵“更新扫描”是指扫描以上软件是否安装了最新的补丁程序。
2、MBSA执行的是微软所谓的“基准扫描”,即只扫描和报告Windows Update定义的“关键更新”,而不是扫描和报告所有的更新。而且MBSA不会自动安装更新,需用户另行操作完成。否则,漏洞依然存在。
3、MBSA是基于IE页面开发的,所以要运行MBSA需要 Internet Explorer 5.01 以上才行,而且IE的所有设置项都会影响MBSA的运行。
4、每次扫描后生成的安全报告是以明码格式保存到固定的文件夹中。因此,容易被黑客利用从而找出计算机的漏洞所在。所以建议:对安全报告应进行另行处理(如:打印、备份到其它目录等),然后彻底删除“SecurityScans”文件夹中的所有文件,以防被他人利用。
结束语
总之,为了确保计算机系统的安全,除了安装安全防护软件(如:杀毒软件、防火墙等)外,及时安装漏洞补丁程序是非常重要的。但怎么才能知道哪些补丁程序还没有安装呢?使用了MBSA就可以知道地一清二楚。而且MBSA具有其它同类软件无法比拟的优点:除了能检查Windows的漏洞,还能检测Office、IIS等微软产品的漏洞。故建议Windows 2000∕XP∕2003的用户下载该软件,用它检测出计算机中隐含的漏洞和安全隐患,尽早修补,以增强计算机的安全性。
当然,除了MBSA之外,还有很多免费或共享漏洞扫描工具(如:HFNetChk、LANguard Network Security Scanner等),它们的功能也很实用,有兴趣的用户可以一试。 |
