前言
windows系統的“漏洞”就像它的GUI(圖形用戶接口)界面一樣“舉世聞名”,幾乎每個星期都有新的漏洞被發現。這些漏洞常被計算機病毒和黑客們用來非法入侵計算機,進行大肆破壞。雖然微軟會及時發布修補程序,但是發布時間是隨機的,而且這些漏洞會因Windows軟件版本的不同而發生變化,這就使得完全修補所有漏洞成為每個Windows用戶的頭號難題。
解決這個難題的簡單方法就是:利用特定的軟件對Windows系統進行掃描,檢查是否存在漏洞?哪些方面存在漏洞?以便及時修補。
這類軟件有很多,在此筆者推薦一款微軟開發的免費軟件──MBSA(Microsoft Baseline Security Analyzer,微軟基准安全分析器),該軟件能對Windows、Office、IIS、SQL Server等軟件進行安全和更新掃描(如圖1),掃描完成後會用“X”將存在的漏洞標示出來,並提供相應的解決方法來指導用戶進行修補。
使用手記
MBSA只能在Windows 2000∕XP∕Server 2003系統上運行。在微軟的官方網站上可以下載到最新版的MBSA,而且只要按照“安裝向導”的提示操作即可完成安裝過程。安裝完成後,依次單擊“開始”|“程序”|“Microsoft Baseline Security Analyzer 1.2.1”程序項(或雙擊“桌面”上的“Microsoft Baseline Security Analyzer 1.2.1”快捷圖標),就可彈出MBSA的主窗口。
掃描一台計算機
對一台計算機進行掃描是MBSA的基本功能,具體的操作步驟如下:
第一步:單擊MBSA主窗口中的“Scan a computer”(或“Pick a computer to scan”)菜單,將彈出“Pick a computer to scan”對話框(如圖2)。
要想讓MBSA成功掃描計算機,需在此對話框中進行正確地參數設置:
⑴設定要掃描的對象
告訴MBSA要掃描的計算機是掃描成功的基礎。MBSA提供兩種方法:
方法1:在“Computer name”文本框中輸入計算機名稱,格式為“工作組名\計算機名”。
默認情況下,MBSA會顯示運行MBSA的計算機的名稱,如圖2所示,“WORKGROUP”是筆者運行MBSA的計算機所屬的工作組名稱,“JXNO”是計算機名稱。
方法2:在“IP aDDRess”文本框中輸入計算機的IP地址。
在此文本框中允許輸入在同一個網段中的任意IP地址,但不能輸入跨網段的IP,否則會提示“Computer not found.”(計算機沒有找到)的信息。
⑵設定安全報告的名稱格式
每次掃描成功後,MBSA會將掃描結果以“安全報告”的形式自動地保存起來。MBSA允許用戶自行定義安全報告的文件名格式,只要在“Security report name”文本框中輸入文件格式即可。
MBSA提供兩種默認的名稱格式:“%D% - %C% (%T%)”(域名-計算機名(日期戳))和“%D% - %IP% (%T%)”(域名-IP地址(日期戳))。
⑶設定掃描中要檢測的項目
MBSA允許檢測包括Office、IIS等在內的多種微軟軟件產品的漏洞。在默認情況下,無論計算機是否安裝了以上軟件,MBSA都要檢測計算機上是否存在以上軟件的漏洞。這不但浪費掃描時間,而且影響掃描速度。用戶可以根據自身情況進行選擇,對於一些沒有安裝的軟件可以不選,例如:若沒有安裝SQL Server,則可不選中“Check for SQL vulnerabilities”復選項,這樣能縮短掃描時間,提高掃描速度。
基於這點考慮,MBSA提供了讓用戶自主選擇檢測的項目的功能。只要用戶選中(或取消)“Options”中某個復選項,就可讓MBSA檢測(或忽略)該項目。
不過,允許用戶自主選擇的項目只有“Check for Windows vulnerabilities”(檢查Windows的漏洞)、“Check for weak passwords”(檢查密碼的安全性)、“Check for IIS vulnerabilities”(檢查IIS系統的漏洞)、“Check for SQL vulnerabilities”(檢查SQL Server的漏洞)等四項。
至於其它項目(如:Office軟件的漏洞等)MBSA會強制掃描。
⑷設定安全漏洞清單的下載途徑
MBSA的工作原理是:以一份包含了所有已發現的漏洞的詳細信息(如:什麼軟件隱含漏洞、漏洞存在的具體位置、漏洞的嚴重級別等)的安全漏洞清單為藍本,全面掃描計算機,將計算機上安裝的所有軟件與安全漏洞清單進行對比。如果發現某個漏洞,MBSA就會將其寫入到安全報告中。
因此,要想讓MBSA准確地檢測出計算機上是否存在漏洞,安全漏洞清單的內容是否是最新的就至關重要了。
由於新的漏洞不斷被發現,所以我們要像更新防病毒軟件的病毒庫一樣,及時更新安全漏洞清單。MBSA提供了兩種更新方法:
①從微軟官方網站上下載
微軟會在它的官方網站上及時發布最新的安全漏洞清單,所以MBSA被默認設置為每一次掃描時自動鏈接到微軟官方網站下載最新的安全漏洞清單。
如果用戶已經下載了最新的安全漏洞清單,則可取消“Check for security updates”復選項。否則應該選中此復選項,以確保安全漏洞清單的內容是最新的。
此方法適用於能連入Internet的計算機用戶。
②從SUS服務器上下載
有些局域網中架設了SUS(Software Update Services,軟件升級服務)服務器,所以此類用戶可以選擇此方法下載最新的安全漏洞清單,只要選中“Use SUS Server”復選框,並在其下的文本框中輸入SUS的地址即可。
第二步:用戶根據自身情況設置好各項參數後單擊“Start Scan”菜單,將彈出“Scanning”對話框(如圖3),MBSA將開始掃描指定的計算機。
第三步:掃描完成後,5自學網,MBSA會將掃描的結果以安全報告的形式保存到“X:\Documents and Settings\username\SecurityScans”(X:指Windows的系統分區符,username:是操作MBSA的用戶名)文件夾中。
第四步:此時,MBSA還會自動彈出“View security report”對話窗(如圖4),將剛生成的安全報告的內容顯示出來。
用戶可以根據安全報告的“Score”列中不同顏色的圖標來簡單區分被掃描的計算機上哪些方面存在漏洞,哪些方面需要改進,如:
●綠色的“√”圖標表示該項目已經通過檢測。
●紅色(或黃色)的“×”圖標表示該項目沒有通過檢測,即存在漏洞或安全隱患。
●藍色的“*”圖標表示該項目雖然通過了檢測但可以進行優化,或者是由於某種原因MBSA跳過了其中的某項檢測。
●白色的“i”圖標表示該項目雖然沒有通過檢測,但問題不很嚴重,只要進行簡單的修改即可。
但是這種判斷方法很不准確,正確的方法是查看檢測項目的“Result”列中是否含有“How to correct this”(如何修正它)選項。只要有項目存在,用戶就應該單擊“How to correct this”選項。然後根據提供的解決方法,或是下載相應的補丁程序,或是修改相關的設置,就可修正存在的問題。
例如:安全報告提示“IE Zones”(IE區域設置)項目沒有通過檢測,單擊“How to correct this”選項後都將彈出信息提示窗(如圖5),根據“Solution”(解決方法)處的文字信息得知,只要按照“Instructions”(提示信息)中的步驟更改IE的區域設置值即可解決。
(二)掃描多台計算機
此項功能是“掃描一台計算機”功能的延伸,只是將掃描對象擴大到網絡中的一個域或IP地址段,它的工作原理與“掃描一台計算機”功能的相同,即:以安全漏洞清單為藍本,對指定域(或IP地址段)中的所有計算機逐一進行掃描。
注意:MBSA只能掃描網絡中安裝了Windows NT 4.0∕2000∕XP∕Server 2003操作系統的計算機,而不能掃描Windows 9X∕Me系統的計算機。
具體的操作步驟如下:
第一步:單擊MBSA主窗口中的“Scan more than one computer”(或“Pick multiple computer to scan”)菜單,將彈出“Pick multiple computer to scan”對話框(如圖6)。
在此對話框中也要進行必要的、准確的設置。但由於此功能是“掃描一台計算機(Scan a computer)”功能的擴展,所以“Security report name”和“Options”處的設置用戶可以參照操作。
不同的是“指定要掃描的對象”方面:用戶只要在“Domain name”文本框中輸入要被掃描的域的名稱,或在“IP address range”文本框中輸入要被掃描的IP地址范圍,就能讓MBSA掃描某個域(或IP地址段)中的所有計算機。
注意,無論域(或IP地址段)中的所有計算機安裝的軟件是否相同,MBSA都將依據“Options”處的設置“一視同仁”地掃描每台計算機。
第二步:設定好各項參數後單擊“Start Scan”菜單,將彈出“Scanning”對話框(如圖7),MBSA將依次掃描域(或IP地址段)中的每台計算機。完成掃描所需的時間與被掃描的計算機數量和設置的掃描項目有關。
第三步:與“掃描一台計算機”功能不同的是,掃描結束後,將彈出“Unable to scan all computers”對話窗(如圖8)。在此對話窗中,將列舉沒有掃描成功的計算機名(或IP地址)及原因。掃描失敗的原因有兩種:
⑴“User is not an administrator on the scanned machine.”:被掃描的計算機上的用戶不是系統管理員。
造成這種情況出現的原因主要有:用戶沒有以“Administrator”的用戶名登錄操作MBSA的計算機上;或者,被掃描的計算機設置了登錄密碼。
⑵“This is not a Windows NT/200/XP/2003 Server or Workstation.”:被掃描的計算機不是Windows NT 4.0∕2000∕XP∕Server 2003系統,或者不是工作站。
造成這種情況出現的原因是:被掃描的計算機沒有安裝Windows NT 4.0∕2000∕XP∕Server 2003操作系統,可能安裝了Windows 9X/Me系統,或者安裝了非Windows操作系統,如:Linux等;或者,被掃描的根本就不是計算機,可能是其它網絡設備,如路由器等。
第四步:在“U