巧用MBSA檢查和加固個人計算機
原創【51CTO.com獨家特稿】微軟基線安全分析器(Microsoft Baseline Security Analyzer ,以下簡稱MBSA) 是一個簡單易用的工具,可幫助中小型企業根據 Microsoft的安全性建議確定其安全性狀態,并根據結果提供具體的修正指南。使用 MBSA檢測常見的安全性錯誤配置和計算機系統遺漏的安全性更新,改善安全性管理流程。
MBSA 構建于Windows Update代理和 Microsoft Update 基礎結構之上,因此可確保與其他 Microsoft 管理產品保持一致,這些產品包括 Microsoft Update (MU)、Windows Server Update Services (WSUS)、Systems Management Server (SMS)、System Center Configuration Manager (SCCM) 2007 以及 Small Business Server (SBS)。MBSA 廣為眾多領先的第三方安全性供應商和安全性審核員所使用,此工具平均每周掃描三百多萬臺計算機。目前已經停止對2.01版本以下的MBSA,有關最新版本2.0的更多信息,感興趣的朋友可以訪問以下地址:http://technet.microsoft.com/zh-cn/security/cc184923.aspx。使用MBSA有三個方面的好處:
第一,可以通過掃描系統來評估系統的安全性,微軟自家的東西,用來檢測之家產品的安全,融合性應該是最好的。
第二,繞過微軟的有關補丁下載中有關驗證問題。MBSA掃描結束后會直接給出補丁的下載地址。
第三,使用它來糾正在系統中運行的IIS等應用的安全管理等方面的錯誤或者漏洞。MBSA掃描結果中會給出糾正的詳細措施,可以很容易的進行糾正,使系統更加安全。
第四,可以對Windows 2000以及NT的操作系統進行補丁更新,目前基本很少能夠找到有關Windows 2000以及NT操作系統更新的直接下載地址。
總之使用MBSA比使用第三方漏洞檢測工具更安全、更方便和更高效。下面就是如何具體應用MBSA來檢測和加固個人計算機系統進行介紹。
一、實驗準備和環境
1.下載MBSA
MBSA目前的最新版本是2.1,它分為X64和X86兩種機器使用軟件版本,其中又分為德語、日語、英語和法語共四種語言,在下載時一定要注意,對于X86對應下載“MBSASetup-x86-EN.msi”即可。
2.安裝MBSA
MBSA的安裝很簡單,跟正常軟件的安裝一樣,按照提示進行即可。
3.實驗環境
本次實驗環境為Windows XP,安裝了一些普通的應用工具,并做過一些簡單的加固,使用第三方工具360等修補了系統中的安全漏洞。#p#
二、使用MBSA來檢測和加固系統
1.運行MBSA
單擊“開始”-“程序”-“Microsoft Baseline Security Analyzer 2.1”打開Microsoft Baseline Security Analyzer 2.1程序主界面,如圖1所示。
 |
| 圖1 |
圖1 Microsoft Baseline Security Analyzer 2.1程序運行主界面
說明:
在MBSA主程序中有三大主要功能:
(1)Scan a computer:使用計算機名稱或者IP地址來檢測單臺計算機,適用于檢測本機或者網絡中的單臺計算機。
(2)Scan multiple computers:使用域名或者IP地址范圍來檢測多臺計算機。
(3)View existing security scan reports:查看已經檢測過的安全報告。
2.設置單機MBSA掃描選項
單擊“Scan a computer”,接著會出現一個掃描設置的窗口,如圖2所示,如果僅僅是針對本機就不用設置“Computer name”和“IP address”,MNSA會自動獲取本機的計算機名稱,例如在本例中掃描的計算機名稱為“WORKGROUP\SIMEON”,如果是要掃描網絡中的計算機,則需要在“IP address”中輸入欲掃描的IP地址。在MBSA掃描選項中,默認會自動命名一個安全掃描報告名稱(%D% - %C% (%T%)),即“Security report name”,該名稱按照“域名-計算機名稱(掃描時間)”進行命名,用戶也可以輸入一個自定義的名稱來保存掃描的安全報告。然后選擇“Options”中的前四個安全檢測選項。
 |
| 圖2 |
圖2 設置MBSA掃描選項
說明: (1)在“Options”中有五個選項:
Check for Windows administrative vulnerabilities:檢測Windows管理方面的漏洞。
Check for weak passwords:檢測弱口令。
Check for IIS administrative vulnerabilities:檢測IIS管理方面的漏洞,如果計算機提供Web服務,則可以選擇,在本例中由于是Windows Xp系統,一般情況都沒有安裝IIS,因此可以不選擇。
Check for SQL administrative vulnerabilities檢測SQL程序設置等方面的漏洞,例如檢測是否更新了最新補丁,口令設置等。
Check for security updates:檢測安全更新,主要用于檢測系統是否安裝微軟的補丁,不需要通過微軟的正版認證。
前四項是安全檢測選項,可根據實際情況選擇,最后一項是到微軟站點更新安全策略、安全補丁等最新信息,如果不具備聯網環境可以不選擇。
(2)單擊“Cancel”按鈕后會退回到上一個窗口中。
(3)單擊“Scanning Options”可以查看掃描選項的詳細說明。
(4)如果選擇了“Check for security updates”,程序會進行自動更新,如圖3所示,在掃描時會等待一段時間,根據網絡連接以及更新量大小,有時候等待時間會比較長,直到下載更新信息完畢后才會自動進行安全掃描,在下載過程有可能出現CPU占有率比較高的情況,這是正常的,MBSA將更新下載到本地后需要對程序和策略進行更新,所有占有率會出現比較高的情況。
 |
| 圖3 |
圖3 程序下載策略等更新#p#
3.掃描漏洞
在圖2中單擊“Start Scan”開始掃描,掃描結束后,程序會自動跳轉掃描結果窗口,如圖4所示,可以查看本次掃描的詳細信息。在掃描報告中可以按照“Score(worst first)”和“Score(worst first)”兩種方式進行排序顯示掃描結果。在掃描結果中主要有“Security Update Scan Results”、“Windows Scan Results”、“Internet Information Services (IIS) Scan Results”、“SQL Server Scan Results”和“Desktop Application Scan Results”五種。
 |
| 圖4 |
圖4掃描報告
4.掃描結果分析
從掃描結果中可以看到有五個紅色的盾牌標志,表明系統存在5個較為危險的安全隱患或者高安全風險,如圖5所示,其中需要關注的有四個風險,最高風險是未安裝Office安全更新,其次是Windows有16個安全補丁需要進行更新,第三個風險是系統未打開自動更新,第四個是在計算機中存在一個磁盤未使用NTFS格式,需要關注的是前三個。
 |
| 圖5 |
圖5 分析掃描結果
5.查看掃描報告
掃描報告是進行安全加固的一個參考,先看“Security Update Scan Results”,在“Security Update Scan Results”中可以看到“What was scanned”、“Result details”和“How to correct this”三個鏈接,如圖6所示。它們分別對于掃描的對象、掃描結果的詳細信息和如何糾正存在的安全隱患(漏洞)。
 |
| 圖6 |
圖6 查看不同安全掃描結果
單擊“What was scanned”鏈接會顯示MBSA掃描了哪些安全選項;單擊“Result details”可以查看安全更新的檢測報告,如圖7所示,會給出按照ID、Description、Maximum Severity以及Download排序的表格結果。
 |
| 圖7 |
圖7查看詳細的安全掃描結果#p#
6.給系統修補漏洞
在詳細結果中(圖7),出現的紅色盾牌圖標表示系統缺少這個補丁,可以單擊“Download”下面的圖標下載補丁,然后直接運行該程序進行安裝即可,詳細的安裝過程就不介紹了,有的補丁更新后要求重啟系統。選擇修補系統補丁可以參看“Maximum Severity”程度,如果是“Critical”則必須進行安裝,否則可以根據實際情況進行修補。在詳細結果的最下方還可以看到已經安裝補丁的列表,從該列表可以知道Windows XP的最新補丁ID,在DOS提示符下運行“systeminfo”時,也會顯示系統更新的最高補丁ID,該ID可以做為系統最新補丁的一個參考,如圖8所示,使用“systeminfo”命令檢測到系統的最新補丁是一致的。
 |
| 圖7 |
圖8 使用systeminfo命令檢測系統補丁更新情況
特別注意:
對于系統中安裝有特殊應用,強烈建議在進行系統更新前對當前系統進行Ghost備份,防止由于更新不當而導致系統出現意外情況。
7.糾正掃描結果中出現的安全問題
在掃描結果中如果出現了“How to correct this”則表明系統或者應用存在安全問題,需要根據實際情況進行修補,單擊“How to correct this”鏈接,進入具體的修復建議頁面,如圖9所示,在該頁面中會給出詳細的糾正步驟或者方法。
 |
| 圖9 |
圖9糾正掃描結果中出現的安全問題
8.再次對操作系統進行安全掃描
再次對操作系統進行安全掃描主要有兩個目的,第一個目的是在安裝補丁過程或者下載過程中有可能會產生一些遺漏,因此在進行安全加固或者安全掃描后需要重新對系統進行安全掃描,以確認前面的安全更新和安全加固是完整的;第二個目的是更新一些新出現的更新。由于更新某一個補丁后,會出現一些新的補丁,因此需要再次進行掃描確認。在本次案例中,雖然使用360安全衛士的漏洞掃描對系統進行了掃描,掃描結果顯示系統已經安裝了全部的補丁,如圖11所示,但通過MBSA掃描仍然發現系統中存在數個未更新的補丁,尤其還發現有MS08067漏洞未更新,所以第三方掃描軟件更新和掃描未必就絕對安全可靠。在本例中重啟計算機后再次使用MBSA進行掃描,又發現系統中有關Office2003的安全補丁需要進行更新,如圖10所示。
 |
| 圖10 |
圖10 360安全衛士檢測結果無漏洞
 |
| 圖11 |
圖11 再次檢測出未更新的安全補丁#p#
9.查看所有的掃描報告
使用MBSA對系統進行掃描后,會自動保存掃描的報告,在MBSA程序的主界面單擊“View existing security scan reports”即可查看,如圖12所示,對這些掃描結果還可以根據“IP地址”、掃描時間、安全評估、計算機名稱等進行升/降序排列,雙擊選中的記錄即可查看掃描的詳細報告。這些報告可以作為安全檢查的依據,通過對比加固前后的報告可以知道系統目前的安全情況。
 |
| 圖12 |
圖12 查看掃描報告
10.對多臺計算機進行掃描
可以使用MBSA對網絡中多臺計算機進行掃描,在程序主界面中單擊“Scan multiple computers”,如圖13所示,其設置跟對單臺計算機的掃描設置和過程類似,就不贅述了。在進行“自動掃描”時,用來運行 MBSA 的帳戶也必須是管理員或者是本地管理員組的一個成員。在掃描多臺計算機的情況下,必須是每一臺計算機的管理員或者是一名域管理員,而且掃描計算機的135,139,445端口是開放的,如果沒有開放可以暫時關閉防火墻,掃描結束后再恢復防火墻。
 |
| 圖13 |
圖13對多臺計算機進行掃描
三、總結與體會
本文詳細介紹了如何使用MBSA來掃描和修補系統存在的安全漏洞,通過使用MBSA可以很方便的發現系統以及所部署應用方面存在的問題或者安全隱患,通過微軟提供的修正意見進行修復。只要能夠看懂MBSA上有關操作和說明即可進行安全漏洞掃描和加固,MBSA的確是一個好用的安全工具,美中不足的是目前MBSA僅僅提供德語、法語、英語和日語4種語言版本。
【51CTO.COM 獨家特稿,轉載請注明出處及作者!】
【編輯推薦】
