實訓(xùn)5-2 漏洞檢測工具MBSA

1、實訓(xùn)5.2安全檢測技術(shù)本節(jié)實訓(xùn)與思考的目的是：(1) 了解漏洞檢測技術(shù)的基本概念和基本內(nèi)容。(2) 學(xué)習(xí)在Windows環(huán)境中安裝和使用MBSA軟件。1 工具/準(zhǔn)備工作在開始本實訓(xùn)之前，請認(rèn)真閱讀本課程的相關(guān)內(nèi)容。需要準(zhǔn)備一臺運行Windows XP Professional操作系統(tǒng)的計算機，并且?guī)в袨g覽器，能夠訪問因特網(wǎng)。2 實訓(xùn)內(nèi)容與步驟(1) 概念理解1) 請通過查閱有關(guān)資料，簡單敘述什么是“漏洞掃描”？_對網(wǎng)絡(luò)信息系統(tǒng)進行檢查，主動發(fā)現(xiàn)其中可被攻擊者利用的漏洞。2) 漏洞檢測技術(shù)有基于_應(yīng)用的檢測技術(shù)_、基于_主機的檢測技術(shù)_、基于_目標(biāo)的檢測技術(shù)和基于_網(wǎng)絡(luò)的檢測技術(shù)_等幾類。3)

2、你目前經(jīng)常使用的殺病毒軟件是：_360_。請分析該軟件是否具備漏洞檢測功能？如果有，請簡單介紹之。 沒有_ (2) 下載和安裝MBSA軟件登錄因特網(wǎng)，可以在微軟的官方網(wǎng)站 (/china/technet/ security/tools/default.mspx) 上下載到最新版的Microsoft 基準(zhǔn)安全分析器 (MBSA，Microsoft Baseline Security Analyzer) 軟件，用來識別安全方面的常見配置錯誤。MBSA可以在Windows 2000XPServer 2003等操作系統(tǒng)上運行 (不能用于掃描Windows

3、9x/ME操作系統(tǒng)) 。下載后，雙擊MBSA軟件圖標(biāo)，開始執(zhí)行MBSA的安裝過程，如圖5.5所示。圖5.5 執(zhí)行安裝按照“安裝向?qū)А钡奶崾具M行操作，即可完成安裝過程。然后，在“開始”“所有程序”菜單中單擊MBSA軟件命令項 (例如：Microsoft Baseline Security Analyzer 1.2.1) ，或雙擊桌面上的MBSA快捷圖標(biāo)，就可打開MBSA主窗口。見圖5.6所示。系統(tǒng)在主窗口右下方提示MBSA已有新版本，單擊即可由其官方網(wǎng)站下載。MBSA主窗口的左邊是一些功能鏈接，點擊后可在右邊區(qū)域中看見對應(yīng)的信息。(3) 掃描一臺計算機對一臺計算機進行掃描是MBSA的基本功能，具

4、體操作步驟如下：步驟1：在Windows的“開始”菜單中單擊“控制面板”命令，再雙擊“系統(tǒng)”圖標(biāo)，打開“系統(tǒng)屬性”對話框，并選擇其中的“計算機名”選項卡，如圖5.7所示，找到“完整的計算機名”和“工作組”項。圖5.6 MBSA主窗口圖5.7 “計算機名”窗口請記錄：你在本次實訓(xùn)中所使用的計算機系統(tǒng)是：1) 計算機名：_zhousu_2) 工作組名：_MSHOME_步驟2：返回MBSA窗口，單擊MBSA主窗口右下方的Scan a computer命令項，或者單擊主窗口左側(cè)的Pick a computer to scan命令項，將彈出Pick a computer to scan對話框 (見圖5.

5、8)。步驟3：在對話框中正確設(shè)置掃描參數(shù)。1) 設(shè)定要掃描的對象。為指定要掃描的計算機，MBSA提供了兩種方法：圖5.8 “掃描一臺計算機”窗口方法1：在Computer name文本框中輸入計算機名稱，格式為“工作組名計算機名”。默認(rèn)情況下，MBSA會顯示本地計算機的名稱。方法2：在IP address文本框中輸入計算機的IP地址。在IP address文本框中允許輸入在同一個網(wǎng)段中的任意IP地址，但不能輸入跨網(wǎng)段的IP，否則會提示Computer not found (計算機沒有找到) 的信息。2) 設(shè)定安全報告的名稱格式。每次掃描成功后，MBSA會將掃描結(jié)果以“安全報告”的形式自動地保存

6、起來。MBSA允許用戶自行定義安全報告的文件名格式，只要在Security report name文本框中輸入文件格式即可。MBSA提供兩種默認(rèn)的名稱格式：“%D% - %C% (%T%) ”(域名-計算機名 (日期戳) ) 和“%D% - %IP% (%T%) ”(域名-IP地址 (日期戳) ) 。3) 設(shè)定掃描中要檢測的項目。MBSA可以檢測包括Office、IIS等在內(nèi)的多種微軟軟件產(chǎn)品的漏洞。在默認(rèn)情況下，無論計算機是否安裝了以上軟件，MBSA都要檢測是否存在以上軟件的漏洞，這就影響了掃描時間和速度?；谶@點考慮，MBSA提供了讓用戶自主選擇檢測項目的功能。只要用戶選中 (或取消) O

7、ptions (選項) 中某個復(fù)選項，就可讓MBSA檢測 (或忽略) 該項目。允許用戶自主選擇的項目有： Check for Windows vulnerabilities (檢查Windows的漏洞) Check for weak passwords (檢查密碼的安全性) Check for IIS vulnerabilities (檢查IIS系統(tǒng)的漏洞) Check for SQL vulnerabilities (檢查SQL Server的漏洞)等4項，而MBSA會強制掃描其他項目 (如：Office軟件的漏洞等) 。4) 設(shè)定安全漏洞清單的下載途徑。MBSA的工作原理是：以一份包含了所

8、有已發(fā)現(xiàn)的漏洞的詳細(xì)信息 (如：什么軟件隱含漏洞、漏洞存在的具體位置、漏洞的嚴(yán)重級別等) 的安全漏洞清單為藍本，全面掃描計算機，將計算機上安裝的所有軟件與安全漏洞清單進行對比。如果發(fā)現(xiàn)某個漏洞，MBSA就會將其寫入到安全報告中。因此，要想讓MBSA準(zhǔn)確地檢測出計算機上是否存在漏洞，安全漏洞清單的內(nèi)容是否為最新就至關(guān)重要了。由于新的漏洞不斷被發(fā)現(xiàn)，所以我們要像更新防病毒軟件的病毒庫一樣，及時更新安全漏洞清單。MBSA提供了兩種更新方法：1) 連入因特網(wǎng)的計算機用戶可以從微軟官方網(wǎng)站上下載。微軟會在其官方網(wǎng)站上及時發(fā)布最新的安全漏洞清單，所以MBSA被默認(rèn)設(shè)置為每一次掃描時自動鏈接到微軟官方網(wǎng)站下

9、載最新的安全漏洞清單。如果用戶已經(jīng)下載了最新的安全漏洞清單，則可取消“Check for security updates”復(fù)選項。否則應(yīng)該選中此復(fù)選項，以確保安全漏洞清單的內(nèi)容是最新的。2) 從SUS (Software Update Services，軟件升級服務(wù)) 服務(wù)器上下載。有些局域網(wǎng)中架設(shè)了SUS服務(wù)器，所以此類用戶可以選擇此方法下載最新的安全漏洞清單，只要選中Use SUS Server復(fù)選框，并在其下的文本框中輸入SUS的地址即可。步驟4：用戶根據(jù)自身情況設(shè)置好各項參數(shù)后，單擊Start Scan菜單，MBSA開始對指定的計算機進行掃描。掃描過程中會顯示一個進度條。步驟5：掃描

10、完成后，MBSA會將掃描的結(jié)果以安全報告的形式保存到“X:Documents and SettingsusernameSecurityScans” (X：指Windows的系統(tǒng)分區(qū)符，username：是操作MBSA的用戶名) 文件夾中。步驟6：同時，MBSA還會自動彈出View security report對話窗 (如圖5.9) ，顯示剛完成的安全報告的內(nèi)容。用戶可以根據(jù)安全報告的Score列中不同顏色的圖標(biāo)來簡單區(qū)分被掃描的計算機上哪些方面存在漏洞，哪些方面需要改進，如： 綠色的“”圖標(biāo)表示該項目已經(jīng)通過檢測。 紅色 (或黃色) 的“”圖標(biāo)表示該項目沒有通過檢測，即存在漏洞或安全隱患。

11、藍色的“*”圖標(biāo)表示該項目雖然通過了檢測但可以進行優(yōu)化，或者是由于某種原因MBSA跳過了其中的某項檢測。 白色的“i”圖標(biāo)表示該項目雖然沒有通過檢測，但問題不很嚴(yán)重，只要進行簡單的修改即可。但是，更好的方法是查看檢測項目的Result列中是否含有How to correct this (如何修正它) 選項。只要此選項存在，用戶就應(yīng)該單擊該選項。然后根據(jù)提供的解決方法，或是下載相應(yīng)的補丁程序，或是修改相關(guān)的設(shè)置，修正存在的問題。圖5.9 掃描安全報告請分析：在你完成的MBSA安全漏洞掃描中，不同圖標(biāo)項目的個數(shù)分別是：1) 綠色“”圖標(biāo)項目：_4_個；2) 紅色 (或黃色) “”圖標(biāo)項目：_1_個

12、；3) 藍色“*”圖標(biāo)項目：_1_個；4) 白色“i”圖標(biāo)項目：_0_個。(4) 掃描多臺計算機此項功能是“掃描一臺計算機”功能的延伸，只是將掃描對象擴大到網(wǎng)絡(luò)中的一個域或IP地址段，其工作原理與“掃描一臺計算機”功能相同，即：以安全漏洞清單為藍本，對指定域 (或IP地址段) 中的所有計算機逐一進行掃描。具體的操作步驟如下：步驟1：單擊MBSA主窗口中的Scan more than one computer (或Pick multiple computer to scan) 項，將彈出Pick multiple computer to scan對話框 (見圖5.10) 。圖5.10 “掃描多臺

13、計算機”窗口在此，Security report name和Options處的設(shè)置可以參照上面操作進行。不同的是，在“指定要掃描的對象”方面，要在Domain name文本框中輸入要被掃描的域的名稱，或在IP address range文本框中輸入要被掃描的IP地址范圍，就能讓MBSA掃描某個域 (或IP地址段) 中的所有計算機。注意，無論域 (或IP地址段) 中的所有計算機安裝的軟件是否相同，MBSA都將依據(jù)Options處的設(shè)置“一視同仁”地掃描每臺計算機。步驟2：設(shè)定好各項參數(shù)后單擊Start Scan菜單，MBSA將依次掃描域 (或IP地址段) 中的每臺計算機。完成掃描所需的時間與被掃

14、描的計算機數(shù)量和設(shè)置的掃描項目有關(guān)。步驟3：與“掃描一臺計算機”功能不同的是，掃描結(jié)束后，將彈出Unable to scan all computers對話窗，在其中將列舉沒有掃描成功的計算機名 (或IP地址) 及原因。掃描失敗的原因有兩種：1) 被掃描的計算機上的用戶不是系統(tǒng)管理員。造成這種情況出現(xiàn)的原因主要有：用戶沒有以Administrator的用戶名登錄操作MBSA的計算機上；或者，被掃描的計算機設(shè)置了登錄密碼。2) 被掃描的計算機不是Windows 2000XPServer 2003系統(tǒng)，或者不是工作站。造成這種情況出現(xiàn)的原因是：被掃描的計算機可能安裝的是Windows 9X/ME操

15、作系統(tǒng)，或者安裝了非Windows操作系統(tǒng)，如Linux等；或者，被掃描的根本就不是計算機，可能是其他網(wǎng)絡(luò)設(shè)備，如路由器等。步驟4：在Unable to scan all computers對話窗的底部還會顯示以下選項之一，以引導(dǎo)用戶進行下一步操作：1) 若顯示Continue選項：說明此次掃描中沒有一臺計算機掃描成功。單擊此菜單后將返回到MBSA的主窗口。2) 若顯示Pick a security report to view選項：說明此次掃描中至少有一臺計算機成功的完成掃描并生成了安全報告。單擊此菜單后將彈出Pick a security report to view對話窗。此時，MBSA

16、將顯示所有掃描成功的計算機的安全報告，供用戶選擇查看其詳細(xì)內(nèi)容。此時，無論掃描成功的計算機是幾臺，MBSA都不會生成綜合性的安全報告，而是為每一臺計算機生成各自單獨的安全報告。(5) 選擇查看安全報告單擊主窗口右下方的View existing security reports (或單擊主窗口右側(cè)的Pick a security report to view) 選項，將彈出Pick a security report to view窗口 (如圖5.11) 。在此窗口中，MBSA列出了已有的所有安全報告清單 (包括安全報告名、生成日期等信息)，單擊安全報告名就可查看其詳細(xì)內(nèi)容。安全報告的具體內(nèi)容

17、、格式、操作方法與前述相同，可以參照操作。(6) 命令行用法與其他MBSA不但能以GUI (圖形用戶界面) 運行，還能在命令提示符下運行，即執(zhí)行其安裝目錄下的mbsacli.exe文件。mbsacli.exe文件不僅提供了豐富、靈活的參數(shù)，而且還支持兩種語法結(jié)構(gòu)：一種是MBSA標(biāo)準(zhǔn)的命令行語法結(jié)構(gòu)，即“mbsacli參數(shù)”格式。在命令提示符下運行mbsacli /？命令可以顯示詳細(xì)的語法信息；另一種是模擬補丁檢查工具HFNetChk的命令行語法結(jié)構(gòu)，即“mbsacli /hf 參數(shù)”格式。運行mbsacli /hf /？令可以顯示詳細(xì)的語法信息。mbsacli.exe還能用于各種腳本環(huán)境中，如

18、：命令腳本 (.bat或.cmd文件) 、WSH腳本 (.vbs或.js文件) 等。通過這些腳本的調(diào)用，結(jié)合Windows系統(tǒng)的其他功能 (如：“計劃任務(wù)”功能) 就能實現(xiàn)對計算機的靈活掃描。此外，在MBSA的安裝目錄下還有兩個文本文件，編輯它們能定制MBSA的掃描過程和方式：圖5.11 查看安全報告1) services.txt文件：包含了MBSA要掃描的服務(wù)，默認(rèn)值為MSFTPSVC、TlntSvr、W3SVC和SMTPSVC服務(wù)。添加 (或刪除) 服務(wù)名可以讓MBSA掃描 (或忽略) 對該服務(wù)的檢測。2) noexpireok.txt文件：包含了MBSA不掃描的賬戶名，如：IUSR_*、IWAM_*、SUPPORT_*、SQLDebugger等。刪除 (或添加) 賬戶名可以讓MBSA增加 (或忽略)對該賬戶的檢測。在使用MBSA過程中還需注意以下事項：1) MBSA對Windows、Office、IIS等軟件進行的掃描包括兩種：“安全掃描”：是指掃描以上軟件是否進行了安全的配置，如：IIS鎖定工具是否已運行，文件系統(tǒng)的類型是否都采用了NTFS格式等?！案聮呙琛保菏侵笒呙枰陨宪浖欠癜惭b了最新的補丁程序。2) MBSA執(zhí)行的是微軟所謂的“基準(zhǔn)掃描”，即只掃描和報告Windows Update定義的“關(guān)鍵更新”，而不是掃描和報告所有的更新