巧用MBSA检查和加固个人计算机
陈小兵
     微软基线安全分析器(Microsoft Baseline Security Analyzer ,以下简称MBSA) 是一个简单易用的工具,可帮助中小型企业根据 Microsoft的安全性建议确定其安全性状态,并根据结果提供具体的修正指南。使用 MBSA检测常见的安全性错误配置和计算机系统遗漏的安全性更新,改善安全性管理流程。MBSA 构建于Windows Update代理和 Microsoft Update 基础结构之上,因此可确保与其他 Microsoft 管理产品保持一致,这些产品包括 Microsoft Update (MU)Windows Server Update Services (WSUS)Systems Management Server (SMS)System Center Configuration Manager (SCCM) 2007 以及 Small Business Server (SBS)MBSA 广为众多领先的第三方安全性供应商和安全性审核员所使用,此工具平均每周扫描三百多万台计算机。目前已经停止对2.01版本以下的MBSA,有关最新版本2.0的更多信息,感兴趣的朋友可以访问以下地址:[url]http://technet.microsoft.com/zh-cn/security/cc184923.aspx[/url]。使用MBSA有三个方面的好处:
    第一,可以通过扫描系统来评估系统的安全性,微软自家的东西,用来检测之家产品的安全,融合性应该是最好的。
    第二,绕过微软的有关补丁下载中有关验证问题。MBSA扫描结束后会直接给出补丁的下载地址。
第三,使用它来纠正在系统中运行的IIS等应用的安全管理等方面的错误或者漏洞。MBSA扫描结果中会给出纠正的详细措施,可以很容易的进行纠正,使系统更加安全。
第四,可以对Windows 2000以及NT的操作系统进行补丁更新,目前基本很少能够找到有关Windows 2000以及NT操作系统更新的直接下载地址。
总之使用MBSA比使用第三方漏洞检测工具更安全、更方便和更高效。下面就是如何具体应用MBSA来检测和加固个人计算机系统进行介绍。

一、实验准备和环境

1.下载MBSA

     MBSA目前的最新版本是2.1,它分为X64X86两种机器使用软件版本,其中又分为德语、日语、英语和法语共四种语言,在下载时一定要注意,对于X86对应下载“MBSASetup-x86-EN.msi”即可。

2.安装MBSA

MBSA的安装很简单,跟正常软件的安装一样,按照提示进行即可。

3.实验环境

  本次实验环境为Windows XP,安装了一些普通的应用工具,并做过一些简单的加固,使用第三方工具360等修补了系统中的安全漏洞。

二、使用MBSA来检测和加固系统

1.运行MBSA

   单击“开始”-“程序”-“Microsoft Baseline Security Analyzer 2.1 打开Microsoft Baseline Security Analyzer 2.1程序主界面,如图1所示。
巧用MBSA检查和加固个人计算机_第1张图片
1 Microsoft Baseline Security Analyzer 2.1程序运行主界面
说明:
MBSA主程序中有三大主要功能:
1Scan a computer:使用计算机名称或者IP地址来检测单台计算机,适用于检测本机或者网络中的单台计算机。
2Scan multiple computers:使用域名或者IP地址范围来检测多台计算机。
3View existing security scan reports:查看已经检测过的安全报告。

2.设置单机MBSA扫描选项

     单击“Scan a computer”,接着会出现一个扫描设置的窗口,如图2所示,如果仅仅是针对本机就不用设置“Computer name”和“IP address”,MNSA会自动获取本机的计算机名称,例如在本例中扫描的计算机名称为“WORKGROUP\SIMEON”,如果是要扫描网络中的计算机,则需要在“IP address”中输入欲扫描的IP地址。在MBSA扫描选项中,默认会自动命名一个安全扫描报告名称(%D% - %C% (%T%)),即“Security report name”,该名称按照“域名-计算机名称(扫描时间)”进行命名,用户也可以输入一个自定义的名称来保存扫描的安全报告。然后选择“Options”中的前四个安全检测选项。
巧用MBSA检查和加固个人计算机_第2张图片
2 设置MBSA扫描选项
说明:
   1)在“Options”中有五个选项:  
Ø          Check for Windows administrative vulnerabilities:检测Windows管理方面的漏洞。
Ø          Check for weak passwords:检测弱口令。
Ø          Check for IIS administrative vulnerabilities:检测IIS管理方面的漏洞,如果计算机提供Web服务,则可以选择,在本例中由于是Windows Xp系统,一般情况都没有安装IIS,因此可以不选择。
Ø          Check for SQL administrative vulnerabilities检测SQL程序设置等方面的漏洞,例如检测是否更新了最新补丁,口令设置等。
Ø          Check for security updates检测安全更新,主要用于检测系统是否安装微软的补丁,不需要通过微软的正版认证。
前四项是安全检测选项,可根据实际情况选择,最后一项是到微软站点更新安全策略、安全补丁等最新信息,如果不具备联网环境可以不选择。
   2)单击“Cancel”按钮后会退回到上一个窗口中。
3)单击“Scanning Options”可以查看扫描选项的详细说明。
   4)如果选择了“Check for security updates”,程序会进行自动更新,如图3所示,在扫描时会等待一段时间,根据网络连接以及更新量大小,有时候等待时间会比较长,直到下载更新信息完毕后才会自动进行安全扫描,在下载过程有可能出现CPU占有率比较高的情况,这是正常的,MBSA将更新下载到本地后需要对程序和策略进行更新,所有占有率会出现比较高的情况。
巧用MBSA检查和加固个人计算机_第3张图片
3 程序下载策略等更新

3.扫描漏洞

     在图2中单击“Start Scan”开始扫描,扫描结束后,程序会自动跳转扫描结果窗口,如图4所示,可以查看本次扫描的详细信息。在扫描报告中可以按照“Score(worst first)”和“Score(worst first)”两种方式进行排序显示扫描结果。在扫描结果中主要有“Security Update Scan Results”、“Windows Scan Results”、“Internet Information Services (IIS) Scan Results”、“SQL Server Scan Results”和“Desktop Application Scan Results”五种。
巧用MBSA检查和加固个人计算机_第4张图片
4扫描报告

4.扫描结果分析

从扫描结果中可以看到有五个红色的盾牌标志,表明系统存在5个较为危险的安全隐患或者高安全风险,如图5所示,其中需要关注的有四个风险,最高风险是未安装Office安全更新,其次是Windows16个安全补丁需要进行更新,第三个风险是系统未打开自动更新,第四个是在计算机中存在一个磁盘未使用NTFS格式,需要关注的是前三个。
巧用MBSA检查和加固个人计算机_第5张图片
5 分析扫描结果

5.查看扫描报告

    扫描报告是进行安全加固的一个参考,先看“Security Update Scan Results”,在“Security Update Scan Results”中可以看到“What was scanned”、“Result details”和“How to correct this”三个链接,如图6所示。它们分别对于扫描的对象、扫描结果的详细信息和如何纠正存在的安全隐患(漏洞)。
巧用MBSA检查和加固个人计算机_第6张图片
6 查看不同安全扫描结果
 单击“What was scanned”链接会显示MBSA扫描了哪些安全选项;单击“Result details”可以查看安全更新的检测报告,如图7所示,会给出按照IDDescriptionMaximum Severity以及Download排序的表格结果。
巧用MBSA检查和加固个人计算机_第7张图片
7查看详细的安全扫描结果

6.给系统修补漏洞

在详细结果中(图7),出现的红色盾牌图标表示系统缺少这个补丁,可以单击“Download”下面的图标下载补丁,然后直接运行该程序进行安装即可,详细的安装过程就不介绍了,有的补丁更新后要求重启系统。选择修补系统补丁可以参看“Maximum Severity”程度,如果是“Critical”则必须进行安装,否则可以根据实际情况进行修补。在详细结果的最下方还可以看到已经安装补丁的列表,从该列表可以知道Windows XP的最新补丁ID,在DOS提示符下运行“systeminfo”时,也会显示系统更新的最高补丁ID,该ID可以做为系统最新补丁的一个参考,如图8所示,使用“systeminfo”命令检测到系统的最新补丁是一致的。
巧用MBSA检查和加固个人计算机_第8张图片
8 使用systeminfo命令检测系统补丁更新情况
特别注意:
    对于系统中安装有特殊应用,强烈建议在进行系统更新前对当前系统进行Ghost备份,防止由于更新不当而导致系统出现意外情况。

7.纠正扫描结果中出现的安全问题

   在扫描结果中如果出现了“How to correct this”则表明系统或者应用存在安全问题,需要根据实际情况进行修补,单击“How to correct this”链接,进入具体的修复建议页面,如图9所示,在该页面中会给出详细的纠正步骤或者方法。
巧用MBSA检查和加固个人计算机_第9张图片
9纠正扫描结果中出现的安全问题

8.再次对操作系统进行安全扫描

   再次对操作系统进行安全扫描主要有两个目的,第一个目的是在安装补丁过程或者下载过程中有可能会产生一些遗漏,因此在进行安全加固或者安全扫描后需要重新对系统进行安全扫描,以确认前面的安全更新和安全加固是完整的;第二个目的是更新一些新出现的更新。由于更新某一个补丁后,会出现一些新的补丁,因此需要再次进行扫描确认。在本次案例中,虽然使用360安全卫士的漏洞扫描对系统进行了扫描,扫描结果显示系统已经安装了全部的补丁,如图11所示,但通过MBSA扫描仍然发现系统中存在数个未更新的补丁,尤其还发现有MS08067漏洞未更新,所以第三方扫描软件更新和扫描未必就绝对安全可靠。在本例中重启计算机后再次使用MBSA进行扫描,又发现系统中有关Office2003的安全补丁需要进行更新,如图10所示。
巧用MBSA检查和加固个人计算机_第10张图片
10 360安全卫士检测结果无漏洞
巧用MBSA检查和加固个人计算机_第11张图片
11 再次检测出未更新的安全补丁

9.查看所有的扫描报告

     使用MBSA对系统进行扫描后,会自动保存扫描的报告,在MBSA程序的主界面单击“View existing security scan reports”即可查看,如图12所示,对这些扫描结果还可以根据“IP地址”、扫描时间、安全评估、计算机名称等进行升/降序排列,双击选中的记录即可查看扫描的详细报告。这些报告可以作为安全检查的依据,通过对比加固前后的报告可以知道系统目前的安全情况。    巧用MBSA检查和加固个人计算机_第12张图片
12 查看扫描报告

10.对多台计算机进行扫描

  可以使用MBSA对网络中多台计算机进行扫描,在程序主界面中单击“Scan multiple computers”,如图13所示,其设置跟对单台计算机的扫描设置和过程类似,就不赘述了。在进行“自动扫描”时,用来运行 MBSA 的帐户也必须是管理员或者是本地管理员组的一个成员。在扫描多台计算机的情况下,必须是每一台计算机的管理员或者是一名域管理员,而且扫描计算机的135139445端口是开放的,如果没有开放可以暂时关闭防火墙,扫描结束后再恢复防火墙。
巧用MBSA检查和加固个人计算机_第13张图片
13对多台计算机进行扫描

三、总结与体会

   本文详细介绍了如何使用MBSA来扫描和修补系统存在的安全漏洞,通过使用MBSA可以很方便的发现系统以及所部署应用方面存在的问题或者安全隐患,通过微软提供的修正意见进行修复。只要能够看懂MBSA上有关操作和说明即可进行安全漏洞扫描和加固,MBSA的确是一个好用的安全工具,美中不足的是目前MBSA仅仅提供德语、法语、英语和日语4种语言版本。