4.安全更新检查
Service Pack
(服务软件包)是经过全面测试的更新程序集,主要用于解决用户报告的 Microsoft 产品中出现的各种问题。通常,Service Pack 修复产品自公开发布以来所发现的问题。Service Pack 具有累积性质――每个新的 Service Pack 中不仅包含所有新的修补程序,同时还包含以前 Service Pack 中的所有修补程序。它们被设计为能确保与新发布的软件和驱动程序的平台相兼容,并包含用来修复用户发现或者通过内部测试发现的问题的更新程序。
而即时修复程序则通常是针对一个特定的错误或安全漏洞的临时更新程序。在一个 Service Pack 的使用周期中提供的所有即时修复程序都将积累到后面的 Service Pack 中。此工具识别出的每一个安全即时修复程序都有一个与之关联的 Microsoft 安全公告,该公告包含有关该修补程序的详细信息。这一检查的结果将确定缺少了哪些即时修复程序,并提供一个连接到 Microsoft Web 站点的链接,以便您查看每个安全公告的详细信息。
此工具进行的这一检查将确保您具有针对下列产品和组件的最新 Service Pack 和安全更新:
・
Windows NT 4.0
(除非通过 mbsacli.exe /hf 进行扫描,否则只能进行远程扫描)
・
Windows 2000
・
Windows XP
・
Windows Server 2003
・
Internet Explorer 5.01
和后续版本(包括 Internet Explorer 6.0 for Windows Server 2003)
・
Windows Media Player 6.4
和后续版本
・
IIS 4.0
、5.0、5.1 和 6.0
・
SQL Server 7.0
和 2000(包括 Microsoft Data Engine)
・
Exchange Server 5.5
、2000 和 2003(包括 Exchange Admin Tools)
・
Microsoft Office
(只能进行本地扫描;请参见
l产品列表
)。
・
Microsoft Data Access Components (MDAC) 2.5
、2.6、2.7 和 2.8
・
Microsoft Virtual Machine
・
MSXML 2.5
、2.6、3.0 和 4.0
・
BizTalk Server 2000
、2002 和 2004
・
Commerce Server 2000
和 2002
・
Content Management Server (CMS) 2001
和 2002
・
SNA Server 4.0
、Host Integration Server (HIS) 2000 和 2004
5.
桌面应用程序检查
(1).
Internet Explorer
安全区域
该检查将列出被扫描计算机上的每一个本地用户当前采用和建议的 IE 区域安全设置。
Microsoft Internet Explorer Web
内容区域将 Internet 或 Intranet 分成了具有不同安全级别的区域。这一功能允许您为浏览器设置全局默认设置,以便允许受信任站点上的所有内容或者禁止某些类型的内容,如:Java 小程序或 ActiveX 控件,具体情况根据 Web 站点所在的区域而定。
Internet Explorer
浏览软件带有四个预定义的 Web 内容区域:Internet、本地 Intranet、受信任的站点和受限制的站点。在
Internet Options
选项对话框中,您可以为每一个区域设置您想要的安全选项,然后在任何区域中(Internet 除外)添加站点或从中删除站点,具体情况视您对该站点设置的信任级别而定。在企业环境中,管理员可以为用户设置区域。他们还可以(预先)添加他们信任的或删除他们不信任的软件发布者的身份验证证书,这样用户就不必在使用 Internet 时再作出安全决定了。
对于每个安全区域,您可以选择高、中和低三个级别,或者自定义安全设置。Microsoft 建议,对于那些不能确定是否可信任的区域内的站点,应将安全性设置为高。自定义选项为高级用户和管理员提供了针对所有安全选项的更多的控制权,其中包括下列几项:
・
对文件、ActiveX 控件和脚本的访问
・
提供给 Java 小程序的功能级别
・
带有安全套接字层 (SSL) 身份验证的站点身份指定
・
带有 NTLM 身份验证的密码保护(根据服务器所在的区域,Internet Explorer 可以自动发送密码信息,提示用户输入用户和密码信息,或者干脆拒绝任何登录请求)
(2).
面向管理员的 Internet Explorer 增强安全配置
该检查可识别出运行 Microsoft Windows Server 2003 的计算机上是否已经启用针对管理员的 Internet Explorer 增强安全配置(Enhanced Security Configuration)。如果已经安装了针对管理员的 Internet Explorer 增强安全配置,这一检查还会识别出禁用该 Internet Explorer 增强安全配置的管理员。
(3).
面向非管理员的 Internet Explorer 增强安全配置
这一检查识别出在运行 Microsoft Windows Server 2003 的计算机上是否已经启用用于非管理员的用户的 Internet Explorer 增强安全配置(Enhanced Security Configuration)。如果已经安装了针对非管理员的 Internet Explorer 增强安全配置,这一检查还会识别出禁用该 Internet Explorer 增强安全配置的非管理员用户。
(4).
Office
宏保护
该检查将对每个用户逐一确定 Microsoft Office XP、Office 2000 和 Office 97 宏保护的安全级别。MBSA 还将对 PowerPoint、Word、Excel 和 Outlook 进行检查。
宏能够将重复的任务自动化。这样可以节省时间,但也会被用于传播病毒,例如,当一个用户打开一个包含恶意宏的受感染文档时。打开或者共享一个受感染的文档会使恶意宏蔓延到您系统上的其他文档,或者传播给其他用户。