实训52漏洞检测工具MBSA.docx

1、实训52漏洞检测工具MBSA本节实训与思考的目的是：(1) 了解漏洞检测技术的基本概念和基本内容。(2) 学习在Windows环境中安装和使用MBSA软件。1 工具/准备工作在开始本实训之前，请认真阅读本课程的相关内容。需要准备一台运行Windows XP Professional操作系统的计算机，并且带有浏览器，能够访问因特网。2 实训内容与步骤(1) 概念理解1) 请通过查阅有关资料，简单叙述什么是“漏洞扫描”？_对网络信息系统进行检查，主动发现其中可被攻击者利用的漏洞。2) 漏洞检测技术有基于_应用的检测技术_、基于_主机的检测技术_、基于_目标的检测技术和基于_网络的检测技术_等几类。

2、3) 你目前经常使用的杀病毒软件是：_360_。请分析该软件是否具备漏洞检测功能？如果有，请简单介绍之。 没有_ (2) 下载和安装MBSA软件登录因特网，可以在微软的官方网站 ( security/tools/default.mspx) 上下载到最新版的Microsoft 基准安全分析器 (MBSA，Microsoft Baseline Security Analyzer) 软件，用来识别安全方面的常见配置错误。MBSA可以在Windows 2000XPServer 2003等操作系统上运行 (不能用于扫描Windows 9x/ME操作系统) 。下载后，双击MBSA软件图标，开始执行MBSA

3、的安装过程，如图5.5所示。图5.5 执行安装按照“安装向导”的提示进行操作，即可完成安装过程。然后，在“开始”“所有程序”菜单中单击MBSA软件命令项 (例如：Microsoft Baseline Security Analyzer 1.2.1) ，或双击桌面上的MBSA快捷图标，就可打开MBSA主窗口。见图5.6所示。系统在主窗口右下方提示MBSA已有新版本，单击即可由其官方网站下载。MBSA主窗口的左边是一些功能链接，点击后可在右边区域中看见对应的信息。(3) 扫描一台计算机对一台计算机进行扫描是MBSA的基本功能，具体操作步骤如下：步骤1：在Windows的“开始”菜单中单击“控制面板

4、”命令，再双击“系统”图标，打开“系统属性”对话框，并选择其中的“计算机名”选项卡，如图5.7所示，找到“完整的计算机名”和“工作组”项。图5.6 MBSA主窗口图5.7 “计算机名”窗口请记录：你在本次实训中所使用的计算机系统是：1) 计算机名：_zhousu_2) 工作组名：_MSHOME_步骤2：返回MBSA窗口，单击MBSA主窗口右下方的Scan a computer命令项，或者单击主窗口左侧的Pick a computer to scan命令项，将弹出Pick a computer to scan对话框 (见图5.8)。步骤3：在对话框中正确设置扫描参数。1) 设定要扫描的对象。为指

5、定要扫描的计算机，MBSA提供了两种方法：图5.8 “扫描一台计算机”窗口方法1：在Computer name文本框中输入计算机名称，格式为“工作组名计算机名”。默认情况下，MBSA会显示本地计算机的名称。方法2：在IP address文本框中输入计算机的IP地址。在IP address文本框中允许输入在同一个网段中的任意IP地址，但不能输入跨网段的IP，否则会提示Computer not found (计算机没有找到) 的信息。2) 设定安全报告的名称格式。每次扫描成功后，MBSA会将扫描结果以“安全报告”的形式自动地保存起来。MBSA允许用户自行定义安全报告的文件名格式，只要在Securi

6、ty report name文本框中输入文件格式即可。MBSA提供两种默认的名称格式：“%D% - %C% (%T%) ”(域名-计算机名 (日期戳) ) 和“%D% - %IP% (%T%) ”(域名-IP地址 (日期戳) ) 。3) 设定扫描中要检测的项目。MBSA可以检测包括Office、IIS等在内的多种微软软件产品的漏洞。在默认情况下，无论计算机是否安装了以上软件，MBSA都要检测是否存在以上软件的漏洞，这就影响了扫描时间和速度。基于这点考虑，MBSA提供了让用户自主选择检测项目的功能。只要用户选中 (或取消) Options (选项) 中某个复选项，就可让MBSA检测 (或忽略)

7、该项目。允许用户自主选择的项目有： Check for Windows vulnerabilities (检查Windows的漏洞) Check for weak passwords (检查密码的安全性) Check for IIS vulnerabilities (检查IIS系统的漏洞) Check for SQL vulnerabilities (检查SQL Server的漏洞)等4项，而MBSA会强制扫描其他项目 (如：Office软件的漏洞等) 。4) 设定安全漏洞清单的下载途径。MBSA的工作原理是：以一份包含了所有已发现的漏洞的详细信息 (如：什么软件隐含漏洞、漏洞存在的具体位置、

8、漏洞的严重级别等) 的安全漏洞清单为蓝本，全面扫描计算机，将计算机上安装的所有软件与安全漏洞清单进行对比。如果发现某个漏洞，MBSA就会将其写入到安全报告中。因此，要想让MBSA准确地检测出计算机上是否存在漏洞，安全漏洞清单的内容是否为最新就至关重要了。由于新的漏洞不断被发现，所以我们要像更新防病毒软件的病毒库一样，及时更新安全漏洞清单。MBSA提供了两种更新方法：1) 连入因特网的计算机用户可以从微软官方网站上下载。微软会在其官方网站上及时发布最新的安全漏洞清单，所以MBSA被默认设置为每一次扫描时自动链接到微软官方网站下载最新的安全漏洞清单。如果用户已经下载了最新的安全漏洞清单，则可取消“

9、Check for security updates”复选项。否则应该选中此复选项，以确保安全漏洞清单的内容是最新的。2) 从SUS (Software Update Services，软件升级服务) 服务器上下载。有些局域网中架设了SUS服务器，所以此类用户可以选择此方法下载最新的安全漏洞清单，只要选中Use SUS Server复选框，并在其下的文本框中输入SUS的地址即可。步骤4：用户根据自身情况设置好各项参数后，单击Start Scan菜单，MBSA开始对指定的计算机进行扫描。扫描过程中会显示一个进度条。步骤5：扫描完成后，MBSA会将扫描的结果以安全报告的形式保存到“X:Docume

10、nts and SettingsusernameSecurityScans” (X：指Windows的系统分区符，username：是操作MBSA的用户名) 文件夹中。步骤6：同时，MBSA还会自动弹出View security report对话窗 (如图5.9) ，显示刚完成的安全报告的内容。用户可以根据安全报告的Score列中不同颜色的图标来简单区分被扫描的计算机上哪些方面存在漏洞，哪些方面需要改进，如： 绿色的“”图标表示该项目已经通过检测。 红色 (或黄色) 的“”图标表示该项目没有通过检测，即存在漏洞或安全隐患。 蓝色的“*”图标表示该项目虽然通过了检测但可以进行优化，或者是由于某种

11、原因MBSA跳过了其中的某项检测。 白色的“i”图标表示该项目虽然没有通过检测，但问题不很严重，只要进行简单的修改即可。但是，更好的方法是查看检测项目的Result列中是否含有How to correct this (如何修正它) 选项。只要此选项存在，用户就应该单击该选项。然后根据提供的解决方法，或是下载相应的补丁程序，或是修改相关的设置，修正存在的问题。图5.9 扫描安全报告请分析：在你完成的MBSA安全漏洞扫描中，不同图标项目的个数分别是：1) 绿色“”图标项目：_4_个；2) 红色 (或黄色) “”图标项目：_1_个；3) 蓝色“*”图标项目：_1_个；4) 白色“i”图标项目：_0_

12、个。(4) 扫描多台计算机此项功能是“扫描一台计算机”功能的延伸，只是将扫描对象扩大到网络中的一个域或IP地址段，其工作原理与“扫描一台计算机”功能相同，即：以安全漏洞清单为蓝本，对指定域 (或IP地址段) 中的所有计算机逐一进行扫描。具体的操作步骤如下：步骤1：单击MBSA主窗口中的Scan more than one computer (或Pick multiple computer to scan) 项，将弹出Pick multiple computer to scan对话框 (见图5.10) 。图5.10 “扫描多台计算机”窗口在此，Security report name和Optio

13、ns处的设置可以参照上面操作进行。不同的是，在“指定要扫描的对象”方面，要在Domain name文本框中输入要被扫描的域的名称，或在IP address range文本框中输入要被扫描的IP地址范围，就能让MBSA扫描某个域 (或IP地址段) 中的所有计算机。注意，无论域 (或IP地址段) 中的所有计算机安装的软件是否相同，MBSA都将依据Options处的设置“一视同仁”地扫描每台计算机。步骤2：设定好各项参数后单击Start Scan菜单，MBSA将依次扫描域 (或IP地址段) 中的每台计算机。完成扫描所需的时间与被扫描的计算机数量和设置的扫描项目有关。步骤3：与“扫描一台计算机”功能不

14、同的是，扫描结束后，将弹出Unable to scan all computers对话窗，在其中将列举没有扫描成功的计算机名 (或IP地址) 及原因。扫描失败的原因有两种：1) 被扫描的计算机上的用户不是系统管理员。造成这种情况出现的原因主要有：用户没有以Administrator的用户名登录操作MBSA的计算机上；或者，被扫描的计算机设置了登录密码。2) 被扫描的计算机不是Windows 2000XPServer 2003系统，或者不是工作站。造成这种情况出现的原因是：被扫描的计算机可能安装的是Windows 9X/ME操作系统，或者安装了非Windows操作系统，如Linux等；或者，被扫

15、描的根本就不是计算机，可能是其他网络设备，如路由器等。步骤4：在Unable to scan all computers对话窗的底部还会显示以下选项之一，以引导用户进行下一步操作：1) 若显示Continue选项：说明此次扫描中没有一台计算机扫描成功。单击此菜单后将返回到MBSA的主窗口。2) 若显示Pick a security report to view选项：说明此次扫描中至少有一台计算机成功的完成扫描并生成了安全报告。单击此菜单后将弹出Pick a security report to view对话窗。此时，MBSA将显示所有扫描成功的计算机的安全报告，供用户选择查看其详细内容。此时，

16、无论扫描成功的计算机是几台，MBSA都不会生成综合性的安全报告，而是为每一台计算机生成各自单独的安全报告。(5) 选择查看安全报告单击主窗口右下方的View existing security reports (或单击主窗口右侧的Pick a security report to view) 选项，将弹出Pick a security report to view窗口 (如图5.11) 。在此窗口中，MBSA列出了已有的所有安全报告清单 (包括安全报告名、生成日期等信息)，单击安全报告名就可查看其详细内容。安全报告的具体内容、格式、操作方法与前述相同，可以参照操作。(6) 命令行用法与其他MB

17、SA不但能以GUI (图形用户界面) 运行，还能在命令提示符下运行，即执行其安装目录下的mbsacli.exe文件。mbsacli.exe文件不仅提供了丰富、灵活的参数，而且还支持两种语法结构：一种是MBSA标准的命令行语法结构，即“mbsacli参数”格式。在命令提示符下运行mbsacli /？命令可以显示详细的语法信息；另一种是模拟补丁检查工具HFNetChk的命令行语法结构，即“mbsacli /hf 参数”格式。运行mbsacli /hf /？令可以显示详细的语法信息。mbsacli.exe还能用于各种脚本环境中，如：命令脚本 (.bat或.cmd文件) 、WSH脚本 (.vbs或.j

18、s文件) 等。通过这些脚本的调用，结合Windows系统的其他功能 (如：“计划任务”功能) 就能实现对计算机的灵活扫描。此外，在MBSA的安装目录下还有两个文本文件，编辑它们能定制MBSA的扫描过程和方式：图5.11 查看安全报告1) services.txt文件：包含了MBSA要扫描的服务，默认值为MS、TlntSvr、W3SVC和SMTPSVC服务。添加 (或删除) 服务名可以让MBSA扫描 (或忽略) 对该服务的检测。2) noexpireok.txt文件：包含了MBSA不扫描的账户名，如：IUSR_*、IWAM_*、SUPPORT_*、SQLDebugger等。删除 (或添加) 账户

19、名可以让MBSA增加 (或忽略)对该账户的检测。在使用MBSA过程中还需注意以下事项：1) MBSA对Windows、Office、IIS等软件进行的扫描包括两种：“安全扫描”：是指扫描以上软件是否进行了安全的配置，如：IIS锁定工具是否已运行，文件系统的类型是否都采用了NTFS格式等。“更新扫描”：是指扫描以上软件是否安装了最新的补丁程序。2) MBSA执行的是微软所谓的“基准扫描”，即只扫描和报告Windows Update定义的“关键更新”，而不是扫描和报告所有的更新。而且MBSA不会自动安装更新，需用户另行操作完成。否则，漏洞依然存在。3) MBSA是基于IE页面开发的，而且IE的所有设置项都会影响MBSA的运行。4) 每次扫描后生成的安全报告是以明码格式保存到固定的文件夹中。因此，容易被黑客利用从而找出计算机的漏洞所在。所以建议：对安全报告应进行另行处理 (如：打印、备份到其他目录等) ，然后彻底删除SecurityScans文件夹中的所有文件，以防被他人利用。请记录：上述各项操作能够顺利完成吗？如果不能，请简单分析原因。_3 实训总结了解漏洞检测技术的基本概念和基本内容。学习在Windows环境中安装和使用MBSA软件。 4 实训评价 (教师)_