給你免費系統漏洞檢測利器

　　前言

　　windows系統的“漏洞”就像它的GUI（圖形用戶接口）界面一樣“舉世聞名”，幾乎每個星期都有新的漏洞被發現。這些漏洞常被計算機病毒和黑客們用來非法入侵計算機，進行大肆破壞。雖然微軟會及時發布修補程序，但是發布時間是隨機的，而且這些漏洞會因Windows軟件版本的不同而發生變化，這就使得完全修補所有漏洞成為每個Windows用戶的頭號難題。

　　解決這個難題的簡單方法就是：利用特定的軟件對Windows系統進行掃描，檢查是否存在漏洞？哪些方面存在漏洞？以便及時修補。

　　這類軟件有很多，在此筆者推薦一款微軟開發的免費軟件──MBSA（Microsoft Baseline Security Analyzer，微軟基準安全分析器），該軟件能對Windows、Office、IIS、SQL Server等軟件進行安全和更新掃描（如圖1），掃描完成后會用“X”將存在的漏洞標示出來，并提供相應的解決方法來指導用戶進行修補。
　　使用手記

　　MBSA只能在Windows 2000∕XP∕Server 2003系統上運行。在微軟的官方網站上可以下載到最新版的MBSA，而且只要按照“安裝向導”的提示操作即可完成安裝過程。安裝完成后，依次單擊“開始”|“程序”|“Microsoft Baseline Security Analyzer 1.2.1”程序項（或雙擊“桌面”上的“Microsoft Baseline Security Analyzer 1.2.1”快捷圖標），就可彈出MBSA的主窗口。

　　掃描一臺計算機

　　對一臺計算機進行掃描是MBSA的基本功能，具體的操作步驟如下：

　　第一步：單擊MBSA主窗口中的“Scan a computer”（或“Pick a computer to scan”）菜單，將彈出“Pick a computer to scan”對話框（如圖2）。

　　要想讓MBSA成功掃描計算機，需在此對話框中進行正確地參數設置：

　　⑴設定要掃描的對象

　　告訴MBSA要掃描的計算機是掃描成功的基礎。MBSA提供兩種方法：

　　方法1：在“Computer name”文本框中輸入計算機名稱，格式為“工作組名\計算機名”。

　　默認情況下，MBSA會顯示運行MBSA的計算機的名稱，如圖2所示，“WORKGROUP”是筆者運行MBSA的計算機所屬的工作組名稱，“JXNO”是計算機名稱。

　　方法2：在“IP aDDRess”文本框中輸入計算機的IP地址。

　　在此文本框中允許輸入在同一個網段中的任意IP地址，但不能輸入跨網段的IP，否則會提示“Computer not found.”（計算機沒有找到）的信息。

　　⑵設定安全報告的名稱格式

　　每次掃描成功后，MBSA會將掃描結果以“安全報告”的形式自動地保存起來。MBSA允許用戶自行定義安全報告的文件名格式，只要在“Security report name”文本框中輸入文件格式即可。

　　MBSA提供兩種默認的名稱格式：“%D% - %C% (%T%)”（域名-計算機名(日期戳)）和“%D% - %IP% (%T%)”（域名-IP地址(日期戳)）。

　　⑶設定掃描中要檢測的項目

　　MBSA允許檢測包括Office、IIS等在內的多種微軟軟件產品的漏洞。在默認情況下，無論計算機是否安裝了以上軟件，MBSA都要檢測計算機上是否存在以上軟件的漏洞。這不但浪費掃描時間，而且影響掃描速度。用戶可以根據自身情況進行選擇，對于一些沒有安裝的軟件可以不選，例如：若沒有安裝SQL Server，則可不選中“Check for SQL vulnerabilities”復選項，這樣能縮短掃描時間，提高掃描速度。

　　基于這點考慮，MBSA提供了讓用戶自主選擇檢測的項目的功能。只要用戶選中（或取消）“Options”中某個復選項，就可讓MBSA檢測（或忽略）該項目。

　　不過，允許用戶自主選擇的項目只有“Check for Windows vulnerabilities”（檢查Windows的漏洞）、“Check for weak passwords”（檢查密碼的安全性）、“Check for IIS vulnerabilities”（檢查IIS系統的漏洞）、“Check for SQL vulnerabilities”（檢查SQL Server的漏洞）等四項。

　　至于其它項目（如：Office軟件的漏洞等）MBSA會強制掃描。

　?、仍O定安全漏洞清單的下載途徑

　　MBSA的工作原理是：以一份包含了所有已發現的漏洞的詳細信息（如：什么軟件隱含漏洞、漏洞存在的具體位置、漏洞的嚴重級別等）的安全漏洞清單為藍本，全面掃描計算機，將計算機上安裝的所有軟件與安全漏洞清單進行對比。如果發現某個漏洞，MBSA就會將其寫入到安全報告中。

　　因此，要想讓MBSA準確地檢測出計算機上是否存在漏洞，安全漏洞清單的內容是否是最新的就至關重要了。

　　由于新的漏洞不斷被發現，所以我們要像更新防病毒軟件的病毒庫一樣，及時更新安全漏洞清單。MBSA提供了兩種更新方法：

　?、購奈④浌俜骄W站上下載

　　微軟會在它的官方網站上及時發布最新的安全漏洞清單，所以MBSA被默認設置為每一次掃描時自動鏈接到微軟官方網站下載最新的安全漏洞清單。

　　如果用戶已經下載了最新的安全漏洞清單，則可取消“Check for security updates”復選項。否則應該選中此復選項，以確保安全漏洞清單的內容是最新的。

　　此方法適用于能連入Internet的計算機用戶。

　　②從SUS服務器上下載

　　有些局域網中架設了SUS（Software Update Services，軟件升級服務）服務器，所以此類用戶可以選擇此方法下載最新的安全漏洞清單，只要選中“Use SUS Server”復選框，并在其下的文本框中輸入SUS的地址即可。

　　第二步：用戶根據自身情況設置好各項參數后單擊“Start Scan”菜單，將彈出“Scanning”對話框（如圖3），MBSA將開始掃描指定的計算機。

　　第三步：掃描完成后，MBSA會將掃描的結果以安全報告的形式保存到“X:\Documents and Settings\username\SecurityScans”（X：指Windows的系統分區符，username：是操作MBSA的用戶名）文件夾中。

　　　第四步：此時，MBSA還會自動彈出“View security report”對話窗（如圖4），將剛生成的安全報告的內容顯示出來。

　　用戶可以根據安全報告的“Score”列中不同顏色的圖標來簡單區分被掃描的計算機上哪些方面存在漏洞，哪些方面需要改進，如：

　　●綠色的“√”圖標表示該項目已經通過檢測。
　 ●紅色（或黃色）的“×”圖標表示該項目沒有通過檢測，即存在漏洞或安全隱患。
　 ●藍色的“*”圖標表示該項目雖然通過了檢測但可以進行優化，或者是由于某種原因MBSA跳過了其中的某項檢測。
　 ●白色的“i”圖標表示該項目雖然沒有通過檢測，但問題不很嚴重，只要進行簡單的修改即可。
　
　 但是這種判斷方法很不準確，正確的方法是查看檢測項目的“Result”列中是否含有“How to correct this”（如何修正它）選項。只要有項目存在，用戶就應該單擊“How to correct this”選項。然后根據提供的解決方法，或是下載相應的補丁程序，或是修改相關的設置，就可修正存在的問題。

　　例如：安全報告提示“IE Zones”（IE區域設置）項目沒有通過檢測，單擊“How to correct this”選項后都將彈出信息提示窗（如圖5），根據“Solution”（解決方法）處的文字信息得知，只要按照“Instructions”（提示信息）中的步驟更改IE的區域設置值即可解決。

　　（二）掃描多臺計算機

　　此項功能是“掃描一臺計算機”功能的延伸，只是將掃描對象擴大到網絡中的一個域或IP地址段，它的工作原理與“掃描一臺計算機”功能的相同，即：以安全漏洞清單為藍本，對指定域（或IP地址段）中的所有計算機逐一進行掃描。

　　注意：MBSA只能掃描網絡中安裝了Windows NT 4.0∕2000∕XP∕Server 2003操作系統的計算機，而不能掃描Windows 9X∕Me系統的計算機。

　　具體的操作步驟如下：

　　第一步：單擊MBSA主窗口中的“Scan more than one computer”（或“Pick multiple computer to scan”）菜單，將彈出“Pick multiple computer to scan”對話框（如圖6）。

　　在此對話框中也要進行必要的、準確的設置。但由于此功能是“掃描一臺計算機（Scan a computer）”功能的擴展，所以“Security report name”和“Options”處的設置用戶可以參照操作。

　　不同的是“指定要掃描的對象”方面：用戶只要在“Domain name”文本框中輸入要被掃描的域的名稱，或在“IP address range”文本框中輸入要被掃描的IP地址范圍，就能讓MBSA掃描某個域（或IP地址段）中的所有計算機。

　　注意，無論域（或IP地址段）中的所有計算機安裝的軟件是否相同，MBSA都將依據“Options”處的設置“一視同仁”地掃描每臺計算機。

　　 第二步：設定好各項參數后單擊“Start Scan”菜單，將彈出“Scanning”對話框（如圖7），MBSA將依次掃描域（或IP地址段）中的每臺計算機。完成掃描所需的時間與被掃描的計算機數量和設置的掃描項目有關。

　　第三步：與“掃描一臺計算機”功能不同的是，掃描結束后，將彈出“Unable to scan all computers”對話窗（如圖8）。在此對話窗中，將列舉沒有掃描成功的計算機名（或IP地址）及原因。掃描失敗的原因有兩種：

　?、拧癠ser is not an administrator on the scanned machine.”：被掃描的計算機上的用戶不是系統管理員。

　　造成這種情況出現的原因主要有：用戶沒有以“Administrator”的用戶名登錄操作MBSA的計算機上；或者，被掃描的計算機設置了登錄密碼。

　?、啤癟his is not a Windows NT/200/XP/2003 Server or Workstation.”：被掃描的計算機不是Windows NT 4.0∕2000∕XP∕Server 2003系統，或者不是工作站。

　　造成這種情況出現的原因是：被掃描的計算機沒有安裝Windows NT 4.0∕2000∕XP∕Server 2003操作系統，可能安裝了Windows 9X/Me系統，或者安裝了非Windows操作系統，如：Linux等；或者，被掃描的根本就不是計算機，可能是其它網絡設備，如路由器等。

　　 第四步：在“Unable to scan all computers”對話窗的底部還會顯示以下菜單之一，以引導用戶進行下一步操作：

　?、湃麸@示“Continue”菜單：說明此次掃描中沒有一臺計算機掃描成功。單擊此菜單后將返回到MBSA的主窗口。

　?、迫麸@示“Pick a security report to view”菜單：說明此次掃描中至少有一臺計算機成功的完成掃描并生成了安全報告。單擊此菜單后將彈出“Pick a security report to view”對話窗。此時，MBSA將顯示所有掃描成功的計算機的安全報告，供用戶選擇查看其詳細內容

　　說明：此時無論掃描成功的計算機是幾臺，MBSA都不會生成綜合性的安全報告，而是為每一臺計算機生成各自單獨的安全報告。

　　（三）選擇∕查看安全報告

　　單擊MBSA主窗口中的“Pick a security report to view”（或“View existing security reports”）菜單，將彈出“Pick a security report to view”窗口（如圖9）。在此窗口中，MBSA將列出已有的所有安全報告清單（包括安全報告名、生成日期等信息），雙擊安全報告名就可查看其詳細內容。

　　安全報告的具體內容、格式、操作方法與“掃描一臺計算機”部分的第三步和第四步大同小異，用戶可以參照操作。

　　命令行用法

　　MBSA不但能以GUI界面運行，還能在命令提示符下運行，執行其安裝目錄下的mbsacli.exe文件就能實現。mbsacli.exe文件不僅提供了豐富、靈活的參數，而且還支持二種語法結構：

　?、乓环N是MBSA標準的命令行語法結構，即“mbsacli 參數”格式。在命令提示符下運行“mbsacli /？”（僅雙引號內的文字）命令可以顯示詳細的語法信息。

　　 ⑵另一種是模擬補丁檢查工具HFNetChk的命令行語法結構，即“mbsacli /hf 參數”格式。運行“mbsacli /hf /？”（僅雙引號內的文字）命令可以顯示詳細的語法信息。

　　mbsacli.exe還能用于各種腳本環境中，如：命令腳本（.bat或.cmd文件）、WSH腳本（.vbs或.js文件）等。通過這些腳本的調用，結合Windows系統的其它功能（如：“計劃任務”功能）就能實現對計算機的靈活掃描。

　　此外，在MBSA的安裝目錄下還有兩個文本文件，編輯它們能定制MBSA的掃描過程和方式：

　　 ⑴services.txt文件：包含了MBSA要掃描的服務（如圖10），默認值為MSFTPSVC、TlntSvr、W3SVC和SMTPSVC服務。添加（或刪除）服務名可以讓MBSA掃描（或忽略）對該服務的檢測。
　?、苙oexpireok.txt文件：包含了MBSA不掃描的賬戶名（如圖11），如：IUSR_*、IWAM_*、SUPPORT_*、SQLDebugger等。刪除（或添加）賬戶名可以讓MBSA增加（或忽略）對該賬戶的檢測。


　　注意事項

　　MBSA雖然好用，但是在使用過程中還需注意以下事項：
　　 1、MBSA對Windows、Office、IIS等軟件進行的掃描包括兩種：
　　 ⑴“安全掃描”是指掃描以上軟件是否進行了安全的配置，如：IIS鎖定工具是否已運行，文件系統的類型是否都采用了NTFS格式等。
　　 ⑵“更新掃描”是指掃描以上軟件是否安裝了最新的補丁程序。

　　2、MBSA執行的是微軟所謂的“基準掃描”，即只掃描和報告Windows Update定義的“關鍵更新”，而不是掃描和報告所有的更新。而且MBSA不會自動安裝更新，需用戶另行操作完成。否則，漏洞依然存在。

　　3、MBSA是基于IE頁面開發的，所以要運行MBSA需要 Internet Explorer 5.01 以上才行，而且IE的所有設置項都會影響MBSA的運行。

　　4、每次掃描后生成的安全報告是以明碼格式保存到固定的文件夾中。因此，容易被黑客利用從而找出計算機的漏洞所在。所以建議：對安全報告應進行另行處理（如：打印、備份到其它目錄等），然后徹底刪除“SecurityScans”文件夾中的所有文件，以防被他人利用。

　　結束語

　　總之，為了確保計算機系統的安全，除了安裝安全防護軟件（如：殺毒軟件、防火墻等）外，及時安裝漏洞補丁程序是非常重要的。但怎么才能知道哪些補丁程序還沒有安裝呢？使用了MBSA就可以知道地一清二楚。而且MBSA具有其它同類軟件無法比擬的優點：除了能檢查Windows的漏洞，還能檢測Office、IIS等微軟產品的漏洞。故建議Windows 2000∕XP∕2003的用戶下載該軟件，用它檢測出計算機中隱含的漏洞和安全隱患，盡早修補，以增強計算機的安全性。

　　當然，除了MBSA之外，還有很多免費或共享漏洞掃描工具（如：HFNetChk、LANguard Network Security Scanner等），它們的功能也很實用，有興趣的用戶可以一試。

原文轉自：http://www.kjueaiud.com