【51CTO.com獨家特稿】微軟基線安全分析器（Microsoft Baseline Security Analyzer ，以下簡稱MBSA) 是一個簡單易用的工具，可幫助中小型企業(yè)根據(jù) Microsoft的安全性建議確定其安全性狀態(tài)，并根據(jù)結(jié)果提供具體的修正指南。使用 MBSA檢測常見的安全性錯誤配置和計算機系統(tǒng)遺漏的安全性更新，改善安全性管理流程。

MBSA 構(gòu)建于Windows Update代理和 Microsoft Update 基礎(chǔ)結(jié)構(gòu)之上，因此可確保與其他 Microsoft 管理產(chǎn)品保持一致，這些產(chǎn)品包括 Microsoft Update (MU)、Windows Server Update Services (WSUS)、Systems Management Server (SMS)、System Center Configuration Manager (SCCM) 2007 以及 Small Business Server (SBS)。MBSA 廣為眾多領(lǐng)先的第三方安全性供應(yīng)商和安全性審核員所使用，此工具平均每周掃描三百多萬臺計算機。目前已經(jīng)停止對2.01版本以下的MBSA，有關(guān)最新版本2.0的更多信息，感興趣的朋友可以訪問以下地址：http://technet.microsoft.com/zh-cn/security/cc184923.aspx。使用MBSA有三個方面的好處：   

第一，可以通過掃描系統(tǒng)來評估系統(tǒng)的安全性，微軟自家的東西，用來檢測之家產(chǎn)品的安全，融合性應(yīng)該是最好的。   

第二，繞過微軟的有關(guān)補丁下載中有關(guān)驗證問題。MBSA掃描結(jié)束后會直接給出補丁的下載地址。

第三，使用它來糾正在系統(tǒng)中運行的IIS等應(yīng)用的安全管理等方面的錯誤或者漏洞。MBSA掃描結(jié)果中會給出糾正的詳細措施，可以很容易的進行糾正，使系統(tǒng)更加安全。

第四，可以對Windows 2000以及NT的操作系統(tǒng)進行補丁更新，目前基本很少能夠找到有關(guān)Windows 2000以及NT操作系統(tǒng)更新的直接下載地址。

總之使用MBSA比使用第三方漏洞檢測工具更安全、更方便和更高效。下面就是如何具體應(yīng)用MBSA來檢測和加固個人計算機系統(tǒng)進行介紹。

一、實驗準備和環(huán)境

1.下載MBSA   

MBSA目前的最新版本是2.1，它分為X64和X86兩種機器使用軟件版本，其中又分為德語、日語、英語和法語共四種語言，在下載時一定要注意，對于X86對應(yīng)下載“MBSASetup-x86-EN.msi”即可。

2.安裝MBSA

MBSA的安裝很簡單，跟正常軟件的安裝一樣，按照提示進行即可。

3.實驗環(huán)境 

本次實驗環(huán)境為Windows XP，安裝了一些普通的應(yīng)用工具，并做過一些簡單的加固，使用第三方工具360等修補了系統(tǒng)中的安全漏洞。#p#

二、使用MBSA來檢測和加固系統(tǒng)

1.運行MBSA  

單擊“開始”－“程序”－“Microsoft Baseline Security Analyzer 2.1”打開Microsoft Baseline Security Analyzer 2.1程序主界面，如圖1所示。 

圖1

圖1 Microsoft Baseline Security Analyzer 2.1程序運行主界面

說明：

在MBSA主程序中有三大主要功能：

（1）Scan a computer：使用計算機名稱或者IP地址來檢測單臺計算機，適用于檢測本機或者網(wǎng)絡(luò)中的單臺計算機。

（2）Scan multiple computers：使用域名或者IP地址范圍來檢測多臺計算機。

（3）View existing security scan reports：查看已經(jīng)檢測過的安全報告。

2.設(shè)置單機MBSA掃描選項
    
單擊“Scan a computer”，接著會出現(xiàn)一個掃描設(shè)置的窗口，如圖2所示，如果僅僅是針對本機就不用設(shè)置“Computer name”和“IP address”，MNSA會自動獲取本機的計算機名稱，例如在本例中掃描的計算機名稱為“WORKGROUP\SIMEON”，如果是要掃描網(wǎng)絡(luò)中的計算機，則需要在“IP address”中輸入欲掃描的IP地址。在MBSA掃描選項中，默認會自動命名一個安全掃描報告名稱（%D% - %C% (%T%)），即“Security report name”，該名稱按照“域名-計算機名稱（掃描時間）”進行命名，用戶也可以輸入一個自定義的名稱來保存掃描的安全報告。然后選擇“Options”中的前四個安全檢測選項。 

圖2

圖2 設(shè)置MBSA掃描選項

說明：   （1）在“Options”中有五個選項:    

Check for Windows administrative vulnerabilities：檢測Windows管理方面的漏洞。 

Check for weak passwords：檢測弱口令。 

Check for IIS administrative vulnerabilities：檢測IIS管理方面的漏洞，如果計算機提供Web服務(wù)，則可以選擇，在本例中由于是Windows Xp系統(tǒng)，一般情況都沒有安裝IIS，因此可以不選擇。 

Check for SQL administrative vulnerabilities檢測SQL程序設(shè)置等方面的漏洞，例如檢測是否更新了最新補丁，口令設(shè)置等。 

Check for security updates：檢測安全更新，主要用于檢測系統(tǒng)是否安裝微軟的補丁，不需要通過微軟的正版認證。

前四項是安全檢測選項，可根據(jù)實際情況選擇，最后一項是到微軟站點更新安全策略、安全補丁等最新信息，如果不具備聯(lián)網(wǎng)環(huán)境可以不選擇。  

（2）單擊“Cancel”按鈕后會退回到上一個窗口中。

（3）單擊“Scanning Options”可以查看掃描選項的詳細說明。  

（4）如果選擇了“Check for security updates”，程序會進行自動更新，如圖3所示，在掃描時會等待一段時間，根據(jù)網(wǎng)絡(luò)連接以及更新量大小，有時候等待時間會比較長，直到下載更新信息完畢后才會自動進行安全掃描，在下載過程有可能出現(xiàn)CPU占有率比較高的情況，這是正常的，MBSA將更新下載到本地后需要對程序和策略進行更新，所有占有率會出現(xiàn)比較高的情況。 

圖3

圖3 程序下載策略等更新#p#

3.掃描漏洞    

在圖2中單擊“Start Scan”開始掃描，掃描結(jié)束后，程序會自動跳轉(zhuǎn)掃描結(jié)果窗口，如圖4所示，可以查看本次掃描的詳細信息。在掃描報告中可以按照“Score(worst first)”和“Score(worst first)”兩種方式進行排序顯示掃描結(jié)果。在掃描結(jié)果中主要有“Security Update Scan Results”、“Windows Scan Results”、“Internet Information Services (IIS) Scan Results”、“SQL Server Scan Results”和“Desktop Application Scan Results”五種。 

圖4

圖4掃描報告

4.掃描結(jié)果分析

從掃描結(jié)果中可以看到有五個紅色的盾牌標志，表明系統(tǒng)存在5個較為危險的安全隱患或者高安全風險，如圖5所示，其中需要關(guān)注的有四個風險，最高風險是未安裝Office安全更新，其次是Windows有16個安全補丁需要進行更新，第三個風險是系統(tǒng)未打開自動更新，第四個是在計算機中存在一個磁盤未使用NTFS格式，需要關(guān)注的是前三個。 

圖5

圖5 分析掃描結(jié)果

5.查看掃描報告 

掃描報告是進行安全加固的一個參考，先看“Security Update Scan Results”，在“Security Update Scan Results”中可以看到“What was scanned”、“Result details”和“How to correct this”三個鏈接，如圖6所示。它們分別對于掃描的對象、掃描結(jié)果的詳細信息和如何糾正存在的安全隱患（漏洞）。  

圖6

圖6 查看不同安全掃描結(jié)果 

單擊“What was scanned”鏈接會顯示MBSA掃描了哪些安全選項；單擊“Result details”可以查看安全更新的檢測報告，如圖7所示，會給出按照ID、Description、Maximum Severity以及Download排序的表格結(jié)果。 

圖7

圖7查看詳細的安全掃描結(jié)果#p#

6.給系統(tǒng)修補漏洞

在詳細結(jié)果中（圖7），出現(xiàn)的紅色盾牌圖標表示系統(tǒng)缺少這個補丁，可以單擊“Download”下面的圖標下載補丁，然后直接運行該程序進行安裝即可，詳細的安裝過程就不介紹了，有的補丁更新后要求重啟系統(tǒng)。選擇修補系統(tǒng)補丁可以參看“Maximum Severity”程度，如果是“Critical”則必須進行安裝，否則可以根據(jù)實際情況進行修補。在詳細結(jié)果的最下方還可以看到已經(jīng)安裝補丁的列表，從該列表可以知道Windows XP的最新補丁ID，在DOS提示符下運行“systeminfo”時，也會顯示系統(tǒng)更新的最高補丁ID，該ID可以做為系統(tǒng)最新補丁的一個參考，如圖8所示，使用“systeminfo”命令檢測到系統(tǒng)的最新補丁是一致的。 

圖7

圖8 使用systeminfo命令檢測系統(tǒng)補丁更新情況

特別注意：   

對于系統(tǒng)中安裝有特殊應(yīng)用，強烈建議在進行系統(tǒng)更新前對當前系統(tǒng)進行Ghost備份，防止由于更新不當而導致系統(tǒng)出現(xiàn)意外情況。

7.糾正掃描結(jié)果中出現(xiàn)的安全問題  

在掃描結(jié)果中如果出現(xiàn)了“How to correct this”則表明系統(tǒng)或者應(yīng)用存在安全問題，需要根據(jù)實際情況進行修補，單擊“How to correct this”鏈接，進入具體的修復建議頁面，如圖9所示，在該頁面中會給出詳細的糾正步驟或者方法。 

圖9

圖9糾正掃描結(jié)果中出現(xiàn)的安全問題

8.再次對操作系統(tǒng)進行安全掃描  

再次對操作系統(tǒng)進行安全掃描主要有兩個目的，第一個目的是在安裝補丁過程或者下載過程中有可能會產(chǎn)生一些遺漏，因此在進行安全加固或者安全掃描后需要重新對系統(tǒng)進行安全掃描，以確認前面的安全更新和安全加固是完整的；第二個目的是更新一些新出現(xiàn)的更新。由于更新某一個補丁后，會出現(xiàn)一些新的補丁，因此需要再次進行掃描確認。在本次案例中，雖然使用360安全衛(wèi)士的漏洞掃描對系統(tǒng)進行了掃描，掃描結(jié)果顯示系統(tǒng)已經(jīng)安裝了全部的補丁，如圖11所示，但通過MBSA掃描仍然發(fā)現(xiàn)系統(tǒng)中存在數(shù)個未更新的補丁，尤其還發(fā)現(xiàn)有MS08067漏洞未更新，所以第三方掃描軟件更新和掃描未必就絕對安全可靠。在本例中重啟計算機后再次使用MBSA進行掃描，又發(fā)現(xiàn)系統(tǒng)中有關(guān)Office2003的安全補丁需要進行更新，如圖10所示。 

圖10

圖10 360安全衛(wèi)士檢測結(jié)果無漏洞 

圖11

圖11 再次檢測出未更新的安全補丁#p#

9.查看所有的掃描報告    

使用MBSA對系統(tǒng)進行掃描后，會自動保存掃描的報告，在MBSA程序的主界面單擊“View existing security scan reports”即可查看，如圖12所示，對這些掃描結(jié)果還可以根據(jù)“IP地址”、掃描時間、安全評估、計算機名稱等進行升/降序排列，雙擊選中的記錄即可查看掃描的詳細報告。這些報告可以作為安全檢查的依據(jù)，通過對比加固前后的報告可以知道系統(tǒng)目前的安全情況。   

圖12

圖12 查看掃描報告

10.對多臺計算機進行掃描 

可以使用MBSA對網(wǎng)絡(luò)中多臺計算機進行掃描，在程序主界面中單擊“Scan multiple computers”，如圖13所示，其設(shè)置跟對單臺計算機的掃描設(shè)置和過程類似，就不贅述了。在進行“自動掃描”時，用來運行 MBSA 的帳戶也必須是管理員或者是本地管理員組的一個成員。在掃描多臺計算機的情況下，必須是每一臺計算機的管理員或者是一名域管理員，而且掃描計算機的135，139，445端口是開放的，如果沒有開放可以暫時關(guān)閉防火墻，掃描結(jié)束后再恢復防火墻。 

圖13

圖13對多臺計算機進行掃描

三、總結(jié)與體會  

本文詳細介紹了如何使用MBSA來掃描和修補系統(tǒng)存在的安全漏洞，通過使用MBSA可以很方便的發(fā)現(xiàn)系統(tǒng)以及所部署應(yīng)用方面存在的問題或者安全隱患，通過微軟提供的修正意見進行修復。只要能夠看懂MBSA上有關(guān)操作和說明即可進行安全漏洞掃描和加固，MBSA的確是一個好用的安全工具，美中不足的是目前MBSA僅僅提供德語、法語、英語和日語4種語言版本。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 從服務(wù)器滲透到獲取個人信息實戰(zhàn)
2. 暴風火速發(fā)布0day漏洞補丁(附下載地址)
3. iPlanet日志分析器日志文件HTML標記插入漏洞
4. Ethereal OSPF協(xié)議分析器緩沖器溢出漏洞