如何使用 Microsoft 基准安全分析器
本页内容
 | 目标 |
| 适用范围 |
| 如何使用本模块 |
| 摘要 |
| 开始操作之前 |
| 必备知识 |
| 扫描安全更新和修补程序 |
| 扫描多个系统的更新和修补程序 |
| SQL Server 和 MSDE 详细信息 |
| 扫描安全配置 |
| 其他信息 |
| 其他资源 |
目标
使用本模块可以实现:
| • | 扫描您的计算机以确定缺少的安全更新。 |
| • | 检查是否存在不安全的默认配置设置。 |
适用范围
本模块适用于下列产品和技术:
| • | 运行 Microsoft® Windows® 2000 Server 或 Microsoft Windows Server™ 2003 操作系统的服务器 |
| • | 运行 Windows 2000(所有版本)、Windows XP Professional 或 Windows Server 2003 的开发工作站 |
| • | Microsoft SQL Server™ 2000,包括 Desktop Edition (MSDE) |
如何使用本模块
为了充分理解本模块内容,请:
| • | 务必熟悉 Windows 安全性概念。 |
摘要
Microsoft 基准安全分析器 (MBSA) 可以检查操作系统和 SQL Server 更新。MBSA 还可以扫描计算机上的不安全配置。检查 Windows 服务包和修补程序时,它将 Windows 组件(如 Internet 信息服务 (IIS) 和 COM+)也包括在内。MBSA 使用一个 XML 文件作为现有更新的清单。该 XML 文件包含在存档 Mssecure.cab 中,由 MBSA 在运行扫描时下载,也可以下载到本地计算机上,或通过网络服务器使用。
本模块描述了如何安装 MBSA,以及如何使用它来改进运行 Windows 操作系统的计算机的安全性。
开始操作之前
使用 Mbsasetup.msi 将 MBSA 安装到工具目录中。将文件 Mssecure.cab 复制到 MBSA 安装目录中。
| • | 下载 MBSA。从 Microsoft 基准安全分析器上的 MBSA 主页下载 MBSA。 |
| • | MBSA 更新。如果您所使用的计算机可以访问 Internet,则可以在需要时自动下载最新的安全 XML 文件。如果您的计算机无法访问 Internet,则需要使用带签名的 CAB 从以下位置下载最新的 XML 文件:http://download.microsoft.com/download/xml/security/1.0/NT5/EN-US/mssecure.cab(英文) 对 CAB 文件进行签名是为了确保它没有被修改。必须解压它,并将其存储到 MBSA 所在的同一个文件夹中。 注意 要查看最新的 XML 文件而不下载它,请使用以下位置:http://www.microsoft.com/technet/security/search/mssecure.xml(英文) |
| • | 默认安装目录:\Program Files\Microsoft Baseline Security Analyzer\ 注意 您需要从该目录运行命令。MBSA 不会为您创建环境变量。 |
必备知识
使用此模块前,您必须了解以下信息:
| • | 可以以图形用户界面 (GUI) 或命令行的方式使用 MBSA。GUI 可执行程序为 Mbsa.exe,命令行可执行程序为 Mbsacli.exe。 | ||||||||||||
| • | MBSA 使用端口 138 和 139 执行扫描。 | ||||||||||||
| • | MBSA 需要对扫描的计算机具有管理员特权。选项 /u (用户名)和 /p (密码) 可用于指定运行扫描的用户名。请不要将用户名和密码存储到命令文件或脚本这样的文本文件中。 | ||||||||||||
| • | MBSA 需要以下软件:
|
扫描安全更新和修补程序
可以运行带选项的 Mbsa.exe 和 Mbsacli.exe 来验证安全修补程序的存在。
使用图形界面
按照以下说明使用 MBSA GUI 工具。
| • | 使用 MBSA GUI 扫描更新和修补程序
|
GUI 的优点是在扫描本地计算机后,会立即打开报告。本部分稍后将说明有关如何解读报告的更多详细信息。
使用命令行 (Mbsacli.exe)
要使用命令行工具 (Mbsacli.exe) 检查安全更新和修补程序,请从命令窗口中运行以下命令。这会扫描具有所提供的 IP 地址的指定计算机,并检查所缺少的更新:
mbsacli /i 192.168.195.137 /n OS+IIS+SQL+PASSWORD
成功的扫描将产生类似于以下所示的结果:
Scanning... [ ] 0 o[..........] 1 of 1 computer scan(s) complete. Scan Complete. Computer Name, IP Address, Assessment, Report Name --------------------------------------------------- Workgroup\SECNETSQL, 192.168.195.137, Severe Risk, Workgroup - SECNETSQL (04-07- 2003 03-01 PM)
可以使用 Mbsacli.exe 查看报告,但不推荐这么做,原因是使用 GUI 更容易得到修补程序的详细信息。使用下面的命令,可以通过 Mbsacli.exe 查看扫描报告:
mbsacli /ld "SecurityReportFile.xml"
分析输出
在运行 Mbsacli.exe 命令的计算机上,将生成报告文件,文件位于登录用户的配置文件目录 (%userprofile%) 中。查看这些报告的结果,最方便的方法是使用 MBSA 的 GUI 模式。
扫描多个系统的更新和修补程序
还可以使用 MBSA 扫描多台计算机。要这么做,请使用 /r 命令行开关,如下所示。
mbsacli /r 192.168.195.130-192.168.195.254 /n OS+IIS+SQL+PASSWORD 上面的命令将扫描 192.168.195.130 到 192.168.195.254 范围内的所有计算机。
要扫描域中的所有计算机,请以如下所示的方法使用 /d 选项:
mbsacli /d DOMAINNAME /n OS+IIS+SQL+PASSWORD
SQL Server 和 MSDE 详细信息
SQL Server(包括 MSDE)实例将被分别扫描,并分别进行报告。各个实例用“实例名称”标记,如图 1 中所示。
图 1
SQL Server 和 MSDE 详细信息
扫描安全配置
除扫描缺少的安全更新外,MBSA 还可以扫描不安全的系统配置。有关这种扫描所检查的内容的详细列表,请参阅 MBSA 文档基准安全分析器。
安全配置扫描可以分下列阶段进行
| • | 执行扫描。 |
| • | 分析扫描。 |
| • | 修正所发现的问题。 |
下面将对这些阶段进行说明。
执行扫描
运行 MBSA 并在执行扫描时取消选中“Check for security updates”(检查安全更新)。
分析扫描
生成的报告类似于前面所执行的修补程序扫描所生成的报告。唯一的区别是当发现问题时,将显示“How to correct this”(如何更正)链接。单击该链接时,将显示一个包含所发现问题的详细信息、该问题的解决方案以及修正该问题的说明的页面。
请将问题详细信息与安全策略进行比较,并在您的策略无法解决该问题的情况下遵循说明。
修正发现的问题
选择链接“How to correct this”(如何更正)。在生成的页中,解决方案和说明解释了修正问题所需采取的步骤。
其他信息
下列信息有助于对扫描错误进行故障排除,或解释扫描之间不一致的地方。
安全更新检查后的错误确认
MBSA 可能会报告未安装某更新,但实际上已完成了更新或采取了安全公告中记录的步骤。这种错误报告的原因有两种:
1. | 所扫描的文件是使用与安全公告无关的安装更新的。例如,同一程序的不同版本所共享的文件,可以由更新的版本更新。MBSA 无法识别新的版本,由于该版本不是预期的,它将报告缺少更新。 |
2. | 某些安全公告不是由文件更新而是由无法验证的配置更改解决的。这些类型的标志将显示为“注意”或“警告”消息,并以黄色 X 标记。 |
对于未来的扫描,应当记录并忽略二者。
执行远程扫描的要求
MBSA 使用下列网络服务扫描计算机:
| • | Windows NT 4.0 SP4 和更高版本、Windows 2000 或 Windows XP(只能对使用简单文件共享的 Windows XP 计算机执行本地扫描) |
| • | IIS 4.0、5.0(执行 IIS 漏洞检查时需要) |
| • | SQL Server 7.0、2000(进行 SQL 漏洞检查时需要) |
| • | 必须安装或启用以下服务:Server 服务、Remote Registry 服务、File & Print Sharing(文件和打印共享) |
如果这些服务中有任何服务不可用,或者管理共享 (C$) 不可访问,将在扫描过程中导致错误。
密码扫描
MBSA 执行的密码扫描可能会花很长时间,具体取决于计算机上的用户帐户数目。密码检查将枚举所有用户帐户,并使用常见的密码陷阱(如与用户名相同的密码)执行若干次密码更改尝试。用户需要在扫描网络上的域控制器之前禁用此检查。有关 MBSA 密码检查的详细信息,请参阅 TechNet 基准安全分析器上的 MBSA 白皮书中的主题“本地账户密码”。
Mbsa.exe 和 Mbsacli.exe 之间的区别
了解两个 MBSA 客户端的默认选项之间的区别很重要:GUI 工具 Mbsa.exe 和命令行工具 Mbsacli.exe。本模块前面给出的示例将默认选项也考虑在内。
默认情况下,MBSA GUI 调用 /nosum、/v 和 /baseline。以下是这些选项的详细信息:
/nosum 安全更新检查不测试文件校验和。
/v 显示安全更新原因代码。
/baseline 仅检查基准安全更新。
MBSA 命令行不调用任何选项,并运行默认扫描。
其他资源
Microsoft 基准安全分析器上的 MBSA 主页是获取有关 Microsoft 基准安全分析器的最新信息的最佳资源。