扫描实训漏洞检测工具mbsa

挂马检测工具  时间:2021-01-09  阅读:()

实训5.2

本节实训与思考的目 的是

(1)了解漏洞检测技术的基本概念和基本内容。

⑵学习在Windows环境中安装和使用MBSA软件

1工具/准备工作

在开始本实训之前请认真阅读本课程的相关内容。

需要准备一台运行Windows XP Professional操作系统的计算机并且带有浏览器能够访问因特网

2实训内容与步骤

(1)概念理解

1)请通过查阅有关资料简单叙述什么是“漏洞扫描”

通常是指基于漏洞数据库通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性

进行检测发现可利用的漏洞的 一种安全检测(渗透攻击)行为。

2)漏洞检测技术有基于应用的检测技术、基于 主机的检测技术、基于目标的检测技术和基于一网络的检测技术等几类。

3)你目前经常使用的杀病毒软件是 360杀病毒软件_

请分析该软件是否具备漏洞检测功能如果有请简单介绍之。

有漏洞检测功能及时检测修复可有效防止挂马、数据泄露和破坏等严重问题。

(2)下载和安装MBSA软件

登录因特网可以在微软的官方网站 (security/tools/default.mspx)上下载到最新版的 Microsoft基准安全分析器(MBSA Microsoft Baseline Security Analyzer) 软件用来识别安全方面的常见配置错误。

MBSA可以在Windows 2000/XP/Serve03等操作系统上运行 (不能用于扫描Windows 9x/ME操作系统)。下载后双击MBSA软件图标开始执行 MBSA的安装过程如图 5.5所示。

图5.5执行安装

按照“安装向导”的提示进行操作 即可完成安装过程。然后在“开始” >“所有程序”菜单中单击MBSA软件命令项(例如Microsoft Baseline Security Analyzer 1.2.1)或双击桌面上的 MBSA快捷图标就可打开MBSA主窗口。见图5.6所示。

MBSA主窗口的左边是

系统在主窗口右下方提示 MBSA已有新版本单击即可由其官方网站下载。些功能链接 点击后可在右边区域中看见对应的信息

3 扫描一台计算机

对一台计算机进行扫描是MBSA的基本功能具体操作步骤如下

步骤1 在Windows的“开始”菜单中单击“控制面板”命令再双击“系统”图标打开“系统属性”对话框并选择其中的“计算机名”选项卡如图5.7所示找到“完整的计算机名”和“工作组”项。

图5.6 MBSA主窗口

图5.7“计算机名”窗口

请记录 你在本次实训中所使用的计算机系统是

1____________________________________________________________________计算机名

2____________________________________________________________________工作组名

步骤2 返回MBSA窗口单击MBSA主窗口右下方的Scan a computer命令项或者单击主窗口左侧的Pick a computer to scan命令项将弹出Pick a computer to scan对话框见图5.8 。

步骤3 在对话框中正确设置扫描参数。

1 设定要扫描的对象。为指定要扫描的计算机 MBSA提供了两种方法

图5.8“扫描一台计算机”窗口

方法1 在Computer name文本框中输入计算机名称格式为“工作组名计算机名”。默认情况下 MBSA会显示本地计算机的名称。

方法2在IP addre s s文本框中输入计算机的IP地址。

在IP addre s s文本框中允许输入在同一个网段中的任意IP地址但不能输入跨网段的 IP否则会提示Computer not found 计算机没有找到 的信息。

2 设定安全报告的名称格式。每次扫描成功后 MBSA会将扫描结果以“安全报告”的形式自动地保存起来。MBSA 允许用户自行定义安全报告的文件名格式只要在Security report name文本框中输入文件格式即可。

MB S A提供两种默认的名称格式 “%D%-%C%%T% ” 域名-计算机名日期戳 和“%D%-%IP%%T%

” 域名-IP地址日期戳  。

3 设定扫描中要检测的项目。 MBSA可以检测包括Office 、 IIS等在内的多种微软软件产品的漏洞。在默认情况下无论计算机是否安装了以上软件 MBSA都要检测是否存在以上软件的漏洞这就影响了扫描时间和速度。基于这点考虑 MBSA提供了让用户自主选择检测项目的功能。只要用户选中 或取消Options 选项 中某个复选项就可让MBSA检测 或忽略 该项目。

允许用户自主选择的项目有

•Check for Windows vulnerabilities 检查Windows的漏洞

•Check for weak passwords 检查密码的安全性

•Check for IIS vulnerabilities 检查IIS系统的漏洞

•Check for SQL vulnerabilities 检查SQL Server的漏洞 等4项而MBSA会强制扫描其他项目 如 Office 软件的漏洞等 。

4 设定安全漏洞清单的下载途径。 MBSA的工作原理是 以一份包含了所有已发现的漏洞的详细信息

如什么软件隐含漏洞、漏洞存在的具体位置、漏洞的严重级别等  的安全漏洞清单为蓝本全面扫描计算机将计算机上安装的所有软件与安全漏洞清单进行对比。如果发现某个漏洞MBSA就会将其写入到安全报告中。因此要想让MBSA准确地检测出计算机上是否存在漏洞安全漏洞清单的内容是否为最新就至关重要了。

由于新的漏洞不断被发现所以我们要像更新防病毒软件的病毒库一样及时更新安全漏洞清单。 MBSA提供了两种更新方法

1连入因特网的计算机用户可以从微软官方网站上下载。微软会在其官方网站上及时发布最新的安全漏洞清单所以MBSA被默认设置为每一次扫描时自动链接到微软官方网站下载最新的安全漏洞清单。

如果用户已经下载了最新的安全漏洞清单则可取消“Check for security updates”复选项。否则应该选中此复选项 以确保安全漏洞清单的内容是最新的。

2从SUS So ftware Update Services,软件升级服务服务器上下载。有些局域网中架设了 SUS服务器所以此类用户可以选择此方法下载最新的安全漏洞清单只要选中 Use SUS Server复选框并在其下的文本框中输入S US的地址即可。

步骤4用户根据自身情况设置好各项参数后单击 Start Scan菜单MBSA开始对指定的计算机进行扫描。扫描过程中会显示一个进度条。

步骤5 :扫描完成后MBSA会将扫描的结果以安全报告的形式保存到“X\Docume nts and SecuritySca ns X:指Win dows的系统分区符 user name:是操作MBSA的用户名文件夹中。

步骤6 同时 MBSA还会自动弹出View security report对话窗 如图5.9 显示刚完成的安全报告的内容。

用户可以根据安全报告的Score列中不同颜色的图标来简单区分被扫描的计算机上哪些方面存在漏洞哪些方面需要改进如

•绿色的““图标表示该项目已经通过检测。

•红色或黄色的“x”图标表示该项目没有通过检测 即存在漏洞或安全隐患。

•蓝色的“ *”图标表示该项目虽然通过了检测但可以进行优化或者是由于某种原因 MBSA跳过了其中的某项检测。

•白色的“i”图标表示该项目虽然没有通过检测但问题不很严重只要进行简单的修改即可。但是更好的方法是查看检测项目的Result列中是否含有How to correct this 如何修正它选项。只要此选项存在用户就应该单击该选项。然后根据提供的解决方法或是下载相应的补丁程序或是修改相关的设置修正存在的问题。

图5.9扫描安全报告

请分析:在你完成的MBSA安全漏洞扫描中不同图标项目的个数分别是:

1_________________绿色““图标项目 个

2_______________________________________红色或黄色 “X图标项目个;

3_________________蓝色“*”图标项目:个

4__________________白色“i”图标项目个。

4 扫描多台计算机

此项功能是“扫描一台计算机”功能的延伸只是将扫描对象扩大到网络中的一个域或 IP地址段其工作原理与“扫描一台计算机”功能相同 即 以安全漏洞清单为蓝本对指定域 或IP地址段中的所有计算机逐一进行扫描。

具体的操作步骤如下

步骤1 :单击MBSA主窗口中的Scan more than one computer 或Pick multiple computer to scan 项将弹出Pick multiple computer to scan对话框见图5.10 。

图5.10“扫描多台计算机”窗口

在此 Security report name和Options处的设置可以参照上面操作进行。

不同的是在“指定要扫描的对象”方面要在Domain name文本框中输入要被扫描的域的名称或在

IP addre s s range文本框中输入要被扫描的 IP地址范围就能让MB SA扫描某个域或IP地址段中的所有计算机。

注意无论域或IP地址段 中的所有计算机安装的软件是否相同 MB SA都将依据Opti ons处的设置“一视同仁”地扫描每台计算机。

步骤2:设定好各项参数后单击 Start Scan菜单MBSA将依次扫描域或IP地址段中的每台计算机。完成扫描所需的时间与被扫描的计算机数量和设置的扫描项目有关。

步骤3:与“扫描一台计算机”功能不同的是扫描结束后将弹出 Unable to scan all computers对话窗在其中将列举没有扫描成功的计算机名 或IP地址及原因。扫描失败的原因有两种:

1 被扫描的计算机上的用户不是系统管理员。造成这种情况出现的原因主要有:用户没有以Admi ni strator的用户名登录操作MBSA的计算机上或者被扫描的计算机设置了登录密码。

2 被扫描的计算机不是Windows 2000/XP/Ser2®03系统或者不是工作站。造成这种情况岀现的原

因是:被扫描的计算机可能安装的是Windows 9X/ME操作系统或者安装了非Windows操作系统如Linux等或者被扫描的根本就不是计算机可能是其他网络设备如路由器等。

步骤4:在Unable to scan all computers对话窗的底部还会显示以下选项之一 以引导用户进行下一步操作:

1 若显示Continue选项:说明此次扫描中没有一台计算机扫描成功。单击此菜单后将返回到 MB S A的主窗口。

2 若显示Pick a security report to view选项:说明此次扫描中至少有一台计算机成功的完成扫描并生成了安全报告。单击此菜单后将弹岀Pick a security report to view对话窗。此时 MBSA将显示所有扫描成功的计算机的安全报告供用户选择查看其详细内容。

此时无论扫描成功的计算机是几台 MBSA都不会生成综合性的安全报告而是为每一台计算机生成各自单独的安全报告。

5选择/查看安全报告

单击主窗口右下方的View existing security reports 或单击主窗口右侧的Pick a security report to view选项将弹岀Pick a security report to view窗口 如图5.11 。

在此窗口中 MBSA列岀了已有的所有安全报告清单 包括安全报告名、生成日期等信息 单击安全报告名就可查看其详细内容。安全报告的具体内容、格式、操作方法与前述相同可以参照操作。

6 命令行用法与其他

MBSA不但能以GUI 图形用户界面运行还能在命令提示符下运行即执行其安装目录下的mbsacli.exe文件。mbsacli.exe文件不仅提供了丰富、灵活的参数而且还支持两种语法结构:一种是 MBSA 标准的命令行语法结构 即“mbsacli参数”格式。在命令提示符下运行mbsacli/ 命令可以显示详细的语法信息另一种是模拟补丁检查工具HFNetChk的命令行语法结构 即“mbsacli/hf参数”格式。运行mbsacli /hf/ 令可以显示详细的语法信息。mbsacli.exe还能用于各种脚本环境中如命令脚本 .bat或.cmd文件 、WSH脚本.vbs或.j s文件等。通过这些脚本的调用结合Windows系统的其他功能如:“计划任务”功能就能实现对计算机的灵活扫描。

此外在MBSA的安装目录下还有两个文本文件编辑它们能定制 MBSA的扫描过程和方式

图5.11查看安全报告

1 services.txt文件包含了MBSA要扫描的服务默认值为MSFTPSVC、 TlntSvr、W3 SVC和SMTPSVC服务。添加 或删除服务名可以让MBSA扫描 或忽略对该服务的检测。

2 noexpireok.txt文件包含了MBSA不扫描的账户名如 IUSR_* 、 IWAM_* 、 SUPPORT_* 、

SQLDebugger等。删除 或添加账户名可以让MBSA增加 或忽略对该账户的检测。

在使用MBSA过程中还需注意以下事项

1MBSA对Windows 、 Office 、 IIS等软件进行的扫描包括两种 “安全扫描”是指扫描以上软件是否进行了安全的配置如 IIS锁定工具是否已运行文件系统的类型是否都采用了NTF S格式等。

“更新扫描”是指扫描以上软件是否安装了最新的补丁程序。

2MBSA执行的是微软所谓的“基准扫描” 即只扫描和报告Windows Update定义的“关键更新”而不是扫描和报

告所有的更新。而且MBSA不会自动安装更新需用户另行操作完成。否则漏洞依然存在。

3MB S A是基于IE页面开发的而且IE的所有设置项都会影响MB SA的运行。

4 每次扫描后生成的安全报告是以明码格式保存到固定的文件夹中。因此容易被黑客利用从而找出计算机的漏洞所在。所以建议对安全报告应进行另行处理 如打印、备份到其他目录等 然后彻底删

除SecurityScans文件夹中的所有文件 以防被他人利用。

请记录 上述各项操作能够顺利完成吗如果不能请简单分析原因。

3实训总结

4实训评价教师

A400:36元/季,16.8/月kvm架构,线路优质,延迟低

A400互联是一家成立于2020年的商家,主要推行洛杉矶服务器采用kvm架构,线路优质,延迟低,稳定性高!全场产品对标腾讯云轻量,服务器线路有有美国洛杉矶cn2_gia、香港cn2+cmi,目前推行的vps服务器均为精心挑选的优质线路机房,A400互联推出了夏季优惠洛杉矶5折、香港7折促销活动,质量可靠,价格实惠!二:优惠码洛杉矶五折优惠码:20210620香港cn2七折优惠码:0710三、优惠方...

HostKvm 黑色星期五香港服务器终身六折 其余机房八折

HostKvm商家我们也不用多介绍,这个服务商来自国内某商家,旗下也有多个品牌的,每次看到推送信息都是几个服务商品牌一起推送的。当然商家还是比较稳定的,商家品牌比较多,这也是国内商家一贯的做法,这样广撒网。这次看到黑五优惠活动发布了,针对其主打的香港云服务器提供终身6折的优惠,其余机房服务器依然是8折,另还有充值50美元赠送5美元的优惠活动,有需要的可以看看。HostKvm是一个创建于2013年的...

如何低价香港服务器购买?有没有便宜的香港服务器推荐?

如何低价香港服务器购买?想要做一个个人博客,想用香港服务器,避免繁琐备案,性能不需要多高,只是记录一些日常而已,也没啥视频之类的东西,想问问各位大佬有没有低价的香港服务器推荐?香港距大陆近,相比美国服务器最大的优势在于延迟低,ping值低,但是带宽紧张,普遍都是1M,一般戏称其为“毛细血管”。同时价格普遍高,优质稳定的一般价格不菲。大厂云梯队阿里云、腾讯云两家都有香港服务器,要注意的是尽量不要选择...

挂马检测工具为你推荐
租服务器我想租服务器,请问会提供哪些服务?com域名空间我想注册个.com域名和买一个100M空间。网站域名一个网站要几个域名查询ip怎样查别人的ip地址?个人虚拟主机个人网站该购买什么类型虚拟主机?虚拟空间哪个好哪个网络服务商的虚拟空间服务比较好呢?jsp虚拟空间请问如何卖掉JSP虚拟主机山东虚拟主机400电话哪家代理商办理得比较好深圳虚拟主机深圳市虚拟主机深圳双线虚拟主机深圳主机合租深圳合租主机空推荐有哪?美国免费虚拟主机美国虚拟主机怎么样?美国虚拟主机那个比较好?
虚拟主机系统 域名出售 域名备案中心 cn域名个人注册 注册cn域名 cve-2014-6271 kdata tier ubuntu更新源 申请个人网页 电子邮件服务器 200g硬盘 cdn加速原理 美国堪萨斯 免费测手机号 支持外链的相册 最漂亮的qq空间 主机管理系统 英雄联盟台服官网 中国电信测速网站 更多