实训5.2
本节实训与思考的目 的是
(1)了解漏洞检测技术的基本概念和基本内容。
⑵学习在Windows环境中安装和使用MBSA软件
1工具/准备工作
在开始本实训之前请认真阅读本课程的相关内容。
需要准备一台运行Windows XP Professional操作系统的计算机并且带有浏览器能够访问因特网
2实训内容与步骤
(1)概念理解
1)请通过查阅有关资料简单叙述什么是“漏洞扫描”
通常是指基于漏洞数据库通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性
进行检测发现可利用的漏洞的 一种安全检测(渗透攻击)行为。
2)漏洞检测技术有基于应用的检测技术、基于 主机的检测技术、基于目标的检测技术和基于一网络的检测技术等几类。
3)你目前经常使用的杀病毒软件是 360杀病毒软件_
请分析该软件是否具备漏洞检测功能如果有请简单介绍之。
有漏洞检测功能及时检测修复可有效防止挂马、数据泄露和破坏等严重问题。
(2)下载和安装MBSA软件
登录因特网可以在微软的官方网站 (security/tools/default.mspx)上下载到最新版的 Microsoft基准安全分析器(MBSA Microsoft Baseline Security Analyzer) 软件用来识别安全方面的常见配置错误。
MBSA可以在Windows 2000/XP/Serve03等操作系统上运行 (不能用于扫描Windows 9x/ME操作系统)。下载后双击MBSA软件图标开始执行 MBSA的安装过程如图 5.5所示。
图5.5执行安装
按照“安装向导”的提示进行操作 即可完成安装过程。然后在“开始” >“所有程序”菜单中单击MBSA软件命令项(例如Microsoft Baseline Security Analyzer 1.2.1)或双击桌面上的 MBSA快捷图标就可打开MBSA主窗口。见图5.6所示。
MBSA主窗口的左边是
系统在主窗口右下方提示 MBSA已有新版本单击即可由其官方网站下载。些功能链接 点击后可在右边区域中看见对应的信息
3 扫描一台计算机
对一台计算机进行扫描是MBSA的基本功能具体操作步骤如下
步骤1 在Windows的“开始”菜单中单击“控制面板”命令再双击“系统”图标打开“系统属性”对话框并选择其中的“计算机名”选项卡如图5.7所示找到“完整的计算机名”和“工作组”项。
图5.6 MBSA主窗口
图5.7“计算机名”窗口
请记录 你在本次实训中所使用的计算机系统是
1____________________________________________________________________计算机名
2____________________________________________________________________工作组名
步骤2 返回MBSA窗口单击MBSA主窗口右下方的Scan a computer命令项或者单击主窗口左侧的Pick a computer to scan命令项将弹出Pick a computer to scan对话框见图5.8 。
步骤3 在对话框中正确设置扫描参数。
1 设定要扫描的对象。为指定要扫描的计算机 MBSA提供了两种方法
图5.8“扫描一台计算机”窗口
方法1 在Computer name文本框中输入计算机名称格式为“工作组名计算机名”。默认情况下 MBSA会显示本地计算机的名称。
方法2在IP addre s s文本框中输入计算机的IP地址。
在IP addre s s文本框中允许输入在同一个网段中的任意IP地址但不能输入跨网段的 IP否则会提示Computer not found 计算机没有找到 的信息。
2 设定安全报告的名称格式。每次扫描成功后 MBSA会将扫描结果以“安全报告”的形式自动地保存起来。MBSA 允许用户自行定义安全报告的文件名格式只要在Security report name文本框中输入文件格式即可。
MB S A提供两种默认的名称格式 “%D%-%C%%T% ” 域名-计算机名日期戳 和“%D%-%IP%%T%
” 域名-IP地址日期戳 。
3 设定扫描中要检测的项目。 MBSA可以检测包括Office 、 IIS等在内的多种微软软件产品的漏洞。在默认情况下无论计算机是否安装了以上软件 MBSA都要检测是否存在以上软件的漏洞这就影响了扫描时间和速度。基于这点考虑 MBSA提供了让用户自主选择检测项目的功能。只要用户选中 或取消Options 选项 中某个复选项就可让MBSA检测 或忽略 该项目。
允许用户自主选择的项目有
•Check for Windows vulnerabilities 检查Windows的漏洞
•Check for weak passwords 检查密码的安全性
•Check for IIS vulnerabilities 检查IIS系统的漏洞
•Check for SQL vulnerabilities 检查SQL Server的漏洞 等4项而MBSA会强制扫描其他项目 如 Office 软件的漏洞等 。
4 设定安全漏洞清单的下载途径。 MBSA的工作原理是 以一份包含了所有已发现的漏洞的详细信息
如什么软件隐含漏洞、漏洞存在的具体位置、漏洞的严重级别等 的安全漏洞清单为蓝本全面扫描计算机将计算机上安装的所有软件与安全漏洞清单进行对比。如果发现某个漏洞MBSA就会将其写入到安全报告中。因此要想让MBSA准确地检测出计算机上是否存在漏洞安全漏洞清单的内容是否为最新就至关重要了。
由于新的漏洞不断被发现所以我们要像更新防病毒软件的病毒库一样及时更新安全漏洞清单。 MBSA提供了两种更新方法
1连入因特网的计算机用户可以从微软官方网站上下载。微软会在其官方网站上及时发布最新的安全漏洞清单所以MBSA被默认设置为每一次扫描时自动链接到微软官方网站下载最新的安全漏洞清单。
如果用户已经下载了最新的安全漏洞清单则可取消“Check for security updates”复选项。否则应该选中此复选项 以确保安全漏洞清单的内容是最新的。
2从SUS So ftware Update Services,软件升级服务服务器上下载。有些局域网中架设了 SUS服务器所以此类用户可以选择此方法下载最新的安全漏洞清单只要选中 Use SUS Server复选框并在其下的文本框中输入S US的地址即可。
步骤4用户根据自身情况设置好各项参数后单击 Start Scan菜单MBSA开始对指定的计算机进行扫描。扫描过程中会显示一个进度条。
步骤5 :扫描完成后MBSA会将扫描的结果以安全报告的形式保存到“X\Docume nts and SecuritySca ns X:指Win dows的系统分区符 user name:是操作MBSA的用户名文件夹中。
步骤6 同时 MBSA还会自动弹出View security report对话窗 如图5.9 显示刚完成的安全报告的内容。
用户可以根据安全报告的Score列中不同颜色的图标来简单区分被扫描的计算机上哪些方面存在漏洞哪些方面需要改进如
•绿色的““图标表示该项目已经通过检测。
•红色或黄色的“x”图标表示该项目没有通过检测 即存在漏洞或安全隐患。
•蓝色的“ *”图标表示该项目虽然通过了检测但可以进行优化或者是由于某种原因 MBSA跳过了其中的某项检测。
•白色的“i”图标表示该项目虽然没有通过检测但问题不很严重只要进行简单的修改即可。但是更好的方法是查看检测项目的Result列中是否含有How to correct this 如何修正它选项。只要此选项存在用户就应该单击该选项。然后根据提供的解决方法或是下载相应的补丁程序或是修改相关的设置修正存在的问题。
图5.9扫描安全报告
请分析:在你完成的MBSA安全漏洞扫描中不同图标项目的个数分别是:
1_________________绿色““图标项目 个
2_______________________________________红色或黄色 “X图标项目个;
3_________________蓝色“*”图标项目:个
4__________________白色“i”图标项目个。
4 扫描多台计算机
此项功能是“扫描一台计算机”功能的延伸只是将扫描对象扩大到网络中的一个域或 IP地址段其工作原理与“扫描一台计算机”功能相同 即 以安全漏洞清单为蓝本对指定域 或IP地址段中的所有计算机逐一进行扫描。
具体的操作步骤如下
步骤1 :单击MBSA主窗口中的Scan more than one computer 或Pick multiple computer to scan 项将弹出Pick multiple computer to scan对话框见图5.10 。
图5.10“扫描多台计算机”窗口
在此 Security report name和Options处的设置可以参照上面操作进行。
不同的是在“指定要扫描的对象”方面要在Domain name文本框中输入要被扫描的域的名称或在
IP addre s s range文本框中输入要被扫描的 IP地址范围就能让MB SA扫描某个域或IP地址段中的所有计算机。
注意无论域或IP地址段 中的所有计算机安装的软件是否相同 MB SA都将依据Opti ons处的设置“一视同仁”地扫描每台计算机。
步骤2:设定好各项参数后单击 Start Scan菜单MBSA将依次扫描域或IP地址段中的每台计算机。完成扫描所需的时间与被扫描的计算机数量和设置的扫描项目有关。
步骤3:与“扫描一台计算机”功能不同的是扫描结束后将弹出 Unable to scan all computers对话窗在其中将列举没有扫描成功的计算机名 或IP地址及原因。扫描失败的原因有两种:
1 被扫描的计算机上的用户不是系统管理员。造成这种情况出现的原因主要有:用户没有以Admi ni strator的用户名登录操作MBSA的计算机上或者被扫描的计算机设置了登录密码。
2 被扫描的计算机不是Windows 2000/XP/Ser2®03系统或者不是工作站。造成这种情况岀现的原
因是:被扫描的计算机可能安装的是Windows 9X/ME操作系统或者安装了非Windows操作系统如Linux等或者被扫描的根本就不是计算机可能是其他网络设备如路由器等。
步骤4:在Unable to scan all computers对话窗的底部还会显示以下选项之一 以引导用户进行下一步操作:
1 若显示Continue选项:说明此次扫描中没有一台计算机扫描成功。单击此菜单后将返回到 MB S A的主窗口。
2 若显示Pick a security report to view选项:说明此次扫描中至少有一台计算机成功的完成扫描并生成了安全报告。单击此菜单后将弹岀Pick a security report to view对话窗。此时 MBSA将显示所有扫描成功的计算机的安全报告供用户选择查看其详细内容。
此时无论扫描成功的计算机是几台 MBSA都不会生成综合性的安全报告而是为每一台计算机生成各自单独的安全报告。
5选择/查看安全报告
单击主窗口右下方的View existing security reports 或单击主窗口右侧的Pick a security report to view选项将弹岀Pick a security report to view窗口 如图5.11 。
在此窗口中 MBSA列岀了已有的所有安全报告清单 包括安全报告名、生成日期等信息 单击安全报告名就可查看其详细内容。安全报告的具体内容、格式、操作方法与前述相同可以参照操作。
6 命令行用法与其他
MBSA不但能以GUI 图形用户界面运行还能在命令提示符下运行即执行其安装目录下的mbsacli.exe文件。mbsacli.exe文件不仅提供了丰富、灵活的参数而且还支持两种语法结构:一种是 MBSA 标准的命令行语法结构 即“mbsacli参数”格式。在命令提示符下运行mbsacli/ 命令可以显示详细的语法信息另一种是模拟补丁检查工具HFNetChk的命令行语法结构 即“mbsacli/hf参数”格式。运行mbsacli /hf/ 令可以显示详细的语法信息。mbsacli.exe还能用于各种脚本环境中如命令脚本 .bat或.cmd文件 、WSH脚本.vbs或.j s文件等。通过这些脚本的调用结合Windows系统的其他功能如:“计划任务”功能就能实现对计算机的灵活扫描。
此外在MBSA的安装目录下还有两个文本文件编辑它们能定制 MBSA的扫描过程和方式
图5.11查看安全报告
1 services.txt文件包含了MBSA要扫描的服务默认值为MSFTPSVC、 TlntSvr、W3 SVC和SMTPSVC服务。添加 或删除服务名可以让MBSA扫描 或忽略对该服务的检测。
2 noexpireok.txt文件包含了MBSA不扫描的账户名如 IUSR_* 、 IWAM_* 、 SUPPORT_* 、
SQLDebugger等。删除 或添加账户名可以让MBSA增加 或忽略对该账户的检测。
在使用MBSA过程中还需注意以下事项
1MBSA对Windows 、 Office 、 IIS等软件进行的扫描包括两种 “安全扫描”是指扫描以上软件是否进行了安全的配置如 IIS锁定工具是否已运行文件系统的类型是否都采用了NTF S格式等。
“更新扫描”是指扫描以上软件是否安装了最新的补丁程序。
2MBSA执行的是微软所谓的“基准扫描” 即只扫描和报告Windows Update定义的“关键更新”而不是扫描和报
告所有的更新。而且MBSA不会自动安装更新需用户另行操作完成。否则漏洞依然存在。
3MB S A是基于IE页面开发的而且IE的所有设置项都会影响MB SA的运行。
4 每次扫描后生成的安全报告是以明码格式保存到固定的文件夹中。因此容易被黑客利用从而找出计算机的漏洞所在。所以建议对安全报告应进行另行处理 如打印、备份到其他目录等 然后彻底删
除SecurityScans文件夹中的所有文件 以防被他人利用。
请记录 上述各项操作能够顺利完成吗如果不能请简单分析原因。
3实训总结
4实训评价教师
A400互联是一家成立于2020年的商家,主要推行洛杉矶服务器采用kvm架构,线路优质,延迟低,稳定性高!全场产品对标腾讯云轻量,服务器线路有有美国洛杉矶cn2_gia、香港cn2+cmi,目前推行的vps服务器均为精心挑选的优质线路机房,A400互联推出了夏季优惠洛杉矶5折、香港7折促销活动,质量可靠,价格实惠!二:优惠码洛杉矶五折优惠码:20210620香港cn2七折优惠码:0710三、优惠方...
HostKvm商家我们也不用多介绍,这个服务商来自国内某商家,旗下也有多个品牌的,每次看到推送信息都是几个服务商品牌一起推送的。当然商家还是比较稳定的,商家品牌比较多,这也是国内商家一贯的做法,这样广撒网。这次看到黑五优惠活动发布了,针对其主打的香港云服务器提供终身6折的优惠,其余机房服务器依然是8折,另还有充值50美元赠送5美元的优惠活动,有需要的可以看看。HostKvm是一个创建于2013年的...
如何低价香港服务器购买?想要做一个个人博客,想用香港服务器,避免繁琐备案,性能不需要多高,只是记录一些日常而已,也没啥视频之类的东西,想问问各位大佬有没有低价的香港服务器推荐?香港距大陆近,相比美国服务器最大的优势在于延迟低,ping值低,但是带宽紧张,普遍都是1M,一般戏称其为“毛细血管”。同时价格普遍高,优质稳定的一般价格不菲。大厂云梯队阿里云、腾讯云两家都有香港服务器,要注意的是尽量不要选择...