dcsimg

使用MBSA刷新Windows框

Microsoft的Baseline 安全 Analyzer没有与公司的任何产品打包在一起,但是它是检查网络上系统中的漏洞和过期补丁的宝贵工具。

Windows计算机上的安全性管理可能很麻烦。即使在只有几个工作站运行少量应用程序的简单环境中,仅紧跟最新的补丁程序,漏洞和最佳实践也可能会占用系统管理员的大部分时间。现在,如果您有50个工作站怎么办?还是100?如您所知,星期二补丁开始感觉就像世界的尽头。

Microsoft基准安全分析器(MBSA)可以提供帮助。使用MBSA,您可以在办公桌上舒适地扫描工作站的整个子网,以查找缺少的安全更新和常见漏洞。扫描后,MBSA不仅会为您提供每台计算机上发现的问题的报告,而且还会提供有关修复问题的分步说明。

MBSA并不包含在任何Microsoft产品中,但您可以从以下位置免费下载 http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx。安装后,您可以立即通过非常简单的GUI或命令行(Mbsacli.exe)开始扫描网络上的工作站和服务器。

无论您扫描的是单台计算机还是网络上的所有计算机,可用选项都是相同的。例如,您可以选择检查Windows,SQL和/或IIS管理漏洞,弱密码和安全更新。 MBSA在每台扫描的计算机上都需要Windows Update Agent和Windows Installer的当前版本,但是MBSA可以选择安装或更新这两个版本。

如果使用Windows Server Update Services(WSUS)进行补丁程序管理,则需要确定是否要MBSA使用托管的WSUS服务器检查更新或是否应使用Microsoft Update。如果选择本地WSUS服务器,则MBSA的报告将仅反映您在WSUS中特别批准的缺失更新,而将忽略其他缺失更新。如果未将未扫描的计算机分配给特定的托管服务器,则扫描将失败。

准备,设置,扫描

从GUI启动扫描很简单。要扫描特定的计算机,只需单击主菜单中的“选择要扫描的计算机”链接,键入名称或IP地址,选择上述扫描选项,然后单击“开始扫描”。扫描将立即开始,但是所需的时间长短取决于您选择的选项和安装的软件。

扫描一组计算机非常简单。只需从主菜单中单击“选择要扫描的多台计算机”,然后输入目标工作站的域名或IP地址范围。选择适当的选项,单击“开始扫描”,然后设置。

如前所述,命令行迷有一个单独的工具可用。默认情况下,Mbsacli.exe安装在C:\ Program Files \ Microsoft基准安全分析器 2 \中,并且为管理员提供了对扫描过程的更精细控制。例如,使用/ nd开关,管理员可以告诉MBSA在扫描过程中不要与任何Microsoft网站联系,从而模拟脱机扫描。使用mbsacli.exe /?查看可用参数的完整列表,或签出 http://msdn2.microsoft.com/en-us/library/aa302360.aspx 以获得部分开关列表。

开始扫描之前,请记住以下几点。首先,用于执行扫描的帐户需要具有对扫描工作站和这些扫描的业务端计算机的管理访问权限。如果使用的是GUI,则可能需要使用“运行方式”命令将其打开以选择适当的帐户。使用命令行工具,您可以使用/ u和/ p开关来指定管理帐户的用户名和密码。

MBSA结果报告
图1. MBSA结果

其次,截至撰写本文时,MBSA的当前版本(2.0.1)不支持Windows Vista的漏洞扫描。尽管您可以安装软件并启动在Vista上的扫描(尽管许可协议中没有特别提及),但Microsoft表示您必须等待下一个版本才能获得全面支持。 2.1版现在处于beta版,计划于第三季度发布。有关更多信息,请查看 http://support.microsoft.com/kb/931943/.

了解结果

MBSA的报告是该应用程序的基础。扫描完成后,您可以通过在GUI中单击“选择要查看的安全报告”来查看结果报告。该工具会维护您的计算机执行的所有扫描的列表,您可以按日期,名称,IP地址和评估对它们进行排序。单击计算机名称以查看特定的报告。

报告将根据所选的选项和安装的软件而有所不同,但是总体布局对于所有对象都是相同的。在报告的顶部,您将看到被扫描计算机的名称和IP地址,扫描时间和日期,用于执行扫描的MBSA版本,所使用的安全更新目录以及常规扫描评估。

在常规信息下方,MBSA给出了各种扫描结果的列表。通过安全更新扫描结果,管理员可以查看各种已安装的Microsoft产品缺少的更新的列表。它包括有关扫描哪些项目的常规信息以及有关如何纠正发现的任何问题的信息。

MBSA结果
图2. MBSA显示缺少的更新“结果详细信息”链接很容易成为MBSA报告中最有价值的部分。使用该链接,您将看到丢失的更新的特定列表,以及指向更新信息的链接。更好的是,您还可以直接从此窗口下载所需的补丁程序。但是,如果缺少许多修补程序,最好使用Windows Update批量下载这些修补程序,而不是使用这些一次性链接来逐个安装它们。

在“安全更新”部分之后,MBSA列出了在扫描的计算机上发现的各种其他管理漏洞。这些可能包括密码薄弱的帐户列表,共享列表或特定应用程序常见的其他漏洞。与安全更新一样,MBSA通过报告上的链接为每个漏洞提供特定信息,因此管理员可以立即开始纠正这些问题。鉴于影响该星球上每个操作系统和应用程序的补丁程序和漏洞数量众多,管理员应将其归功于自己,他们可以通过将常规MBSA扫描作为其安全策略的核心部分来简化生活。

资源:

本文最初于2007年8月30日发布
通过网络更新新闻获取最新消息