实训5.2安全检测技术本节实训与思考的目 的是:(1) 理解漏洞检测技术的基本概念和基本内容2) 学习在Windows环境中安装和使用MBSA软件1 工具/准备工作在开始本实训之前,请认真阅读本课程的有关内容需要准备一台运营Windows XP Professional操作系统的计算机,并且带有浏览器,可以访问因特网2 实训内容与环节(1) 概念理解1) 请通过查阅有关资料,简朴论述什么是“漏洞扫描”?一般是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可运用的漏洞的 一种安全检测(渗入袭击)行为2) 漏洞检测技术有基于应用的检测技术、基于 主机的检测技术 、基于 目的的检测技术 和基于_网络的检测技术 等几类3) 你目前常常使用的杀病毒软件是: 360杀病毒软件 _,请分析该软件与否具有漏洞检测功能?如果有,请简朴简介之有漏洞检测功能,及时检测修复可有效避免挂马、数据泄露和破坏等严重问题2) 下载和安装MBSA软件登录因特网,可以在微软的官方网站 () 上下载到最新版的Microsoft 基准安全分析器 (MBSA,Microsoft Baseline Security Analyzer) 软件,用来辨认安全面的常用配备错误。
MBSA可以在Windows ∕XP∕Server 等操作系统上运营 (不能用于扫描Windows 9x/ME操作系统) 下载后,双击MBSA软件图标,开始执行MBSA的安装过程,如图5.5所示图5.5 执行安装按照“安装向导”的提示进行操作,即可完毕安装过程然后,在“开始”>“所有程序”菜单中单击MBSA软件命令项 (例如:Microsoft Baseline Security Analyzer 1.2.1) ,或双击桌面上的MBSA快捷图标,就可打开MBSA主窗口见图5.6所示系统在主窗口右下方提示MBSA已有新版本,单击即可由其官方网站下载MBSA主窗口的左边是某些功能链接,点击后可在右边区域中看见相应的信息3) 扫描一台计算机对一台计算机进行扫描是MBSA的基本功能,具体操作环节如下:环节1:在Windows的“开始”菜单中单击“控制面板”命令,再双击“系统”图标,打开“系统属性”对话框,并选择其中的“计算机名”选项卡,如图5.7所示,找到“完整的计算机名”和“工作组”项图5.6 MBSA主窗口图5.7 “计算机名”窗口请记录:你在本次实训中所使用的计算机系统是:1) 计算机名:_________________________________________________________2) 工作组名:_________________________________________________________环节2:返回MBSA窗口,单击MBSA主窗口右下方的Scan a computer命令项,或者单击主窗口左侧的Pick a computer to scan命令项,将弹出Pick a computer to scan对话框 (见图5.8)。
环节3:在对话框中对的设立扫描参数1) 设定要扫描的对象为指定要扫描的计算机,MBSA提供了两种措施:图5.8 “扫描一台计算机”窗口措施1:在Computer name文本框中输入计算机名称,格式为“工作组名\计算机名”默认状况下,MBSA会显示本地计算机的名称措施2:在IP address文本框中输入计算机的IP地址在IP address文本框中容许输入在同一种网段中的任意IP地址,但不能输入跨网段的IP,否则会提示Computer not found (计算机没有找到) 的信息2) 设定安全报告的名称格式每次扫描成功后,MBSA会将扫描成果以“安全报告”的形式自动地保存起来MBSA容许顾客自行定义安全报告的文献名格式,只要在Security report name文本框中输入文献格式即可MBSA提供两种默认的名称格式:“%D% - %C% (%T%) ”(域名-计算机名 (日期戳) ) 和“%D% - %IP% (%T%) ”(域名-IP地址 (日期戳) ) 3) 设定扫描中要检测的项目MBSA可以检测涉及Office、IIS等在内的多种微软软件产品的漏洞在默认状况下,无论计算机与否安装了以上软件,MBSA都要检测与否存在以上软件的漏洞,这就影响了扫描时间和速度。
基于这点考虑,MBSA提供了让顾客自主选择检测项目的功能只要顾客选中 (或取消) Options (选项) 中某个复选项,就可让MBSA检测 (或忽视) 该项目容许顾客自主选择的项目有:● Check for Windows vulnerabilities (检查Windows的漏洞)● Check for weak passwords (检查密码的安全性)● Check for IIS vulnerabilities (检查IIS系统的漏洞)● Check for SQL vulnerabilities (检查SQL Server的漏洞)等4项,而MBSA会强制扫描其她项目 (如:Office软件的漏洞等) 4) 设定安全漏洞清单的下载途径MBSA的工作原理是:以一份涉及了所有已发现的漏洞的具体信息 (如:什么软件隐含漏洞、漏洞存在的具体位置、漏洞的严重级别等) 的安全漏洞清单为蓝本,全面扫描计算机,将计算机上安装的所有软件与安全漏洞清单进行对比如果发现某个漏洞,MBSA就会将其写入到安全报告中因此,要想让MBSA精确地检测出计算机上与否存在漏洞,安全漏洞清单的内容与否为最新就至关重要了。
由于新的漏洞不断被发现,因此我们要像更新防病毒软件的病毒库同样,及时更新安全漏洞清单MBSA提供了两种更新措施:1) 连入因特网的计算机顾客可以从微软官方网站上下载微软会在其官方网站上及时发布最新的安全漏洞清单,因此MBSA被默认设立为每一次扫描时自动链接到微软官方网站下载最新的安全漏洞清单如果顾客已经下载了最新的安全漏洞清单,则可取消“Check for security updates”复选项否则应当选中此复选项,以保证安全漏洞清单的内容是最新的2) 从SUS (Software Update Services,软件升级服务) 服务器上下载有些局域网中架设了SUS服务器,因此此类顾客可以选择此措施下载最新的安全漏洞清单,只要选中Use SUS Server复选框,并在其下的文本框中输入SUS的地址即可环节4:顾客根据自身状况设立好各项参数后,单击Start Scan菜单,MBSA开始对指定的计算机进行扫描扫描过程中会显示一种进度条环节5:扫描完毕后,MBSA会将扫描的成果以安全报告的形式保存到“X:\Documents and Settings\username\SecurityScans” (X:指Windows的系统分区符,username:是操作MBSA的顾客名) 文献夹中。
环节6:同步,MBSA还会自动弹出View security report对话窗 (如图5.9) ,显示刚完毕的安全报告的内容顾客可以根据安全报告的Score列中不同颜色的图标来简朴辨别被扫描的计算机上哪些方面存在漏洞,哪些方面需要改善,如:● 绿色的“√”图标表达该项目已经通过检测● 红色 (或黄色) 的“×”图标表达该项目没有通过检测,即存在漏洞或安全隐患 ● 蓝色的“*”图标表达该项目虽然通过了检测但可以进行优化,或者是由于某种因素MBSA跳过了其中的某项检测● 白色的“i”图标表达该项目虽然没有通过检测,但问题不很严重,只要进行简朴的修改即可但是,更好的措施是查看检测项目的Result列中与否具有How to correct this (如何修正它) 选项只要此选项存在,顾客就应当单击该选项然后根据提供的解决措施,或是下载相应的补丁程序,或是修改有关的设立,修正存在的问题图5.9 扫描安全报告请分析:在你完毕的MBSA安全漏洞扫描中,不同图标项目的个数分别是:1) 绿色“√”图标项目:__________个;2) 红色 (或黄色) “×”图标项目:__________个;3) 蓝色“*”图标项目:__________个;4) 白色“i”图标项目:__________个。
4) 扫描多台计算机此项功能是“扫描一台计算机”功能的延伸,只是将扫描对象扩大到网络中的一种域或IP地址段,其工作原理与“扫描一台计算机”功能相似,即:以安全漏洞清单为蓝本,对指定域 (或IP地址段) 中的所有计算机逐个进行扫描具体的操作环节如下:环节1:单击MBSA主窗口中的Scan more than one computer (或Pick multiple computer to scan) 项,将弹出Pick multiple computer to scan对话框 (见图5.10) 图5.10 “扫描多台计算机”窗口在此,Security report name和Options处的设立可以参照上面操作进行不同的是,在“指定要扫描的对象”方面,要在Domain name文本框中输入要被扫描的域的名称,或在IP address range文本框中输入要被扫描的IP地址范畴,就能让MBSA扫描某个域 (或IP地址段) 中的所有计算机注意,无论域 (或IP地址段) 中的所有计算机安装的软件与否相似,MBSA都将根据Options处的设立“一视同仁”地扫描每台计算机环节2:设定好各项参数后单击Start Scan菜单,MBSA将依次扫描域 (或IP地址段) 中的每台计算机。
完毕扫描所需的时间与被扫描的计算机数量和设立的扫描项目有关环节3:与“扫描一台计算机”功能不同的是,扫描结束后,将弹出Unable to scan all computers对话窗,在其中将列举没有扫描成功的计算机名 (或IP地址) 及因素扫描失败的因素有两种:1) 被扫描的计算机上的顾客不是系统管理员导致这种状况浮现的因素重要有:顾客没有以Administrator的顾客名登录操作MBSA的计算机上;或者,被扫描的计算机设立了登录密码2) 被扫描的计算机不是Windows ∕XP∕Server 系统,或者不是工作站导致这种状况浮现的因素是:被扫描的计算机也许安装的是Windows 9X/ME操作系统,或者安装了非Windows操作系统,如Linux等;或者,被扫描的主线就不是计算机,也许是其她网络设备,如路由器等环节4:在Unable to scan all computers对话窗的底部还会显示如下选项之一,以引导顾客进行下一步操作:1) 若显示Continue选项:阐明本次扫描中没有一台计算机扫描成功单击此菜单后将返回到MBSA的主窗口2) 若显示Pick a security report to view选项:阐明本次扫描中至少有一台计算机成功的完毕扫描并生成了安全报告。
单击此菜单后将弹出Pick a security report to view对话窗此时,MBSA将显示所有扫描成功的计算机的安全报告,供顾客选择查看其具体内容此时,无论扫描成功的计算机是几台,MBSA都不会生成综合性的安全报告,而是为每一台计算机生成各自单独的安全报告5) 选择∕查看安全报告单击主窗口右下方的View existing security reports (或单击主窗口右侧的Pick 。