前言

Windows系统的“漏洞”就像它的GUI（图形用户接口）界面一样“举世闻名”，几乎每个星期都有新的漏洞被发现。这些漏洞常被计算机病毒和黑客们用来非法入侵计算机，进行大肆破坏。虽然微软会及时发布修补程序，但是发布时间是随机的，而且这些漏洞会因Windows软件版本的不同而发生变化，这就使得完全修补所有漏洞成为每个Windows用户的头号难题。

解决这个难题的简单方法就是：利用特定的软件对Windows系统进行扫描，检查是否存在漏洞？哪些方面存在漏洞？以便及时修补。

这类软件有很多，在此笔者推荐一款微软开发的免费软件──MBSA（Microsoft Baseline Security Analyzer，微软基准安全分析器），该软件能对Windows、Office、IIS、SQL Server等软件进行安全和更新扫描（如图1），扫描完成后会用“X”将存在的漏洞标示出来，并提供相应的解决方法来指导用户进行修补。

使用手记

MBSA只能在Windows 2000∕XP∕Server 2003系统上运行。在微软的官方网站上可以下载到最新版的MBSA，而且只要按照“安装向导”的提示操作即可完成安装过程。安装完成后，依次单击“开始”|“程序”|“Microsoft Baseline Security Analyzer 1.2.1”程序项（或双击“桌面”上的“Microsoft Baseline Security Analyzer 1.2.1”快捷图标），就可弹出MBSA的主窗口。

扫描一台计算机

对一台计算机进行扫描是MBSA的基本功能，具体的操作步骤如下：

第一步：单击MBSA主窗口中的“Scan a computer”（或“Pick a computer to scan”）菜单，将弹出“Pick a computer to scan”对话框（如图2）。

要想让MBSA成功扫描计算机，需在此对话框中进行正确地参数设置：

⑴设定要扫描的对象

告诉MBSA要扫描的计算机是扫描成功的基础。MBSA提供两种方法：

方法1：在“Computer name”文本框中输入计算机名称，格式为“工作组名\计算机名”。

默认情况下，MBSA会显示运行MBSA的计算机的名称，如图2所示，“WORKGROUP”是笔者运行MBSA的计算机所属的工作组名称，“JXNO”是计算机名称。

方法2：在“IP aDDRess”文本框中输入计算机的IP地址。

在此文本框中允许输入在同一个网段中的任意IP地址，但不能输入跨网段的IP，否则会提示“Computer not found.”（计算机没有找到）的信息。

⑵设定安全报告的名称格式

每次扫描成功后，MBSA会将扫描结果以“安全报告”的形式自动地保存起来。MBSA允许用户自行定义安全报告的文件名格式，只要在“Security report name”文本框中输入文件格式即可。

MBSA提供两种默认的名称格式：“%D% - %C% (%T%)”（域名-计算机名(日期戳)）和“%D% - %IP% (%T%)”（域名-IP地址(日期戳)）。

⑶设定扫描中要检测的项目

MBSA允许检测包括Office、IIS等在内的多种微软软件产品的漏洞。在默认情况下，无论计算机是否安装了以上软件，MBSA都要检测计算机上是否存在以上软件的漏洞。这不但浪费扫描时间，而且影响扫描速度。用户可以根据自身情况进行选择，对于一些没有安装的软件可以不选，例如：若没有安装SQL Server，则可不选中“Check for SQL vulnerabilities”复选项，这样能缩短扫描时间，提高扫描速度。

基于这点考虑，MBSA提供了让用户自主选择检测的项目的功能。只要用户选中（或取消）“Options”中某个复选项，就可让MBSA检测（或忽略）该项目。

不过，允许用户自主选择的项目只有“Check for Windows vulnerabilities”（检查Windows的漏洞）、“Check for weak passwords”（检查密码的安全性）、“Check for IIS vulnerabilities”（检查IIS系统的漏洞）、“Check for SQL vulnerabilities”（检查SQL Server的漏洞）等四项。

至于其它项目（如：Office软件的漏洞等）MBSA会强制扫描。

⑷设定安全漏洞清单的下载途径

MBSA的工作原理是：以一份包含了所有已发现的漏洞的详细信息（如：什么软件隐含漏洞、漏洞存在的具体位置、漏洞的严重级别等）的安全漏洞清单为蓝本，全面扫描计算机，将计算机上安装的所有软件与安全漏洞清单进行对比。如果发现某个漏洞，MBSA就会将其写入到安全报告中。

[1] [2] [3] [4] [5] 下一页