如何使用 MBSA

作者: 来源:Microsoft 日期:2005-1-21

Microsoft Corporation

目标

使用本单元以:

扫描计算机以确定缺少的安全更新。

检查不安全的默认配置设置。

适用于

本单元适用于下列产品和技术:

运行 Microsoft® Windows® 2000 Server 或 Windows Server™ Server 操作系统的服务器

运行 Windows 2000(所有版本)、Windows XP Professional 或 Windows 2003 Server 的开发人员工作站。

Microsoft SQL Server™ 2000,包括 Desktop Edition (MSDE)

如何使用本单元

要从本单元受益最多:

您必须熟悉 Windows 安全性概念。

*
本页内容
摘要 摘要
开始之前 开始之前
须知 须知
扫描安全更新和修补程序 扫描安全更新和修补程序
扫描多个系统以查找更新和修补程序 扫描多个系统以查找更新和修补程序
SQL Server 和 MSDE Specifics SQL Server 和 MSDE Specifics
扫描安全配置 扫描安全配置
其他信息 其他信息
其他资源 其他资源

摘要

Microsoft Baseline Security Analyzer (MBSA) 检查操作系统和 SQL Server 更新。MBSA 还扫描计算机以检查不安全配置。检查 Windows service packs 和修补程序时,它会包括 Windows 组件,例如 Internet 信息服务 (IIS) 和 COM+。MBSA 使用一个 XML 文件作为现有更新的清单。包含在存档 Mssecure.cab 中的该 XML 文件,可在运行扫描时由 MBSA 下载,或在本地计算机上下载,或从网络服务器使用。

本单元说明了如何安装 MBSA 以及如何使用其来改进运行 Windows 操作系统的计算机的安全性。

返回页首返回页首

开始之前

使用 Mbsasetup.msi 将 MBSA 安装到工具目录。将文件 Mssecure.cab 复制到 MBSA 安装目录。

下载 MBSA。从 MBSA 主页下载MBSA:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Tools/mbsahome.asp

MBSA 更新。如果使用的计算机可以访问 Internet,如果需要,则会自动下载最新的安全 XML 文件。如果计算机不能访问 Internet,则需要使用 MBSA FAQ 中所述的过程,利用签名 CAB 来下载最新的 XML 文件。在 FAQ 页面中,单击标题为"How can I download the files necessary to run a scan offline or if my proxy server requires authentication?" 的项

签名该 CAB 文件以确保其未被修改。必须将其解压缩并存储在与存储 MBSA 相同的文件夹中。

默认的安装目录:\Program Files\Microsoft Baseline Security Analyzer\

需要从该目录运行命令。MBSA 不会为您创建环境变量。

返回页首返回页首

须知

在使用本“如何……”方法之前,应当了解以下内容:

通过使用图形用户界面 (GUI) 可使用 MBSA,或从命令行使用 MBSA。GUI 可执行文件是 Mbsa.exe,命令行可执行文件是 Mbsacli.exe。

MBSA 使用端口 138 和 139 来执行其扫描。

MBSA 要求扫描的计算机上有管理员权限。选项 /u(用户名)和 /p(密码)可用于指定运行扫描的用户名。请勿将用户名和密码存储在诸如命令文件或脚本之类的文本文件中。

MBSA 要求以下软件:

Windows NT 4.0 SP4 及以上、Windows 2000 或 Windows XP(本地扫描仅在使用简单文件共享的 Windows XP 计算机上进行)

IIS 4.0,5.0(IIS 漏洞检查所需)

SQL 7.0,2000(SQL 漏洞检查所需)

Microsoft Office 2000, XP(Office 漏洞检查所需)

必须安装有或启用了以下服务:服务器服务、远程注册表服务、文件和打印共享

本“如何……”方法稍后的“其它信息”部分包括了有关使用 MBSA 的提示。

返回页首返回页首

扫描安全更新和修补程序

可通过选项运行 Mbsa.exe 和 Mbsacli.exe 来验证安全修补程序的存在。

使用图形界面

按如下所述使用 MBSA GUI 工具。

使用 MBSA GUI 扫描更新和修补程序

1.

Programs 菜单中单击 Microsoft Baseline Security Analyzer

2.

单击 Scan a computer

3.

确保以下选项未被选中,然后单击 Start scan

Check for Windows vulnerabilities

Check for weak passwords

Check for IIS vulnerabilities

Check for SQL vulnerabilities

GUI 的优势在于扫描本地计算机后可立刻打开报告。本部分会在稍后对解释报告的细节进行阐述。

使用命令行 (Mbsacli.exe)

要使用命令行工具 (Mbsacli.exe) 来检查安全更新和修补程序,请从命令窗口运行以下命令。这将通过提供的 IP 地址对指定计算机进行扫描并检查缺少的更新:

mbsacli /i 192.168.195.137 /n OS+IIS+SQL+PASSWORD  

成功的扫描将生成类似于如下所示的结果:

Scanning...
[     ] 0 o[..........] 1 of 1 computer scan(s) complete.
Scan Complete.
Computer Name, IP Address, Assessment, Report Name
-----------------------------------------------------
Workgroup\SECNETSQL, 192.168.195.137, Severe Risk, Workgroup - SECNETSQL (04-07-
2003 03-01 PM)  

可通过使用 Mbsacli.exe 来查看该报告,但不推荐如此,因为使用 GUI 来提取修补程序细节更为简便。以下命令允许您使用 Mbsacli.exe 查看扫描报告:

mbsacli /ld "SecurityReportFile.xml"  

分析输出

报告文件在登录用户的配置文件目录中(运行 Mbsacli.exe 命令的计算机上)生成 (%userprofile%)。查看报告结果最简便的方法是使用 MBSA 的 GUI 模式。

返回页首返回页首

扫描多个系统以查找更新和修补程序

您也可以使用 MBSA 来扫描计算机范围。为此,请使用如下所示的 /r 命令行开关项。

mbsacli /r 192.168.195.130-192.168.195.254 /n OS+IIS+SQL+PASSWORD  

以上命令扫描范围 192.168.195.130 到 192.168.195.254 内的所有计算机。

要扫描域中的所有计算机,请使用如下所示的 /d 选项:

mbsacli /d DOMAINNAME /n OS+IIS+SQL+PASSWORD  
返回页首返回页首

SQL Server 和 MSDE Specifics

SQL Server(包括 MSDE)实例都单独进行扫描和报告。实例用实例名称进行标注,如图 1 所示。

fh12secmod01

图 1. SQL Server 和 MSDE 特定

有关为 SQL Server 2000(包括桌面版 (MSDE))安装修补程序和服务程序包的详细信息,请参阅“How To Implement Patch Management

返回页首返回页首

扫描安全配置

除扫描缺少的安全更新外,MBSA 还扫描不安全的系统配置。有关该扫描检查内容的详细列表,请参阅以下站点的 MBSA 文档:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/mbsawp.asp

安全配置扫描可分为以下阶段进行

执行扫描。

分析扫描。

更正发现的任何问题。

这些阶段如下所述。

执行扫描

运行 MBSA,并在执行扫描时取消选择 Check for security updates

分析扫描

显示的结果报告将类似于早先执行的修补程序扫描。唯一的区别在于链接 How to correct this 会在发现问题时可用。单击此链接,会出现一个页面,该页面上详细描述了发现的问题、问题的解决方案以及更正问题的说明。

根据您的安全策略比较问题细节,如果策略无法解决该问题,可按照该说明进行。

更正发现的问题

选择链接 How to correct this。在结果页面,解决方案和说明阐述了更正问题需要采取的步骤。

返回页首返回页首

其他信息

以下信息将有助于您解决扫描错误或解释扫描间的不一致。

来自安全更新检查的假事实

可能会出现这样的情况,MBSA 报告更新没有安装,即使您完成了更新或采取了安全公告中所述的步骤。出现假报告有两个原因:

1.

扫描的文件由与安全公告无关的安装进行了更新。例如,由同一程序的不同版本共享的文件由较新的版本进行了更新。MBSA 不知道新版本(因为这不是预期的情况)并报告缺少更新。

2.

某些安全公告并不由文件更新解决,而是无法验证的配置更改。这些类型的标志会作为 NoteWarning 消息出现,并标有黄颜色的 X。

二者必须加以注释,并为将来的扫描予以忽略。

执行远程扫描的要求

MBSA 利用以下网络服务来扫描计算机:

Windows NT 4.0 SP4 及以上、Windows 2000 或 Windows XP(本地扫描仅在使用简单文件共享的 Windows XP 计算机上进行)

IIS 4.0,5.0 (IIS 漏洞检查所需)

SQL 7.0,2000(SQL 漏洞检查所需)

必须安装或启用的服务:服务器服务、远程注册表服务、文件和打印共享

如果一些服务不可用或不能访问管理共享 (C$),则在扫描期间会出现错误。

密码扫描

由 MBSA 执行的密码检查需要很长时间,这取决于计算机上的用户帐户数量。密码检查会枚举所有用户帐户,并试图使用常见密码缺陷(如与用户名相同的密码)执行几个密码更改。用户或许希望在他们的网络上扫描域控制器之前禁用该检查。有关 MBSA 密码检查的详细信息,请参阅 TechNet http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/mbsawp.asp 上的 MBSA 白皮书中的主题“Local Accounts Passwords”。

Mbsa.exe 和 Mbsacli.exe 之间的差异

知道两个 MBSA 客户端默认选项之间的差异非常重要:GUI 工具 Mbsa.exe 和命令行工具 Mbsacli.exe。本“如何……”文档中前面的示例考虑了这些默认设置。

默认情况下,MBSA GUI调用 /nosum/v。有关这些选项的细节如下:

/nosum:安全更新检查不会测试文件校验和。

/v:显示安全更新原因代码。

MBSA 命令行不调用选项并运行默认扫描。

返回页首返回页首

其他资源

MBSA 主页是查询有关 Microsoft Baseline Security Analyzer 最新信息的最佳资源:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Tools/MBSAhome.asp

相关文章