用微軟基準安全分析器搜尋系統安全漏洞

wish

什麼是基準安全分析器

影響一個系統的安全效能的因素有許多，制定較為完備的安全原則是保證系統安全必不可少的條件。由於隨著系統配置的不斷變化，黑客技術的不斷改進和提高，系統的安全程度也會不斷地變化，系統的安全原則也應是一個動態變化的程序。系統的安全性取決於網路中最薄弱的環節。

檢測和發現系統中的薄弱環節，最大限度地保證系統安全，最有效的方法之一就是定期對系統進行安全性分析，及時發現並改正系統、網路存在的薄弱環節和漏洞，保證系統安全。但是，僅僅依靠管理員去分析和發現系統漏洞，既費時費力，同時受管理員水準的限制，分析也未必全面。

微軟基準安全分析器是這樣一種工具，它可以檢查執行Windows NT 4.0, Windows 2000和Windows XP的電腦以發現一般的在安全方面的配置錯誤。（可在微軟網站下載）

微軟基準安全分析器具有完備系統知識，深入並詳細掌握其存在的安全脆弱性和漏洞，並知道如何彌補這些安全系統安全問題，及時修改安全原則，以保證系統始終處於最佳安全狀態。

基準安全分析器的功能

基準安全分析器能夠在執行 Windows NT 4.0，Windows 2000、Windows XP專業版 和 Windows XP 家庭版的電腦上掃瞄。它能夠檢查：

1.Windows 操作系統安全漏洞

對於執行一個安全的系統來說，一個特別重要的要素是保持使用最新的安全修補程式。微軟公司會經常發佈一些安全修補程式，那麼用戶怎麼知道哪些修補程式已經套用到您的系統中了呢？基準安全掃瞄器就可以做到這點，更為重要的是，它還能幫你分析出哪些還沒有套用。

基準安全分析器將掃瞄 Windows 操作系統（Windows NT 4、Windows 2000、Windows XP）中的安全問題，如「來賓」帳戶狀態、文件系統類型、可用的文件共享、Administrators 組的成員等。檢查的結果以安全報告的形式提供給用戶，在報告中還帶有關於修復所發現的任何問題的操作說明。

基準安全分析器檢查Windows 操作系統安全的內容如下：

● 檢查將確定並列出屬於Local Administrators 組的用戶帳戶；

● 檢查將確定在被掃瞄的電腦上是否啟用了稽核；

● 檢查將確定在被掃瞄的電腦上是否啟用了「自動登入」功能；

● 檢查是否有不必要的服務；

● 檢查將確定正在接受掃瞄的電腦是否為一個域控制器；

● 檢查將確定在每一個硬碟上使用的是哪一種文件系統，以確保它是 NTFS 文件系統；

● 檢查將確定在被掃瞄的電腦上是否啟用了內裝的來賓帳戶；

● 檢查將找出使用了空白密碼或簡單密碼的所有本機用戶帳戶；

● 檢查將列出被掃瞄電腦上的每一個本機用戶當前採用的和建議的 IE 區域安全性設定；

● 檢查將確定在被掃瞄的電腦上執行的是哪一個操作系統；

● 檢查將確定是否有本機用戶帳戶設定了永不過期的密碼；

● 檢查將確定被掃瞄的電腦上是否使用了 RestrictAnonymous 註冊表項來限制匿名連接Service Pack 和即時修復程序。

IIS的安全分析

基準安全分析器將掃瞄 IIS 4.0 和 5.0 中的安全問題，如電腦上出現的示例應用程式和某些虛擬目錄。該工具還將檢查在電腦上是否執行了IIS鎖定工具，該工具可以說明 管理員配置和保護他們的IIS伺服器的安全。關於每一個 IIS 掃瞄結果的說明都會顯示在安全報告中，並且帶有關於修復發現的任何問題的操作說明。

基準安全分析器的IIS安全分析功能將：

● 檢查將確定 MSADC（示例資料訪問指令碼）和指令碼虛擬目錄是否已安裝在被掃瞄的 Internet 信息服務 (IIS) 電腦上。

● 檢查將確定 IISADMPWD 目錄是否已安裝在被掃瞄的電腦上。

● 檢查將確定 Internet 信息服務 (IIS) 是否在一個作為域控制器的系統上執行；

● 檢查將確定 IIS 鎖定工具的 2.1 版本（Microsoft Security Tool Kit 的一部分）是否已經在被掃瞄的電腦上執行

● 檢查將確定 Internet 信息服務 (IIS) 日誌記錄是否已啟用，以及 W3C 擴展日誌文件格式是否已使用

● 一檢查將確定在被掃瞄的電腦上是否啟用了 ASPEnableParentPaths 設定。

● 檢查將確定下列 IIS 示例文件目錄是否安裝在電腦上：

\Inetpub\iissamples

\Winnt\help\iishelp

\Program Files\common files\system\msadc

SQL Server安全分析


基準安全分析器將掃瞄 SQL Server 7.0 和 SQL Server 2000 中的安全問題，如身份驗證模式的類型、sa 帳戶密碼狀態，以及 SQL 服務帳戶成員身份。關於每一個 SQL Server掃瞄結果的說明都顯示在安全報告中，並帶有關於修復發現的任何問題的操作說明。

基準安全分析器的SQL Server安全分析功能將：


● 檢查將確定 Sysadmin 角色的成員的數量，並將結果顯示在安全報告中。

● 檢查將確定是否有本機 SQL Server 帳戶採用了簡單密碼（如空白密碼）。

● 檢查將確定被掃瞄的 SQL Server 上使用的身份驗證模式。

● 檢查將驗證下列 SQL Server 目錄是否都將訪問權只限制到 SQL 服務帳戶和本機 Administrators

● 檢查將確定 SQL Server 7.0 和 SQL Server 2000 sa 帳戶密碼是否以明文形式寫到 %temp%\sqlstp.log 和 %temp%\setup.iss 文件中。

● 這一檢查將確定 SQL Server Guest 帳戶是否具有訪問資料庫（Master、tempdb 和 msdb 除外）的權限。

● 檢查將確定 SQL Server 是否在一個擔任域控制器的系統上執行。

● 檢查將確保 Everyone 組對下列註冊表項的訪問權被限制為讀取權限：

HKLM\Software\Microsoft\Microsoft SQL Server

HKLM\Software\Microsoft\MSSQLServer

如果 Everyone 組對這些註冊表項的訪問權限高於讀取權限，那麼這種情況將在安全掃瞄報告中被標記為嚴重安全漏洞。

● 檢查將確定 SQL Server 服務帳戶在被掃瞄的電腦上是否為本機或 Domain Administrators 組的成員，或者是否有 SQL Server 服務帳戶在 LocalSystem 上下文中執行。

Office安全分析

基準安全分析器的Office安全分析功能將：

● 檢查將一個用戶一個用戶地確定 Microsoft Outlook 2002、Outlook 2000 和 Outlook 98 中下列區域的安全級別：

本機 Intranet 區域 ；

可信站點區域 ；

受限站點區域 ；

Internet 區域。

● 檢查將一個用戶一個用戶地確定 Microsoft Office XP、Office 2000 和 Office 97 巨集保護的安全級別。

● 安全分析器還對 PowerPoint、Word、Excel 和 Outlook 進行檢查。


基準安全分析器的操作簡介


基準安全分析器的啟動界面如下圖所顯示：


操作模式


基準安全分析器的操作模式有兩種：


● 單台電腦模式

● 多台電腦模式

基準安全分析器操作的最簡單模式是單台電腦模式。這種模式的典型情況是"自掃瞄"。當用戶選項"Pick a computer to scan"（選項一台電腦進行掃瞄）操作時，你可以選項輸入你希望對其進行掃瞄的電腦的名稱或者 IP 位址。預設情況下，當你選此選項時，顯示的電腦名稱將是該工具執行所在的本機電腦。


如果用戶選項"Pick Multiple Computers to Scan"（選項多台電腦進行掃瞄）時，你將有機會掃瞄多台電腦。你可以選項通過輸入域名掃瞄整個域，或者可以指定一個 IP 位址範圍並掃瞄在該範圍內的所有關於 Windows 的機器。


要想掃瞄一台電腦，需要有管理員訪問權。在"自掃瞄"的情況下，你用來執行基準安全分析器的帳戶也必須是管理員或者是本機管理員組的一個成員。
在要掃瞄多台電腦的情況下，你必須是每一台電腦的管理員或者是一個域管理員。


每次你掃瞄一台電腦或者一組電腦時，都會為每一台被掃瞄的電腦產生一個安全報告，並儲存在執行著基準安全分析器的那台電腦上。
這些報告的位置將在螢幕的頂端列出（存儲在使用者設定檔資料夾中）。
安全報告是以 XML 格式儲存的。

用戶可以輕鬆地按照電腦名稱、掃瞄日期、IP位址或者安全評估對這些報告進行排序。此功能讓你能夠輕鬆地將一段時間內的安全掃瞄加以比較。


分析單台電腦


當用戶選項"Pick a computer to scan"，進入單台掃瞄模式。如下圖所顯示：

在界面的左側你可以選項輸入你希望對其進行掃瞄的電腦的名稱或者 IP 位址。預設情況下，當你選此選項時，顯示的電腦名稱將是該工具執行所在的本機電腦。


在"Computer name"處輸入你想分析的電腦的主機名，或者在"IP address"處輸入你想分析的電腦的IP位址。兩者選項一個即可。

在"Security report name"處填入安全報告名稱的格式。

在"Options"處選項安全分析的內容：

● "Check for Windows vulnerabilities" ：分析Windows的安全性；

● "Check for weak passwords" ：對脆弱的密碼進行分析；

● "Check for IIS vulnerabilities" ：對Internet Information Server的脆弱性進行評估；

● "Check for SQL vulnerabilities" ：對SQL Server的脆弱性進行分析；

● "Check for hotfixes" ：對最新的安全更新進行檢查。

如果要獲得更多的掃瞄選項的信息，可以按下"Scanning Options"。

上述選項填完後，選項"Start Scan"。這是系統彈出安全警告對話視窗：


請選項是。然後系統進入掃瞄狀態：

掃瞄結束後，可以檢視分析結果：安全報告。如下圖所顯示：


在察看安全報告時，可以通過"Set Order"將各種脆弱性進行排序。分別可以按"Issue name, Best first, worse first"排序。


安全報告還可以列印和拷貝到記事本。

分析多台電腦

當用戶選項"Pick multiple computers to scan"，進入多台掃瞄模式。如下所顯示：

在界面的左側你可以選項輸入你希望對其進行掃瞄的域名和IP位址範圍。

在"Domain name"處輸入你想分析的網路域名，或者在"IP address range"處輸入你想分析的電腦的IP位址。兩者選項一個即可。

在"Security report name"處填入安全報告名稱的格式。

在"Options"處選項安全分析的內容，直接含義參見"分析單台電腦"。

上述選項填完後，選項"Start Scan"。後面的程序與單台電腦模式相似，這裡不再贅述。


因為分析多台電腦的安全性，所以會產生多個安全報告，這時請選項"Pick a security report to view"，然後出現如圖界面：


這時只需選項你想察看的主機即可。


結束語

電腦安全、安全漏洞以及威脅不僅關係到信息技術專業人士，而且也關係到使用電腦的每一個人。大多數公司和許多家庭用戶都使用"不間斷"連接與Internet相連，這種連接方式將他們暴露在病毒、黑客和拒絕服務攻擊這些固有的風險之下。

對於普通用戶來說，切實需要一些很好的工具來說明 自己減少安全隱患，那麼，對於微軟平台用戶來說，微軟基準安全分析器就是這麼一個好工具。