按此可放大網頁內容, 重複按可無限放大 按此回復標準網頁大小
最新消息課程教材單元討論區學習日誌

      

* *Vulnerability Scanning *   *
 
Microsoft 基線安全性分析器 (MBSA)
  隨著安全的議題不斷的發燒,越來越多的使用者在使用電腦作業環境時,會去注意與顧慮安全的作業環境,不過在您連線上網的過程中,如何加強安全性?除了連線的安全與驗證之外,本機系統的安全您是否可以完全的掌握。畢竟現今許多的安全問題來自於對作業系統本身的攻擊!不過要如何確保本機的安全,在這次的主題中就針對微軟提供的好工具 MBSA 2.0 (Microsoft Baseline Security Analyzer 2.0) 向大家做個介紹。
簡介
  MBSA 是微軟提供給 IT 專業管理的一項好工具,針對中小型的作業環境,提供一個方便的偵測作業系統的機制。
由於現在許多的攻擊或者是入侵都是透過系統的瑕疵或者是漏洞來達成侵入的目的,因此隨時隨地的提供更新的作業環境與軟體作業就顯得非常的重要。 雖然微軟在作業系統中提供了免費的更新機制可透過 Internet 讓系統用戶確保作業系統的維護,不過預設的設定並不強制(如了 Windows XP SP2 外),也 就造成了更新上的問題,事實上隨著使用者的使用習慣,更新的頻率皆不相同,以致所有的安全更新是否及時且有效的更新,就成了問題。另外,當機器數量增加, 在中小型網路環境中並沒有建置所謂的網管系統,如何有效的得知用戶端安全更新與環境的安全設定就變成以往 IT 人員心中的痛!
MBSA 就在這樣的環境下誕生了!事實上 MBSA 是微軟用來分析安全更新的機制,不過也就是它可以分析安全基礎設定,所以作為分析安全更新的工具是最恰當不過的。
MBSA 2.0 的取得
  微軟下載
  本地下載 (英文版)
MBSA 的功能機制
  MBSA 工具乃是利用 Windows Update Services 的基礎架構實現安全更新的掃描。MBSA 工具可以在 Windows 2000、Windows XP 和 Windows Server 2003 環境中執行。
此軟體可以檢查到 Windows 2000、Windows XP、Windows Server 2003、Internet Information Server (IIS)、SQL Server、Internet Explorer 和 Office 等套裝軟體中的結構性錯誤,還可以檢查出 Windows 2000、Windows XP、Windows Server 2003、IIS、SQL Server、Internet Explorer、Office、Exchange Server、Windows Media Player、Microsoft Data Access Components (MDAD)、MSXML、Microsoft Virtual Machine、Commerce Server、Content Management Server、BizTalk Server、Host Integration Server 中遺漏的安全更新。
目前最新版本是 MBSA 2.0 版,在 2005 年 7 月 1 日起開放網路下載,MBSA 2.0 距上一版 1.2.1 發行將近 1 年,這段期間微軟的產品經歷不少變化,最主要的就是 System Update Services(SUS)改版為 Windows Server Update Services(WSUS),微軟也正式推出 64 位元版本的 Windows XP 和 Windows Server 2003,舊版 MBSA 都無法支援,加上 1.2.1 版的產品型錄更新在 2006 年上半即將中止,改用 MBSA 2.0已勢在必行。
MBSA 2.0 的新功能
  更嚴格的掃描等級
  可掃瞄本機或是遠端主機的 Office XP 以上版本的更新內容
  增加了更新的引導設定與更新時所需要做的動作提示
  支援使用 CVE-IDs 更新
  改進過的協助內容
  與 Windows Server Update Services (WSUS) 相容
    MSBA 2.0 支援 Microsoft Update,MSBA 2.0 的偵測模式能與這個更新網站互通。Microsoft Update 目前已經成為微軟集中控管產品更新的主要入口,取代過去只能更新 Windows 作業系統的 Windows Update 網站。
使用 MBSA 2.0 時,大部分掃描選項都與 1.2.1 相同,只有檢查安全更新的細部選項做了調整,撤換了過去的 SUS 伺服器路徑整合設定,改為「設定電腦的 Microsoft Update 和掃描必要條件」與「進階更新服務設定」,後者還可以選擇掃描 Microsoft Update 或其他指定的更新服務。
  自動與微軟更新伺服器註冊與更新
  支援 64 位元 Windows 與 Windows 嵌入系統
MBSA 2.0 無法支援部份舊版微軟應用程式
  MBSA 2.0雖 然支援大部分近期的微軟應用程式和作業系統,但某些舊版應用程式還是要靠 MBSA 1.2.1 和企業更新掃描工具(Enterprise Update Scan Tool,EST)才能全部支援。MBSA 2.0 能處理較新的應用程式, 如 DirectX、.NET Framework、Windows Messenger、Windows Media Player 10 等。
在 Microsoft Update 更新涵蓋的產品範圍內,微軟建議使用 MBSA 2.0 搭配 EST,較老舊的微軟作業系統與應用程式環境之下(如Office 2000),才使用 MBSA 1.2.1 與 EST。
目前 MBSA 和 EST 仍有許多待改進之處,也許是因為免費的關係,希望微軟能整合兩套工具。MBSA 未提供中文介面,安全掃描報告描述的問題與改進建議以英文訊息為主,雖然偶爾能連結到中文的知識庫網頁,但不夠直覺;EST 使用命令列的指令碼執行介面,將掃描結果產生 XML 檔,無圖形介面,便利性有待提升。
安裝 MBSA 2.0
  目前 MBSA 2.0 有英、德、法、日四個語系版本,本文章以英文版向大家說明,安裝介面簡單容易,只要將下載好的 msi 檔案直接執行即可。
  步驟1: 點選安裝執行檔 “MBSASetup-EN.msi”。
  步驟2: 出現安裝畫面,請點選 NEXT。
 
  步驟3: 請詳讀合約內容,如果您接受合約內容,請點選 "I accept the licence agreement" 後按 NEXT。
 
  步驟4: 請選擇程式安裝位置,並點選 NEXT。
 
  步驟5: 請點選 Install 開始安裝。
 
  步驟6: 安裝完畢,按 OK 確定。
 
設定 MBSA 2.0
  MBSA 2.0 的設定介面其實相當的單純,整個設定的介面只有兩種:一種就是要決定掃描的範圍 (本機或網路),如下圖
 
  另一個就是要決定掃描的項目 (或者說是範圍),如下圖
 
  主機的設定項目分成本機與多台同時掃瞄,本機的掃描可以依據主機名稱或者是 IP 位址來指定掃瞄對象,如下圖
 
  至於多台電腦的掃描,可以依據網域的名稱或者是 IP 網段來指定掃瞄對象,如下圖
 
  掃描項目的設定,大概算是 MBSA 中最重要的設定內容,我們依序看一下掃瞄選項的設定:
 
  Windows administrative vulnerabilities: Windows 系統管理弱點,此項目會掃描軟體更新元件是否為最新的版本、自動更新的設定是否設定妥當、檢查 Windows 防火牆是否啟用、本機帳號是否符合安全要求、帳號密碼的更新與來賓帳號的開啟狀態, 並且是否允許自動登入等等的主機安全項目。此外,對於其他軟體的設定亦有檢查效果,包括 IE 安全性設定是否符合建議,OFFICE 的巨集設定是否依據建議設定,本機稽核是否開啟,不當的服務或是分享是否有開啟。
  weak password: 協助檢查是否有比較不符合安全特性的密碼,如與帳號相同,或是不符合複雜性要求。
  IIS administrative vulnerabilities: 此項目針對 IIS 的弱點分析。
  SQL administrative vulnerabilities: 此項目針對 SQL 的弱點分析。
  Security Update: 檢查 Windows 與 Office 的更新是否最新。預設值與微軟的更新伺服器比對更新的版本,可修改設定與內部的 WSUS 伺服器進行比對。
MBSA 掃描報告
  當 MBSA 掃描完畢後,會自動產生報表,在此報表中將明確的得知個個掃描項目的詳細內容,如果掃描上的問題將會利用圖示展現,如下圖
 
  這裡清楚地列出各測試項目在本系統內的狀態,各位可以注意各項目前面的 "Store" 一欄中符號的區別及顏色:
  表示該項目未能通過測試,且非常嚴重。
  表示該項目未能通過測試,但不是很嚴重。
  表示該項目還可以進行優化。
  表示尚有更詳細的資訊。
  這當然是最理想的,表示該項目已通過測試。
  在那些未能通過測試的項目下面,一般都會提供「What was scanned」、「Result details」和「How to correct this」等選項, 其中第一個將告訴我們分析器在該項目上主要進行了什麼測試,而後兩項告訴我們詳細的結果,以及如何做才能夠通過這項測試。 你只需選擇「How to correct this」選項,就可以按照系統提示去下載修補程式以修補漏洞了。
當然,上面提到的方法只是治標不治本,如果要保證系統的穩定和安全,安裝防毒軟體和防火牆,絕對是不可少的。
相關連結
  微軟 MBSA 2.0 的 Q&A
單元實驗
  請將系統中某一個使用者帳戶的密碼改成與帳戶名相同,執行 MBSA 2.0 的密碼檢查,看是否能檢測出問題。
問題與討論
 

 
 


電子商務資訊安全 AntiVirus Ad-Aware AntiSpam PGP SMIME Tripwire SSH Firewall Packet Sniffering Port Scanning Dictionary Attack Vulnerability Scanning VPN 電子商務導論 XML導論