白皮书:Microsoft 基准安全分析器(MBSA) V1.2
本页内容
 | 摘要 |
| MBSA V1.2 的新增功能 |
| MBSA V1.2 的功能 |
| 扫描模式 |
| 有关安全漏洞检查的说明 |
| 附加资源 |
摘要
Microsoft Baseline Security Analyzer(MBSA)工具允许用户扫描一台或多台基于 Windows 的计算机,以发现常见的安全方面的配置错误。MBSA 将扫描基于 Windows 的计算机,并检查操作系统和已安装的其他组件(如:Internet Information Services(IIS)和 SQL Server),以发现安全方面的配置错误,并及时通过推荐的安全更新进行修补。
MBSA V1.2 的新增功能
MBSA 是面向 Windows NT 4、Windows 2000、Windows XP 和 Windows Server 2003 系统的安全评估工具,可扫描操作系统、IIS、SQL 和桌面应用程序,以发现常见的配置错误,并检查以下产品是否缺少安全更新:Windows、Internet Explorer、Windows Media Player、IIS、SQL Server、Exchange、Microsoft Office、Microsoft Data Access Components、Microsoft Virtual Machine、MSXML, BizTalk Server、Commerce Server、Content Management Server 和 Host Integration Server。MBSA V1.2 已于 2004 年 1 月发布。
自 V1.1.1 版本发布以来,MBSA V1.2 已经新增了以下功能和更新程序:
支持其他语言
MBSA V1.2 现在针对 Windows 的英文、德文、法文和日文版实现了本地化。用户可以下载每种语言的 MBSA 构件。当 Microsoft 下载中心支持某种语言时,这些构件将下载包含本地化安全更新的 mssecure.xml 文件。如果不存在匹配的本地化 XML 文件,则所有的本地化构件都将重新使用英文版 mssecure.xml 文件(在扫描非英语计算机时禁用校验和检查)。
附加产品支持
MBSA V1.2 为以下产品新增了安全更新检查:
| • | Exchange Server 2003 |
| • | Microsoft Office(只能进行本地扫描;请参见产品列表) |
| • | Microsoft Data Access Components(MDAC)2.5、2.6、2.7 和 2.8 |
| • | Microsoft Virtual Machine |
| • | MSXML 2.5、2.6、3.0 和 4.0 |
| • | BizTalk Server 2000、2002 和 2004 |
| • | Commerce Server 2000 和 2002 |
| • | Content Management Server (CMS) 2001 和 2002 |
| • | SNA Server 4.0、Host Integration Server(HIS)2000 和 2004 注意:通过集成 Office Update Inventory Tool (Office 更新库工具)新增了 Microsoft Office 支持。 |
备用文件支持
MBSA V1.2 新增了支持文件的备用版本的功能。文件可能有不同的版本号和/或校验和,这是因为:
| • | 安全更新的 QFE(Quick Fix Engineering,快速修复工程)/LDR(Limited Distributed Release,限制性分布版本)与 GDR(General Distributed Release,通用分布版本) |
| • | 安全更新的多处理器版本与单处理器版本 |
| • | 非安全公告更新到安全公告更新 |
| • | 经修订的(更新的)安全公告 |
MBSA 的以前版本用黄色“X”标记及警告信息(发现“更高版本的文件”)来报告上述更新。如果 mssecure.xml 中列出的任何文件与被扫描的计算机中发现的文件相匹配,带有新的备用文件版本支持的 MBSA V1.2 就能够取消此警告并验证上述情况。
检查新版本
MBSA V1.2 可以检查 Microsoft 是否发布了 MBSA 的新版本。如果发布了 MBSA 的新版本,系统通过 GUI 和 CLI 通知用户。
检查其他的 Windows 安全漏洞
MBSA V1.2 新增了对自动更新特性设置的检查、以及对 Internet Connection Firewall(Internet 连接防火墙,ICF)的检查。对于自动更新,MBSA 将报告是否启用此功能,是否将其配置为自动进行下载和自动安装更新,以及是否通过组策略进行启用和控制。对于 ICF,MBSA 将扫描支持 ICF 的计算机上的所有 Internet 连接,并报告是否启用防火墙以及是否对外部通信开放所有端口。
解释自定义的 Internet Explorer 区域
MBSA 1.2 现在可以解释自定义的 IE 区域设置,并与推荐的默认区域级别设置进行比较。扫描报告将标识任何具有低于对整个区域推荐的默认值的自定义设置的单独区域设置。
新的 MBSA 命令行开关参数
MBSA 1.2 添加了下列新的命令行开关参数,可以与 mbsacli.exe 或 mbsacli.exe /hf 一起使用:
| • | -unicode(为运行日文版 MBSA 或者扫描装有日文版 Windows 的计算机的用户生成 Unicode 输出) |
| • | -nvc(禁止 MBSA 检查是否有更新的工具版本可用) |
MBSA V1.2 的功能
MBSA V1.2 能够扫描运行以下系统的计算机:Windows NT4、Windows 2000、Windows XP Professional、Windows XP Home Edition 和 Windows Server 2003。MBSA 能够从运行以下系统的任何一台计算机上执行:Windows 2000 Professional、Windows 2000 Server、Windows XP Home、Windows XP Professional 或 Windows Server 2003。
检查系统配置
Windows 操作系统
通常,MBSA 扫描 Windows 操作系统(Windows NT 4、Windows 2000、Windows XP、Windows Server 2003)中存在的安全问题,如:“Guest”(来宾)帐户的状态、文件系统类型、可用的文件共享和管理员组的成员。每次 OS 检查的说明都会显示在安全报告中,并附带有关修复任何已发现问题的说明。
Internet Information Server
该组检查将扫描 IIS 4.0 和 5.0 中存在的安全问题,如:计算机上存在的示范应用程序和某些虚拟目录。该工具还将检查 IIS Lockdown 工具是否在计算机上运行,从而帮助管理员配置和保护他们的 IIS 服务器。每次 IIS 检查的描述都会显示在安全报告中,并附带有关修复任何已发现问题的说明。
Microsoft SQL Server
该组检查将扫描 SQL Server 7.0 和 SQL Server 2000 中存在的安全问题,如:身份验证模式的类型、sa 帐户密码状态和 SQL Server 帐户的成员资格。每一次 SQL Server 检查的描述都显示在安全报告中,并附带有关修复任何已发现问题的说明。
检查桌面应用程序
该组检查扫描每个用户帐户的 Internet Explorer 5.01+ 区域设置以及 Office 2000,Office XP 和 Office System 2003 的宏设置。
安全更新
MBSA 可以通过引用 Microsoft 不断更新和发布的可扩展标记语言(Extensible Markup Language,XML)文件(mssecure.xml),来确定将哪些关键安全更新应用于系统。该 XML 文件包含哪些安全更新可用于特定的 MIcrosoft 产品的信息。该文件包含安全公告名称和标题以及有关特定产品安全更新的详细数据,其中包括:每个更新程序包中的文件及其各个版本和校验和、更新安装程序包所应用的注册表项、有关哪些更新可代替其他更新的信息以及 Microsoft 知识库中相关文章的编号等等。
当您首次运行 MBSA 时,后者必须获取此 XML 文件的副本,以便该工具能够找到适用于每个产品的安全更新。1 该 XML 文件可以以压缩的形式(数字签名的 .cab 文件)从 Microsoft 下载中心网站获得。MBSA 下载此 .cab 文件,并验证签名 2,然后将此 .cab 文件解压到正在运行 MBSA 的本地计算机上。值得注意的是,.cab 文件是类似于.zip 文件的压缩文件。
在解压 .CAB 文件后,MBSA 会扫描您的计算机(或者选定的计算机),以确定您正在运行的操作系统、服务软件包和程序。然后,MBSA 解析 XML 文件,标识可用于您已安装的软件组合的安全更新。MBSA 通过评估以下三项来决定是否在给定的计算机上安装特定的更新:更新所安装的注册表项、文件版本以及针对更新所安装的每个文件的校验和(如果从命令行运行 MBSA 的话)。如果这些检查中的任何一项失败,此次更新就将在扫描报告中标记为缺少。
MBSA 不仅仅扫描 Windows 安全更新,而且扫描与其他产品相关的更新。MBSA V1.2 扫描可用于以下产品的安全更新。
| • | Windows NT 4.0(除非通过 mbsacli.exe /hf 进行扫描,否则只能进行远程扫描) |
| • | Windows 2000 |
| • | Windows XP |
| • | Windows Server 2003 |
| • | Internet Explorer 5.01 及后续版本(包括面向 Windows Server 2003 的 Internet Explorer 6.0) |
| • | Windows Media Player 6.4 及后续版本 |
| • | IIS 4.0、5.0、5.1 和 6.0 |
| • | SQL Server 7.0 和 2000(包括 Microsoft Data Engine) |
| • | Exchange Server 5.5,2000 和 2003(包括 Exchange Admin Tools) |
| • | Microsoft Office(只能进行本地扫描;请参见产品列表)。 |
| • | Microsoft Data Access Components (MDAC) 2.5、2.6、2.7 和 2.8 |
| • | Microsoft Virtual Machine |
| • | MSXML 2.5、2.6、3.0 和 4.0 |
| • | BizTalk Server 2000、2002 和 2004 |
| • | Commerce Server 2000 和 2002 |
| • | Content Management Server(CMS)2001 和 2002 |
| • | SNA Server 4.0、Host Integration Server(HIS)2000 和 2004 |
当使用 MBSA GUI 版本(mbsa.exe)时,将使用 -baseline 和 -nosum 开关参数。-baseline 选项将扫描 Windows 更新中标记为关键安全更新的更新程序。 -nosum 选项不执行校验和检查。
当使用 MBSA 命令行工具(mbsacli.exe)时,用户必须调用上面列出的两个开关参数来匹配 MBSA GUI 扫描结果,因为它们不是默认调用的。当用户通过 mbsacli.exe(使用 /hf 开关参数)执行 HFNetChk-style 扫描时,他们还可以直接调用 -baseline、-v 和 -nosum 开关参数,以便与 GUI 扫描结果相匹配。
注意,当在 HFNetChk 模式(mbsacli.exe /hf)下运行 MBSA 时,将不检查 Office 安全更新,因为只有通过 Office Update Inventory Tool 代码并且使用 MBSA GUI 和 mbsacli.exe 才能对 Office 更新进行扫描。
Software Update Services(SUS)1.0 支持
MBSA V1.2 支持对本地 SUS 1.0 服务器进行局部安全更新扫描。用户可以在 MBSA UI 或 MBSA 命令行界面中选择这一选项。然后,这种局部扫描将根据本地 SUS 服务器上获准的安全更新列表来执行,而不是根据该工具在运行时下载的 mssecure.xml 文件中列出的可用安全更新的完整列表来执行。
Systems Management Server(SMS)支持
SMS 2.0 Software Update Services Feature Pack(软件更新服务功能软件包)为企业客户提供用于 Windows NT 4.0、Windows 2000 和 Windows XP 客户端的安全修补程序管理解决方案。该功能软件包使用 MBSA 技术来对客户端计算机进行实时自动扫描,以发现已安装或可用的安全更新。该数据被转化并保存在 Systems Management Server 库信息中,此外,还可以从中心点通过基于 Web 的汇报功能进行查看。对于使用 Systems Management Server 进行的分布,系统管理员可以直接从 Microsoft 选择并导出最新的 Windows 更新。
使用了此功能软件包的 SMS 2.0 用户可以参考 Microsoft 知识库中编号为 822643 的文章,以获得使用这一最新版本的 MBSA 的功能软件包的更新。
扫描模式
选择要扫描的计算机
单台计算机
MBSA 最简单的运行模式是扫描单台计算机,典型情况表现为“自动扫描”。当您选择“选取一台计算机进行扫描”时,您可以选择输入您想对其进行扫描的计算机的名称或 IP 地址。默认情况下,当您选中此选项时,所显示的计算机名将是运行该工具的本地计算机。
多台计算机
如果您选择“选取多台计算机进行扫描”时,您将有机会扫描多台计算机。您可以选择通过输入域名扫描整个域,您还可以指定一个 IP 地址范围并扫描该范围内的所有基于 Windows 的计算机。3
需要管理员访问权
如要扫描一台计算机,需要管理员访问权。在进行“自动扫描”时,您用来运行 MBSA 的帐户也必须是管理员或者是本地管理员组的一个成员。在您要扫描多台计算机的情况下,您必须是每一台计算机的管理员或者是一名域管理员。
扫描类型
MBSA 典型扫描
MBSA 典型扫描将执行扫描并且将结果保存在单独的 XML 文件中,这样就可以在 MBSA GUI 中进行查看(这与 MBSA V1.1.1 一样)。可以通过 MBSA GUI 接口(mbsa.exe)或 MBSA 命令行接口(mbsacli.exe)进行 MBSA 典型扫描。这些扫描包括全套可用的 Windows、IIS、SQL 和安全更新检查。
HFNetChk 典型扫描
HFNetChk 典型扫描将只检查缺少的安全更新,并以文本的形式将扫描结果显示在命令行窗口中,这与以前独立版本的 HFNetChk 处理方法是一样的。这种类型的扫描可以通过带有“/hf”开关参数(指示 MBSA 工具引擎进行 HFNetChk 扫描)的 mbsacli.exe 来执行。注意,可以在 Windows NT 4.0 计算机上本地执行这种类型的扫描。
查看安全报告
每次您执行 MBSA 典型扫描时,都会为每一台接受扫描的计算机生成一个安全报告,并保存在正在运行 MBSA 的计算机中。这些报告的位置将显示在屏幕顶端(存储在用户配置文件文件夹中)。安全报告以 XML 格式保存。
您可以轻松按照计算机名、扫描日期、IP 地址或安全评估对这些报告进行排序。此功能让您能够轻松地将一段时间内的安全扫描加以比较。
网络扫描
MBSA 可以从中央计算机同时对多达 10,000 台计算机进行远程扫描(假定系统要求与自述文件中列出的一样)。MBSA 被设计为通过在每台所扫描的计算机上拥有本地管理权限的帐户,在域中运行。
在防火墙或过滤路由器将两个网络分开的多域环境中(两个单独的 Active Directory 域),TCP 的 139 端口和 445 端口以及 UDP 的 137 端口和 138 端口必须开放,以便 MBSA 连接和验证所要扫描的远程网络。
涉及本地化构件/不同操作系统语言的扫描
MBSA 下载 mssecure.cab 并提取 mssecure.xml 文件(包含可用于每个产品的安全更新数据),并且使用该文件检查被扫描的计算机是否安装了最新的安全更新。
目前,MBSA V1.2 共提供四种语言,每种语言都有四种版本的 mssecure.xml 文件,因为不同版本的产品可能有不同的文件版本和/或校验和。
当运行 mbsacli.exe 或 mbsacli.exe /hf 时,将执行校验和检查。如果目标计算机的操作系统语言与 mssecure.xml 文件的语言相匹配,就执行校验和检查;否则,将跳过。校验和检查对目标计算机中的修补文件的版本是否是 Microsoft 批准的确切文件提供最高级别的确认。校验和检查可以在命令行中通过 -sum 开关参数加以启用,或者通过 -nosum 开关参数予以禁用。
下面的列表描述了在使用不同语言的计算机操作系统、mssecure.xml 和 MBSA UI 时可能遇到的各种情况:
| • | 日文系统中装有扫描日文系统的日文版 MBSA
| ||
| • | 法文系统中装有扫描法文系统的日文版 MBSA:
| ||
| • | 装有德文版 MBS 的德文系统可以扫描德文计算机,但是无法下载德文版 mssecure.cab 文件:
|
有关安全漏洞检查的说明
Windows 检查
管理员组成员资格
该检查将确定并列出属于本地管理员组的用户帐户。如果检测出的单个管理帐户数量超过两个,则该工具将列出这些帐户名,并将该检查标记为一个潜在的安全漏洞。一般来说,我们建议应将管理员的数量保持在最低限度,因为管理员实际上可以对计算机具有完全控制权。
审核
该检查将确定在被扫描的计算机上是否启用了审核功能。Microsoft Windows 具有一个审核特性,可跟踪和记录您的系统上的特定事件,如成功的和失败的登录尝试。通过监视系统的事件日志,您可以发现潜在的安全问题和恶意活动。
自动登录
该检查将确定在被扫描的计算机上是否启用了“自动登录”功能,以及登录密码是在注册表中以加密还是以明文形式存储的。如果“自动登录”已启用并且登录密码以明文形式存储,那么安全报告就会将这种情况作为一个严重的安全漏洞反映出来。如果“自动登录”已启用而且密码以加密形式存储在注册表中,那么安全报告就会将这种情况作为一个潜在的安全漏洞标记出来。
注意:如果您看到一条“Error Reading Registry”(读取注册表时出错)消息,则表示您的远程注册表服务可能还未启用。
“自动登录”将您的登录名和密码存储在注册表中,这样,您就可以自动登录到 Windows 2000 或 Windows NT,而不必在登录用户界面时输入您的用户名或密码。然而,“自动登录”也会允许其他用户访问您的文件,并使用您的姓名在系统上进行恶意破坏(例如,可在物理上接触该计算机的任何人都可以启动操作系统并进行自动登录)。如果您启用了“自动登录”功能,而又不想改变这种情况,则要确保在该计算机上没有存储任何敏感的信息。由于在物理上能够接触您的计算机的任何人都可以使用自动登录功能,因此您只能在非常值得信赖和安全的环境中使用这项功能。
您可以将用来进行自动登录的密码以明文形式存储在注册表中,也可以将其加密为本地安全认证(LSA)机密。
自动更新
该检查将确定是否在被扫描的计算机上启用自动更新功能以及在启用的情况下如何进行配置。自动更新功能可以使您的计算机自动与 Windows 的最新更新保持同步,即将更新程序从 Windows Update 站点(或者如果您在托管环境中,就可以从本地 Software Update Services (SUS) 服务器进行下载)直接传递到您的计算机上。自动更新可用于 Windows 2000 SP3 及更高版本。
自动更新可以配置为在计算机上自动下载和安装更新;自动下载但在安装前通知用户即将进行的更新;或在计算机上下载和安装更新前通知用户。
检查是否存在不必要的服务
该检查将确定被扫描计算机上的 services.txt 文件中是否包含有已启用的服务。services.txt 文件是一个可配置的服务列表,这些服务都不应该在被扫描的计算机上运行。此文件由 MBSA 安装并存储在该工具的安装文件夹中。该工具的用户应配置 services.txt 文件,以便包括在各台被扫描的计算机上所要检查的那些特定服务。默认情况下,与该工具一起安装的 services.txt 文件包含下列服务:
MSFTPSVC (FTP)
TlntSvr (Telnet)
W3SVC (WWW)
SMTPSVC (SMTP)
服务是一种程序,只要计算机在运行操作系统,其就在后台运行。服务不要求用户必须进行登录。服务用于执行不依赖于用户的任务,如:等待信息传入的传真服务)。
域控制器
该检查将确定正在接受扫描的计算机是否为一个域控制器。
对于 Windows XP、Windows 2000 或 Windows NT 域,域控制器是对域登录进行身份验证,并维护该域的安全策略和安全帐户主数据库的服务器。域控制器负责管理用户对网络的访问,包括登录、身份验证以及对目录和共享资源的访问。域控制器还保存所有域用户帐户,包括关键的管理员帐户。由于这些原因,域控制器应该被视为需要加强保护的关键资源。您应确认自己是否真正需要将这台计算机作为域控制器,并确认您是否采取了相应的步骤来加强这台计算机的访问安全。
文件系统
该检查将确定在每块硬盘上使用的是哪一种文件系统,以确保其为 NTFS 文件系统。NTFS 是一个安全的文件系统,使您可以控制或限制对各个文件或目录的访问。例如,如果您想允许您的同事查看您的文件,但不允许他们进行更改,那么就可以通过使用 NTFS 提供的访问控制列表(ACL)加以实现。
注意:为了使该检查成功执行,驱动器必须通过管理驱动器共享区来实现共享。
来宾帐户
该检查将确定在被扫描的计算机上是否启用了内置的来宾帐户。
来宾帐户是一种内置帐户,当一名用户在计算机或域上没有帐户,或者在计算机所在的域信任的任何一个域中没有帐户时,可使用这种帐户登录到运行 Windows 2000 或 Windows NT 的计算机。在使用简单文件共享的 Windows XP 计算机上,作为安全模型的一部分,网络上的所有用户连接都将映射到来宾帐户。如果在 Windows NT、Windows 2000 和 Windows XP 计算机上(不使用简单文件共享)已启用来宾帐户,则这种情况将在安全报告中作为一个安全漏洞标记出来。如果在使用简单文件共享的 Windows XP 计算机上已启用来宾帐户,则这种情况将不会作为安全漏洞标记出来。
Internet Connection Firewall
这一检查将确定是否在被扫描的计算机(适用于 Windows XP 和 Windows Server 2003)上对所有的活动网络连接启用 Internet Connection Firewall(Internet 连接防火墙,ICF),以及是否在防火墙中开放所有的入站端口。ICF 是一个防火墙软件,通过控制在您的计算机和 Internet 或网络中的其他计算机间来回传递的信息,对计算机提供保护。ICF 包含在 Windows XP、 Windows Server 2003 Standard Edition 和 Enterprise Edition 中。
本地帐户密码
该检查将找出使用空白密码或简单密码的所有本地用户帐户。这一检查将不在域控制器上进行。作为一项安全措施,Windows XP、Windows 2000 和 Windows NT 操作系统都要求通过密码进行用户身份验证。然而,任何系统的安全都取决于技术和策略(人们对系统进行设置和管理的方式)两个方面。这一检查将枚举所有用户帐户并检查是否有人采用了下列密码:
| • | 密码为空白 |
| • | 密码与用户帐户名相同 |
| • | 密码与计算机名相同 |
| • | 密码使用“password”一词 |
| • | 密码使用“admin”或“administrator”一词 |
该检查还可通知您任何被禁用或者当前被锁定的帐户。
MBSA 将通过使用每一个上述密码来尝试更改目标计算机中的密码。如果此操作成功,则表明该帐户正在使用该密码。MBSA 将不重新设置或永久更改密码,但是将报告您的密码过于简单。
您应该注意到这一检查可能花很长时间,这取决于计算机上的用户帐户数。因此,管理员可能想要在扫描他们所在网络的域控制器前禁用该检查。
注意:如果在计算机上启用审核功能,这一检查可能会在安全日志中产生事件日志记录。
操作系统版本
该检查将确定在被扫描的计算机上运行的是何种操作系统。Windows XP 和 Windows 2000 为您的所有业务活动带来了更高水准的可靠性和可用性,例如对文件权限更精确的控制。
密码过期
该检查将确定是否有本地用户帐户设置了永不过期的密码。密码应该定期更改,以降低遭到密码攻击的可能性。每个使用了永不过期的密码的本地用户帐户都将被列出。
限制匿名用户
该检查将确定被扫描的计算机上是否使用了 RestrictAnonymous 注册表项来限制匿名连接。
匿名用户可以列出某些类型的系统信息,其中包括用户名及其详细信息、帐户策略和共享名。需要加强安全的用户可以限制此功能,以使匿名用户无法访问信息。
共享
该检查将确定在被扫描的计算机上是否存在共享文件夹。扫描报告将列出在计算机上发现的所有共享内容,其中包括管理共享及其共享级别和 NTFS 级别的权限。
除非需要,否则您应关闭共享区,或者应通过共享级别和 NTFS 级别权限,仅限特定用户进行访问,从而达到对其共享区进行保护的目的。
IIS 检查
IIS 上的 MSADC 和脚本虚拟目录
该检查将确定 MSADC(样本数据访问脚本)和脚本虚拟目录是否已安装在被扫描的 Internet Information Services (IIS)计算机上。这些目录通常包含一些不需要时就应该删除的脚本,将其删除可缩小计算机受攻击的范围。
IIS 锁定工具将关闭 IIS 中不必要的功能(比如该功能),从而减少系统暴露给攻击者的机会。
IISADMPWD 虚拟目录
该检查将确定 IISADMPWD 目录是否已安装在被扫描的计算机上。IIS 4.0 能让用户更改他们的 Windows 密码并通知用户他们的密码即将到期。IISADMPWD 虚拟目录包含了此功能所要使用的文件,在 IIS 4.0 中,IISADMPWD 虚拟目录将作为默认 Web 站点的组成部分进行安装。此功能是作为一组 .htr 文件和一个名为 Ism.dll 的 ISAPI 扩展加以实现的,.htr 文件位于 /System32/Inetsrv/Iisadmpwd 目录中。
域控制器上的 IIS
该检查将确定 Internet Information Services (IIS)是否在一个作为域控制器的系统上运行。这种情况将在扫描报告中作为一个严重安全漏洞加以标记,除非被扫描的计算机是一台小型企业服务器(Small Business Server)。
我们建议您不要在域控制器上运行 IIS Web 服务器。域控制器上有敏感的数据(如:用户帐户信息),不应该用作另一个角色。如果您在一个域控制器上运行 Web 服务器,则增加了保护服务器安全和防止攻击的复杂性。
IIS 锁定工具
该检查将确定 IIS Lockdown 工具的 2.1 版本(Microsoft Security Tool Kit 的一部分)是否已经在被扫描的计算机上运行。IIS Lockdown 工具的工作原理是关闭 IIS 中不必要的功能,从而缩小攻击者可以利用的攻击面。
在 Windows Server 2003 的全新安装中,IIS 6.0 不需要 IIS Lockdown 工具,因为其已默认锁定(在配置 IIS 角色时,必须由 IIS Administrator 直接启用服务)。对于从 IIS 5.0 安装升级到 IIS 6.0,应该使用 IIS Lockdown 来确保仅在服务器上启用了所需的服务。
IIS 日志记录
该检查将确定 Internet Information Services (IIS)日志记录是否已启用,以及是否已使用了 W3C Extended Log File Format(W3C 扩展日志文件格式)。
IIS 日志记录已经超出了 Windows 的事件日志记录或性能监视功能的范围。日志可以包括诸如谁访问过您的站点,访问者查看了什么内容,以及最后查看信息是在什么时候之类的信息。您可以监视对 Web 站点、虚拟文件夹或文件的访问尝试,包括成功或未成功的。这包括读取文件或写入文件等事件。可以选择要对任何站点、虚拟目录或文件进行审核的事件。通过定期复查这些文件,您可以检测到您的服务器或站点中可能受到攻击或出现其他安全问题的地方。您可以针对各 Web 站点分别启用日志记录,并选择日志格式。在启用了日志记录之后,也就对该站点的所有文件夹启用了日志记录,但您也可以对特定的目录禁用日志记录。
IIS 父路经
这一检查将确定在被扫描的计算机上是否启用了 ASPEnableParentPaths 设置。通过在 IIS 上启用父路经,Active Server Page(ASP)页就可以使用到当前目录的父目录的相对路径——即使用 .. 语法的路径。
IIS 样本应用程序
该检查将确定下列 IIS 示例文件目录是否安装在计算机上:
/Inetpub/iissamples
/Winnt/help/iishelp
/Program Files/common files/system/msadc
通常与 IIS 一起安装的样本应用程序会显示动态 HTML (DHTML) 和 Active Server Pages (ASP)脚本并提供联机文档。
SQL 检查
MBSA V1.2 对在被扫描的计算机中发现的 SQL Server 和 MSDE 的所有实例进行扫描。
Sysadmin 角色的成员
该检查将确定 Sysadmin 角色的成员数量,并将结果显示在安全报告中。
SQL Server 角色用于将具有相同操作权限的登录组合到一起。固定的服务器角色 Sysadmin 将系统管理员权限提供给它的所有成员。
注意:如果您看到一条“No permissions to access database”(无权访问数据库)错误消息,则您可能没有访问 MASTER 数据库的权限。
仅将 CmdExec 权限授予 Sysadmin
该检查将确保 CmdExec 权限仅被授予 Sysadmin。其他所有具有 CmdExec 权限的帐户都将在安全报告中列出。
SQL Server 代理是 Windows XP、Windows 2000 和 Windows NT 上的一项服务,负责执行作业、监控 SQL Server 和发送警报。通过 SQL Server 代理,您可以使用脚本化作业步骤来使某些管理任务实现自动化。作业是 SQL Server 代理按顺序执行的一个指定的操作序列。一项作业可以执行范围广泛的活动,其中包括运行 Transact-SQL 脚本、命令行应用程序和 Microsoft ActiveX 脚本。用户可以创建作业,以便运行经常重复或者计划的任务,而作业也可以通过生成警报自动将它们的状态通知给用户。
SQL Server 本地帐户密码
该检查将确定是否有本地 SQL Server 帐户采用了简单密码(如:空白密码)。这一检查将枚举所有用户帐户并检查是否有帐户采用了下列密码:
| • | 密码为空白 |
| • | 密码与用户帐户名相同 |
| • | 密码与计算机名相同 |
| • | 密码使用“password”一词 |
| • | 密码使用“sa”一词 |
| • | 密码使用“admin”或“administrator”一词 |
这一检查还通知您任何被禁用或者当前被锁定的帐户。
SQL Server 身份验证模式
该检查将确定被扫描的 SQL Server 上所用的身份验证模式。
Microsoft SQL Server 为提高对该服务器进行访问的安全性提供了两种模式:Windows 身份验证模式和混合模式。
在 Windows 身份验证模式下,Microsoft SQL Server 只依赖 Windows 对用户进行身份验证。然后,Windows 用户或组就得到授予访问 SQL Server 的权限。在混合模式下,用户可能通过 Windows 或通过 SQL Server 进行身份验证。经过 SQL Server 身份验证的用户将把用户名和密码保存在 SQL Server 内。Microsoft 强烈推荐始终使用 Windows 身份验证模式。
Windows 身份验证模式
该安全模式使 SQL Server 能够像其他应用程序那样依赖 Windows 对用户进行身份验证。使用此模式与服务器建立的连接叫做受信任连接。
当您使用 Windows 身份验证模式时,数据库管理员通过授予用户登录到 SQL Server 的权限来允许他们访问运行 SQL Server 的计算机。Windows 安全识别符(SID)将用于跟踪使用 Windows 进行身份验证的用户。在使用 Windows SID 的情况下,数据库管理员可以将访问权直接授予 Windows 用户或组。
混合模式
在 SQL Server 中,当客户端和服务器都可以使用 NTLM 或 Kerberos 登录身份验证协议时,混合模式将依赖 Windows 对用户进行身份验证。如果其中某一方不能使用标准 Windows 登录,那么 SQL Server 就会要求提供用户名和密码,并将用户名和密码与存储在其系统表中的用户名和密码进行比较。依赖用户名和密码建立的连接叫做不受信任的连接。
之所以提供混合模式,原因有二:1) 向后兼容 SQL Server 的旧版本;2) 在 SQL Server 安装到 Windows 95 和 Windows 98 操作系统时实现兼容。(在充当服务器的 Windows 95 或 Windows 98 计算机上不支持受信任的连接。)
Sysadmin 角色中的 SQL Server BUILTIN/Administrators
该检查将确定内置 Administrators(管理员)组是否被列为 Sysadmin 角色的一个成员。
注意:如果您看到一条“No permissions to access database”(无权访问数据库)错误消息,则可能不具有访问 MASTER 数据库的权限。
SQL Server 角色是一个安全帐户,其是包含有其他安全帐户的一个帐户集合。在对权限进行管理时,可以将之看作是一个单独的单元。一个角色可以包含 SQL Server 登录权限、其他角色和 Windows 用户帐户或组。
固定的服务器角色具有涵盖整个服务器的作用域。这些角色存在于数据库外部。一个固定服务器角色的每个成员都能够向相同角色中添加其他登录。Windows BUILTIN/Administrators 组(本地管理员的组)的所有成员默认情况下都是 sysadmin 角色的成员,从而向其赋予了对您的所有数据库的完全访问权。
SQL Server 目录访问
该检查将验证下列 SQL Server 目录是否都只将访问权授予 SQL 服务帐户和本地管理员:
| • | Program Files/Microsoft SQL Server/MSSQL$InstanceName/Binn |
| • | Program Files/Microsoft SQL Server/MSSQL$InstanceName/Data |
| • | Program Files/Microsoft SQL Server/MSSQL/Binn |
| • | Program Files/Microsoft SQL Server/MSSQL/Data |
该工具将扫描这些文件夹中每个文件夹上的访问控制列表(ACL),并枚举出 ACL 中包含的用户。如果任何其他用户(除 SQL 服务帐户和管理员以外)具有读取或修改这些文件夹的访问权,则该工具将在安全报告中将此检查标记为一个安全漏洞。
SQL Server 公开的 sa 帐户密码
这一检查将确定 SQL 7.0 SP1、SP2 或 SP3 sa 帐户密码是否以明文形式写入 %windir% 和 %windir%/%temp% 目录的 setup.iss 和 sqlstp.log/sqlspX.log 文件中。在 SQL 2000 中,如果域凭证用于启动 SQL Server 服务,则也会检查 splstp.log/sqlspX.log 文件。
如果在设置 SQL Server 时使用混合模式身份验证,则 sa 密码以明文形式保存在 SQL Server 7.0 SP1、SP2 和 SP3 的 setup.iss 和 sqlstp.log 文件中。如果使用 Windows 身份验证模式(推荐模式)的管理员选择提供在自动启动 SQL Server 服务时使用的域凭证,他们只会使凭证处于危险境地。
SQL Server 来宾帐户
该检查将确定 SQL Server 来宾 帐户是否具有访问数据库(Master、tempdb 和 msdb 除外)的权限。该帐户具有访问权的所有数据库都将在安全报告中列出。
注意:如果您看到一条“No permissions to access database”(无权访问数据库)错误消息,则您可能不具有访问 MASTER 数据库的权限。
在 SQL Server 中,一个用户登录帐户必须以下列方式之一获得访问数据库及其对象的授权。
| 1. | 登录帐户可以被指定为一个数据库用户。 |
| 2. | 登录帐户可以使用数据库中的来宾帐户。 |
| 3. | Windows 组登录可以映射到一个数据库角色。然后,属于该组的单个 Windows 帐户都可以连接到该数据库。 |
db_owner 或 db_accessadmin 数据库角色的成员或者 Sysadmin 固定服务器角色成员都可以创建数据库用户帐户角色。一个帐户可以有多个参数:SQL Server 登录 ID、数据库用户名(可选)和最多一个角色名称(可选)。数据库用户名称可以与用户的登录 ID 不同。如果未提供数据库用户名,则该用户的登录 ID 和数据库用户名完全相同。创建数据库用户后,可以根据需要为该用户分配任意数量的角色。如果未提供角色名称,则该数据库用户只是公共角色的一个成员。
db_owner、db_accessadmin 或 sysadmin 角色的成员还可以创建来宾帐户。来宾帐户允许任何合法的 SQL Server 登录帐户即使没有数据库用户帐户也能访问数据库。默认情况下,来宾帐户将继承分配给公共角色的所有特权;不过,这些特权可以被更改,使其权限大于或小于公共角色特权。
域控制器上的 SQL Server
该检查将确定 SQL Server 是否在一个担当域控制器的系统上运行。我们建议您不要在一个域控制器上运行 SQL Server。域控制器包含有敏感数据(如:用户帐户信息),不应该用作另一个角色。如果您在一个域控制器上运行 SQL Server,则增加了保护服务器安全和防止攻击的复杂性。
SQL Server 注册表项安全
该检查将确保 Everyone(所有人)组对下列注册表项的访问权被限制为读取权限:
HKLM/Software/Microsoft/Microsoft SQL Server
HKLM/Software/Microsoft/MSSQLServer
如果 Everyone 组对这些注册表项的访问权限高于读取权限,则这种情况将在安全扫描报告中被标记为严重安全漏洞。
SQL Server 服务帐户
该检查将确定 SQL Server 服务帐户在被扫描的计算机上是否为本地或 域管理员组的成员,或者是否有 SQL Server 服务帐户正在 LocalSystem 上下文中运行。
在被扫描的计算机上,MSSQLServer 和 SQLServerAgent 服务帐户都要经过检查。
注意:如果您看到一条“No permissions to access database”(无权访问数据库)错误消息,则可能不具有访问 MASTER 数据库的权限。
安全更新检查
Service Pack(服务软件包)是经过全面测试的更新程序集,主要用于解决用户报告的 Microsoft 产品中出现的各种问题。通常,Service Pack 修复产品自公开发布以来所发现的问题。Service Pack 具有累积性质——每个新的 Service Pack 中不仅包含所有新的修补程序,同时还包含以前 Service Pack 中的所有修补程序。它们被设计为能确保与新发布的软件和驱动程序的平台相兼容,并包含用来修复用户发现或者通过内部测试发现的问题的更新程序。
而即时修复程序则通常是针对一个特定的错误或安全漏洞的临时更新程序。在一个 Service Pack 的使用周期中提供的所有即时修复程序都将积累到后面的 Service Pack 中。此工具识别出的每一个安全即时修复程序都有一个与之关联的 Microsoft 安全公告,该公告包含有关该修补程序的详细信息。这一检查的结果将确定缺少了哪些即时修复程序,并提供一个连接到 Microsoft Web 站点的链接,以便您查看每个安全公告的详细信息。
此工具进行的这一检查将确保您具有针对下列产品和组件的最新 Service Pack 和安全更新:
| • | Windows NT 4.0(除非通过 mbsacli.exe /hf 进行扫描,否则只能进行远程扫描) |
| • | Windows 2000 |
| • | Windows XP |
| • | Windows Server 2003 |
| • | Internet Explorer 5.01 和后续版本(包括 Internet Explorer 6.0 for Windows Server 2003) |
| • | Windows Media Player 6.4 和后续版本 |
| • | IIS 4.0、5.0、5.1 和 6.0 |
| • | SQL Server 7.0 和 2000(包括 Microsoft Data Engine) |
| • | Exchange Server 5.5、2000 和 2003(包括 Exchange Admin Tools) |
| • | Microsoft Office(只能进行本地扫描;请参见l产品列表)。 |
| • | Microsoft Data Access Components (MDAC) 2.5、2.6、2.7 和 2.8 |
| • | Microsoft Virtual Machine |
| • | MSXML 2.5、2.6、3.0 和 4.0 |
| • | BizTalk Server 2000、2002 和 2004 |
| • | Commerce Server 2000 和 2002 |
| • | Content Management Server (CMS) 2001 和 2002 |
| • | SNA Server 4.0、Host Integration Server (HIS) 2000 和 2004 |
桌面应用程序检查
Internet Explorer 安全区域
该检查将列出被扫描计算机上的每一个本地用户当前采用和建议的 IE 区域安全设置。
Microsoft Internet Explorer Web 内容区域将 Internet 或 Intranet 分成了具有不同安全级别的区域。这一功能允许您为浏览器设置全局默认设置,以便允许受信任站点上的所有内容或者禁止某些类型的内容,如:Java 小程序或 ActiveX 控件,具体情况根据 Web 站点所在的区域而定。
Internet Explorer 浏览软件带有四个预定义的 Web 内容区域:Internet、本地 Intranet、受信任的站点和受限制的站点。在 Internet Options 选项对话框中,您可以为每一个区域设置您想要的安全选项,然后在任何区域中(Internet 除外)添加站点或从中删除站点,具体情况视您对该站点设置的信任级别而定。在企业环境中,管理员可以为用户设置区域。他们还可以(预先)添加他们信任的或删除他们不信任的软件发布者的身份验证证书,这样用户就不必在使用 Internet 时再作出安全决定了。
对于每个安全区域,您可以选择高、中和低三个级别,或者自定义安全设置。Microsoft 建议,对于那些不能确定是否可信任的区域内的站点,应将安全性设置为高。自定义选项为高级用户和管理员提供了针对所有安全选项的更多的控制权,其中包括下列几项:
| • | 对文件、ActiveX 控件和脚本的访问 |
| • | 提供给 Java 小程序的功能级别 |
| • | 带有安全套接字层 (SSL) 身份验证的站点身份指定 |
| • | 带有 NTLM 身份验证的密码保护(根据服务器所在的区域,Internet Explorer 可以自动发送密码信息,提示用户输入用户和密码信息,或者干脆拒绝任何登录请求) |
面向管理员的 Internet Explorer 增强安全配置
该检查可识别出运行 Microsoft Windows Server 2003 的计算机上是否已经启用针对管理员的 Internet Explorer 增强安全配置(Enhanced Security Configuration)。如果已经安装了针对管理员的 Internet Explorer 增强安全配置,这一检查还会识别出禁用该 Internet Explorer 增强安全配置的管理员。
面向非管理员的 Internet Explorer 增强安全配置
这一检查识别出在运行 Microsoft Windows Server 2003 的计算机上是否已经启用用于非管理员的用户的 Internet Explorer 增强安全配置(Enhanced Security Configuration)。如果已经安装了针对非管理员的 Internet Explorer 增强安全配置,这一检查还会识别出禁用该 Internet Explorer 增强安全配置的非管理员用户。
Office 宏保护
该检查将对每个用户逐一确定 Microsoft Office XP、Office 2000 和 Office 97 宏保护的安全级别。MBSA 还将对 PowerPoint、Word、Excel 和 Outlook 进行检查。
宏能够将重复的任务自动化。这样可以节省时间,但也会被用于传播病毒,例如,当一个用户打开一个包含恶意宏的受感染文档时。打开或者共享一个受感染的文档会使恶意宏蔓延到您系统上的其他文档,或者传播给其他用户。
附加资源
Microsoft 安全战略和解决方案
Microsoft 安全网站:http://www.microsoft.com/china/security/
MBSA 网站:http://www.microsoft.com/china/technet/security/tools/mbsahome.mspx
Microsoft 安全响应中心安全公告严重性分级系统http://www.microsoft.com/technet/security/bulletin/rating.mspx [英文]
查找可以帮助提供 Microsoft 安全解决方案的合作伙伴
Microsoft 认证提供商目录
http://directory.microsoft.com/resourcedirectory/Solutions.aspx [英文]
Microsoft 咨询服务部
http://www.microsoft.com/services/microsoftservices/cons.mspx [英文]
1每次 MBSA 运行时,都会尝试连接到 Internet,以从 Microsoft 下载 CAB/XML 文件。如果未建立 Internet 连接,那么该工具将查找该工具安装文件夹中的 CAB/XML 文件的本地副本。每次在扫描期间成功下载该文件后,就会在计算机上存储一个本地副本,以防随后的扫描无法连接到 Internet。而对于那些一直无法连接到 Internet 的计算机,用户可以从 Microsoft 下载中心站点单独下载此文件,然后复制到运行该工具的计算机上。
2.CAB 文件是经过 Microsoft Corportaion 数字签名的文件。MBSA 工具将验证数字签名,以确保该文件的真实性,并确保其没有被假文件或损坏的文件所替换。
3当给定一个域或 IP 地址范围时,MBSA 将设法识别该组中的所有计算机。该工具将列出那些无法被识别的计算机,并继续扫描那些作出响应的计算机。在 HFNetChk-style 扫描中,HFNetChk 引擎将查找所有计算机上用于扫描的两个 IP 端口,如果无法访问这些端口,则扫描将失败。该预扫描检查不依赖于 ICMP。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
