一、适用平台
微软于2003年6月发布了MBSA 1.1.1,最新的版本是1.2。虽然这个版本的MBSA只能在XP和2K上运行,但它能够远程扫描XP、2K和NT 4.0(MBSA不能扫描Windows Me和9x系统)。
由于各种软件产品的更新格式不兼容,用同一个扫描工具扫描多种软件产品存在一定的困难,在最终形成统一的解决方案之前,许多更新工具只能用于特定的产品,例如Office与Windows的更新方式截然不同。虽然存在这些困难,MBSA仍实现了对多种产品的安全和更新扫描,如表一所示。
二、安装与配制
MBSA目前没有中文版。它的安装很简单,下载地址是http://www.microsoft.com/china/windowsxp/pro/winxppro/tools/mbsahome.asp,下载得到的是一个Windows安装程序包(.msi文件),双击.msi文件开始安装。
默认情况下,安装程序把MBSA安装到\program files\microsoft baseline security analyzer目录。这个目录将包含MBSA的执行文件mbsa.exe和mbsacli.exe,两者分别是MBSA的GUI界面和命令行界面扫描工具;另外还有几个HTTP和XSLT(Extensible Style Language Transformation)模板,MBSA用它们格式化和显示内建的报表;Help子目录提供的文档详细解释了MBSA的每一项扫描功能。
MBSA的目录下面还有几个配制文本文件,利用这些文件可以定制MBSA的扫描过程和方式。services.txt列出了MBSA需要监视和扫描的服务,默认列出的服务包括MSFTPSVC、TlntSvr、W3SVC和SMTPSVC,如果要让MBSA扫描其他服务,只要把服务的简称加入该文件即可。另一个文本文件noexpireok.txt列出了MBSA不将其视为潜在安全隐患的帐户名称(例如密码设置为永不过期的帐户),MBSA默认不报告IUSR_*和 IWAM_*帐户,修改这个文件可以让MBSA跳过对其他帐户的检查。
MBSA每次运行时都会尝试从微软网站下载一个mssecure.cab文件,这是一个压缩的XML文件,它列出了所有最近的更新。如果本地网络上有SUS服务器,MBSA可以配制成从SUS下载mssecure.cab文件(而不是从微软下载)――当然,MBSA只能根据它所使用的mssecure.cab文件报告尚未安装的更新。
执行全面的MBSA扫描需要目标系统上的管理员权限。如图一所示,运行mbsa.exe启动MBSA的图形界面的版本,图形界面的优点是简单易用,可以直观地设置要扫描的计算机和扫描类型。设置扫描目标的方法是点击Pick a computer to scan或Pick multiple computers to scan,输入一个IP地址、一个IP地址范围或一个域名。
图一
其次是设置扫描选项,例如检查Windows漏洞等,另外还可以指定一个SUS服务器,让MBSA从SUS服务器下载一个软件更新的清单与各目标机器比较;如不指定SUS服务器,MBSA将从微软网站下载软件更新的清单。默认情况下,图形界面的MBSA将执行微软所谓的“基线扫描”,即只扫描和报告Windows Update定义的“关键更新”,而不是扫描和报告所有的安全更新。
三、执行扫描
在图一中,点击Start scan开始扫描。扫描所需的时间与具体的扫描项目和机器数量有关,例如,在本人的一次测试中,网络上共有16台机器,扫描对象包括各种服务,如IIS、SQL Server、Exchange,总扫描时间约5分钟。
默认情况下,MBSA将安全报告写入\%userprofile%\securityscan文件夹,每一台计算机分别有一个独立的XML格式的报告,每个报告文件的体积约为20 kb。
扫描结束后,点击Pick a security report to view选择并查看安全报告。MBSA允许按计算机名称、IP地址、扫描日期排序报告文件,不过几遍扫描下来,文件夹里面仍会堆积起大量的文件,所以最好及时删除过时的报告。
如果你第一次用MBSA扫描网络,很可能得到一份让人大吃一惊的报告――新安装的系统,无论是Win 2K还是XP,都无法通过MBSA的扫描检查。
如前所述,MBSA不能提供综合性的报告,所有报告都是针对单台机器的。点击一台计算机的名称,MBSA显示出这台机器的安全漏洞和未安装补丁的摘要报告,如图二所示。
图二
对于大多数发现的问题,MBSA会提供进一步的详细资料。例如,假设MBSA报告Password Expiration(密码过期)检测没有通过,点击Result details可以看到哪一个帐户的密码被设置为永不过期。另外,What was scanned和How to correct this提供了直接指向MBSA帮助文件的链接,详细解释己发现的问题及解决办法。
MBSA的摘要报告分5个部份,即:Security Update Scan Results(安全更新扫描结果),Windows Scan Results(Windows扫描结果),Internet Information Services Scan Results(IIS扫描结果),SQL Server Scan Results(SQL Server扫描结果),以及Desktop Application Scan Results(桌面应用程序扫描结果)。例如,在Windows Scan Results中,MBSA将非NTFS分区和启用GUEST帐户视为安全隐患,将具体的审核设置、服务状态和共享资源当作附加信息。MBSA将报告被扫描机器的所有共享资源,包括共享级别以及目录的ACL设置。
图形用户界面的MBSA只允许通过名称或IP地址指定一台要扫描的机器,或者通过IP地址范围或域成员关系指定一批要扫描的机器,但是,它不允许按照机器的类型(如服务器/工作站)或名称匹配的方式(如sea*、www*)指定要扫描的机器。MBSA的命令行版本突破了许多诸如此类的局限,不仅提供了丰富、灵活的命令行参数,而且还可以用于命令行脚本。
四、命令行工具
MBSA的命令行版本支持二种语法结构:一种是MBSA标准的语法结构,一种是模拟另一个补丁检查工具HFNetChk命令行语法的结构。执行Mbsacli /?显示出标准命令行选项的清单,执行Mbsacli /hf /?显示出模拟HFNetChk时的命令行参数。
命令行版MBSA的一个重要优点是可以用于各种脚本环境中,如命令脚本(.BAT或.CMD文件)、WSH脚本(.vbs或.js文件)等,通过脚本调用Mbsacli扫描多个系统或多个网络,或实现对扫描报告的进一步处理。
另外,命令行版MBSA还可以放入任务计划,实现对域或计算机的定期扫描。例如,假设要定期扫描一个特定IP地址范围的子网,检查因配制不当而导致的安全隐患,但不要求扫描软件更新,则命令为:mbsacli /n updates /r 192.168.7.1-192.168.7.254。其中/n参数指示Mbsacli不必执行某项扫描操作,在这里MBSA将不扫描软件更新;/r参数用来指定一个IP地址的范围。假设要扫描某台特定的机器,检查未安装的软件更新,则命令为:mbsacli /n os+sql+iis+passwords /i 192.168.7.10。
为便于在脚本环境和任务计划中使用,mbsacli提供了几个输出过滤和重定向参数,例如“mbsacli -f \\wkstn\logon\scan.txt -c blvu\dc1命令将扫描结果输出到网络共享文件夹\\wkstn\logon\的scan.txt文件。如果要从SUS服务器获取可用的更新清单,只要加上/sus参数,例如:mbsacli /sus "http://susserver" /i 192.168.7.10。
Mbsacli不象HFNetChk那样向控制台输出详细的扫描报告,它只显示摘要,如图三所示。然而,就象图形用户界面的MBSA一样,Mbsacli也生成XML格式的报告,而且提供了列出和显示这些报告的命令行选项。例如,Mbsacli -l命令将列出当前用户的用户配制文件夹(\%userprofile%\securityscans)下面的所有XML报告,利用“-ld 报表名称”选项可以访问报表。
图三
综上所述,虽然MBSA不象SUS之类的产品那样丰富和全面,但却能够迅速地找出系统存在的安全隐患,特别适合个人用户和小型网络环境(如对等网络)使用。
