用微软安全基准分析器查找系统安全漏洞

Format

 什么是基准安全分析器

影响一个系统的安全性能的因素有许多，制定较为完备的安全策略是保证系统安全必不可少的条件。由于随着系统配置的不断变化，黑客技术的不断改进和提高，系统的安全程度也会不断地变化，系统的安全策略也应是一个动态变化的过程。系统的安全性取决于网络中最薄弱的环节。

检测和发现系统中的薄弱环节，最大限度地保证系统安全，最有效的方法之一就是定期对系统进行安全性分析，及时发现并改正系统、网络存在的薄弱环节和漏洞，保证系统安全。但是，仅仅依靠管理员去分析和发现系统漏洞，既费时费力，同时受管理员水平的限制，分析也未必全面。

微软基准安全分析器是这样一种工具，它可以检查运行Windows NT 4.0, Windows 2000和Windows XP的计算机以发现常见的在安全方面的配置错误。（可在微软网站下载）

微软基准安全分析器具有完备系统知识，深入并详细掌握其存在的安全脆弱性和漏洞，并知道如何弥补这些安全系统安全问题，及时修改安全策略，以保证系统始终处于最佳安全状态。

基准安全分析器的功能

基准安全分析器能够在运行 Windows NT 4.0，Windows 2000、Windows XP专业版 和 Windows XP 家庭版的机器上扫描。它能够检查：

1.Windows 操作系统安全漏洞

对于运行一个安全的系统来说，一个特别重要的要素是保持使用最新的安全修补程序。微软公司会经常发布一些安全修补程序，那么用户怎么知道哪些修补程序已经应用到您的系统中了呢？基准安全扫描器就可以做到这点，更为重要的是，它还能帮你分析出哪些还没有应用。

基准安全分析器将扫描 Windows 操作系统（Windows NT 4、Windows 2000、Windows XP）中的安全问题，如“来宾”帐户状态、文件系统类型、可用的文件共享、Administrators 组的成员等。检查的结果以安全报告的形式提供给用户，在报告中还带有关于修复所发现的任何问题的操作说明。

基准安全分析器检查Windows 操作系统安全的内容如下：

● 检查将确定并列出属于Local Administrators 组的用户帐户；

● 检查将确定在被扫描的计算机上是否启用了审核；

● 检查将确定在被扫描的计算机上是否启用了“自动登录”功能；

● 检查是否有不必要的服务；

● 检查将确定正在接受扫描的计算机是否为一个域控制器；

● 检查将确定在每一个硬盘上使用的是哪一种文件系统，以确保它是 NTFS 文件系统；

● 检查将确定在被扫描的计算机上是否启用了内置的来宾帐户；

● 检查将找出使用了空白密码或简单密码的所有本地用户帐户；

● 检查将列出被扫描计算机上的每一个本地用户当前采用的和建议的 IE 区域安全设置；

● 检查将确定在被扫描的计算机上运行的是哪一个操作系统；

● 检查将确定是否有本地用户帐户设置了永不过期的密码；

● 检查将确定被扫描的计算机上是否使用了 RestrictAnonymous 注册表项来限制匿名连接Service Pack 和即时修复程序。

IIS的安全分析

基准安全分析器将扫描 IIS 4.0 和 5.0 中的安全问题，如机器上出现的示例应用程序和某些虚拟目录。该工具还将检查在机器上是否运行了IIS锁定工具，该工具可以帮助管理员配置和保护他们的IIS服务器的安全。关于每一个 IIS 扫描结果的说明都会显示在安全报告中，并且带有关于修复发现的任何问题的操作说明。

基准安全分析器的IIS安全分析功能将：

● 检查将确定 MSADC（示例数据访问脚本）和脚本虚拟目录是否已安装在被扫描的 Internet 信息服务 (IIS) 计算机上。

● 检查将确定 IISADMPWD 目录是否已安装在被扫描的计算机上。

● 检查将确定 Internet 信息服务 (IIS) 是否在一个作为域控制器的系统上运行；

● 检查将确定 IIS 锁定工具的 2.1 版本（Microsoft Security Tool Kit 的一部分）是否已经在被扫描的计算机上运行

● 检查将确定 Internet 信息服务 (IIS) 日志记录是否已启用，以及 W3C 扩展日志文件格式是否已使用

● 一检查将确定在被扫描的计算机上是否启用了 ASPEnableParentPaths 设置。

● 检查将确定下列 IIS 示例文件目录是否安装在计算机上：

\Inetpub\iissamples

\Winnt\help\iishelp

\Program Files\common files\system\msadc SQL Server安全分析

基准安全分析器将扫描 SQL Server 7.0 和 SQL Server 2000 中的安全问题，如身份验证模式的类型、sa 帐户密码状态，以及 SQL 服务帐户成员身份。关于每一个 SQL Server扫描结果的说明都显示在安全报告中，并带有关于修复发现的任何问题的操作说明。

基准安全分析器的SQL Server安全分析功能将：

● 检查将确定 Sysadmin 角色的成员的数量，并将结果显示在安全报告中。

● 检查将确定是否有本地 SQL Server 帐户采用了简单密码（如空白密码）。

● 检查将确定被扫描的 SQL Server 上使用的身份验证模式。

● 检查将验证下列 SQL Server 目录是否都将访问权只限制到 SQL 服务帐户和本地 Administrators

● 检查将确定 SQL Server 7.0 和 SQL Server 2000 sa 帐户密码是否以明文形式写到 %temp%\sqlstp.log 和 %temp%\setup.iss 文件中。

● 这一检查将确定 SQL Server Guest 帐户是否具有访问数据库（Master、tempdb 和 msdb 除外）的权限。

● 检查将确定 SQL Server 是否在一个担任域控制器的系统上运行。

● 检查将确保 Everyone 组对下列注册表项的访问权被限制为读取权限：

HKLM\Software\Microsoft\Microsoft SQL Server

HKLM\Software\Microsoft\MSSQLServer

如果 Everyone 组对这些注册表项的访问权限高于读取权限，那么这种情况将在安全扫描报告中被标记为严重安全漏洞。

● 检查将确定 SQL Server 服务帐户在被扫描的计算机上是否为本地或 Domain Administrators 组的成员，或者是否有 SQL Server 服务帐户在 LocalSystem 上下文中运行。

Office安全分析

基准安全分析器的Office安全分析功能将：

● 检查将一个用户一个用户地确定 Microsoft Outlook 2002、Outlook 2000 和 Outlook 98 中下列区域的安全级别：

本地 Intranet 区域 ；

可信站点区域 ；

受限站点区域 ；

Internet 区域。

● 检查将一个用户一个用户地确定 Microsoft Office XP、Office 2000 和 Office 97 宏保护的安全级别。

● 安全分析器还对 PowerPoint、Word、Excel 和 Outlook 进行检查。

基准安全分析器的操作简介

基准安全分析器的启动界面如下图所示：

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/27_files/28974[1].jpg" alt=""/>操作模式

基准安全分析器的操作模式有两种：

● 单台计算机模式

● 多台计算机模式

基准安全分析器操作的最简单模式是单台计算机模式。这种模式的典型情况是"自扫描"。当用户选择"Pick a computer to scan"（选择一台计算机进行扫描）操作时，你可以选择输入你希望对其进行扫描的计算机的名称或者 IP 地址。默认情况下，当你选中此选项时，显示的计算机名将是该工具运行所在的本地计算机。

如果用户选择"Pick Multiple Computers to Scan"（选择多台计算机进行扫描）时，你将有机会扫描多台计算机。你可以选择通过输入域名扫描整个域，或者可以指定一个 IP 地址范围并扫描在该范围内的所有基于 Windows 的机器。

要想扫描一台计算机，需要有管理员访问权。在"自扫描"的情况下，你用来运行基准安全分析器的帐户也必须是管理员或者是本地管理员组的一个成员。在要扫描多台计算机的情况下，你必须是每一台计算机的管理员或者是一个域管理员。

每次你扫描一台计算机或者一组计算机时，都会为每一台被扫描的计算机生成一个安全报告，并保存在运行着基准安全分析器的那台计算机上。这些报告的位置将在屏幕的顶端列出（存储在用户配置文件文件夹中）。安全报告是以 XML 格式保存的。

用户可以轻松地按照计算机名、扫描日期、IP地址或者安全评估对这些报告进行排序。此功能让你能够轻松地将一段时间内的安全扫描加以比较。

分析单台计算机

当用户选择"Pick a computer to scan"，进入单台扫描模式。如下图所示：

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/27_files/28975[1].jpg" alt=""/>

在界面的左侧你可以选择输入你希望对其进行扫描的计算机的名称或者 IP 地址。默认情况下，当你选中此选项时，显示的计算机名将是该工具运行所在的本地计算机。

在"Computer name"处输入你想分析的计算机的主机名，或者在"IP address"处输入你想分析的计算机的IP地址。两者选择一个即可。

在"Security report name"处填入安全报告名称的格式。

在"Options"处选择安全分析的内容：

● "Check for Windows vulnerabilities" ：分析Windows的安全性；

● "Check for weak passwords" ：对脆弱的口令进行分析；

● "Check for IIS vulnerabilities" ：对Internet Information Server的脆弱性进行评估；

● "Check for SQL vulnerabilities" ：对SQL Server的脆弱性进行分析；

● "Check for hotfixes" ：对最新的安全更新进行检查。

如果要获得更多的扫描选项的信息，可以单击"Scanning Options"。

上述选项填完后，选择"Start Scan"。这是系统弹出安全警告对话框：

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/27_files/28976[1].jpg" alt=""/>

请选择是。然后系统进入扫描状态：

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/27_files/28977[1].jpg" alt=""/>

扫描结束后，可以查看分析结果：安全报告。如下图所示：

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/27_files/28978[1].jpg" alt=""/>

在察看安全报告时，可以通过"Set Order"将各种脆弱性进行排序。分别可以按"Issue name, Best first, worse first"排序。

安全报告还可以打印和拷贝到剪贴板。

分析多台计算机

当用户选择"Pick multiple computers to scan"，进入多台扫描模式。如下图所示：

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/27_files/28979[1].jpg" alt=""/>

在界面的左侧你可以选择输入你希望对其进行扫描的域名和IP地址范围。

在"Domain name"处输入你想分析的网络域名，或者在"IP address range"处输入你想分析的计算机的IP地址。两者选择一个即可。

在"Security report name"处填入安全报告名称的格式。

在"Options"处选择安全分析的内容，具体含义参见"分析单台计算机"。

上述选项填完后，选择"Start Scan"。后面的过程与单台计算机模式相似，这里不再赘述。

因为分析多台计算机的安全性，所以会产生多个安全报告，这时请选择"Pick a security report to view"，然后出现如图界面：

MSITStore:C:\Documents%20and%20Settings\cface\桌面\win2000\windows2000.chm::/27_files/28980[1].jpg" alt=""/>

这时只需选择你想察看的主机即可。

结束语

计算机安全、安全漏洞以及威胁不仅关系到信息技术专业人士，而且也关系到使用计算机的每一个人。大多数公司和许多家庭用户都使用"不间断"连接与Internet相连，这种连接方式将他们暴露在病毒、黑客和拒绝服务攻击这些固有的风险之下。

对于普通用户来说，切实需要一些很好的工具来帮助自己减少安全隐患，那么，对于微软平台用户来说，微软基准安全分析器就是这么一个好工具。