第3章 Windows系統(tǒng)漏洞安全

在計算機網(wǎng)絡安全領域，系統(tǒng)漏洞是指系統(tǒng)中存在的弱點或者缺點，可能會降低系統(tǒng)對來自外界的入侵或攻擊的敏感性，從而影響到系統(tǒng)的安全性。對于Windows這樣一個龐大的系統(tǒng)而言，漏洞的存在是不可避免的，并因此給系統(tǒng)安全造成了難以估量的危險。近幾年，微軟公司已經(jīng)意識到Windows系統(tǒng)漏洞的嚴重性，幾乎每天都要發(fā)布各種系統(tǒng)更新補丁，盡量搶在第一時間彌補系統(tǒng)漏洞，降低用戶損失。

3.1 漏洞概述

硬件設備、應用程序、網(wǎng)絡協(xié)議等都可能存在漏洞，攻擊者借助這些漏洞，能夠在未得到授權的情況下訪問或破壞系統(tǒng)。客觀地講，系統(tǒng)漏洞是無法避免的，對于Windows操作系統(tǒng)而言，在新版操作系統(tǒng)彌補舊版本中漏洞的同時，還會引入一些新的漏洞。應對系統(tǒng)漏洞最有效的方法就是指定詳細的修補策略，及時發(fā)現(xiàn)并彌補漏洞。

3.1.1 系統(tǒng)漏洞的特性

大多數(shù)用戶對系統(tǒng)漏洞的概念都有一定的了解，但這些了解只局限于各大廠商公布的漏洞，以及一些權威機構發(fā)布的漏洞公告。從信息安全的角度看，是先有漏洞和對漏洞的攻擊的可能性，然后才會有補丁。漏洞是攻擊者所要攻擊的目標，而安裝補丁是對漏洞的修補過程。漏洞是廣泛存在的，不同的設備、操作系統(tǒng)、應用系統(tǒng)都存在安全漏洞。

1.漏洞的時間局限性

任何系統(tǒng)漏洞都是在用戶不斷使用的過程中被發(fā)現(xiàn)的，以后系統(tǒng)供應商采取新版本替代或者發(fā)布補丁程序等方式彌補漏洞。但隨著舊漏洞的消失，新環(huán)境下的新漏洞也將隨時產(chǎn)生。因此，系統(tǒng)漏洞只存在于特定的時間和環(huán)境，即只針對目標系統(tǒng)的系統(tǒng)版本、其上運行的軟件版本，以及服務運行設置等實際環(huán)境存在的。

2.漏洞的廣泛性

漏洞會影響到很大范圍的軟、硬件設備，包括操作系統(tǒng)本身及其支撐軟件平臺、網(wǎng)絡客戶端和服務器軟件、網(wǎng)絡路由器和安全防火墻等。換言之，在這些不同的軟硬件設備中，都可能存在不同的系統(tǒng)漏洞問題。例如，在不同種類的軟、硬件設備之間，同種設備的不同版本之間，由不同設備構成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設置條件下，都會存在各自不同的安全漏洞。

3.漏洞的隱蔽性

安全漏洞是最常見的系統(tǒng)漏洞類型之一。入侵者借助這些漏洞，可以繞過系統(tǒng)中的許多安全配置，從而實現(xiàn)入侵系統(tǒng)的目的。安全漏洞的出現(xiàn)，是因為在對安全協(xié)議的具體實現(xiàn)中發(fā)生了錯誤，是意外出現(xiàn)的非正常情況。而在實際的系統(tǒng)中，都會不同程度地存在各種潛在錯誤。因而所有系統(tǒng)中都存在安全漏洞，無論這些漏洞是否已被發(fā)現(xiàn)，也無論該系統(tǒng)的安全級別如何。在一定程度上，安全漏洞問題是獨立于系統(tǒng)本身的理論安全級別而存在的。也就是說，并不是系統(tǒng)所屬的安全級別越高，系統(tǒng)中所存在的漏洞就越少。

4.漏洞的被發(fā)現(xiàn)性

漏洞是特定環(huán)境和時間內(nèi)的必然產(chǎn)物，但必須在發(fā)現(xiàn)后才會被用來入侵系統(tǒng)或被彌補。在實際使用中，用戶會發(fā)現(xiàn)系統(tǒng)中存在錯誤。入侵者會有意利用其中的某些錯誤，并使其成為威脅系統(tǒng)安全的工具，這時用戶才會認識到這個錯誤是一個系統(tǒng)安全漏洞。系統(tǒng)供應商會盡快發(fā)布針對這個漏洞的補丁程序，糾正這個錯誤。這就是系統(tǒng)安全漏洞從被發(fā)現(xiàn)到被糾正的一般過程。

3.1.2 漏洞生命周期

漏洞所造成的安全問題具備一定的時效性，也就是說，每一個漏洞都存在一個和產(chǎn)品類似的生命周期的概念。只有對漏洞生命周期的概念進行研究并且分析出一定的規(guī)律，才能達到真正解決漏洞危害的目的。

漏洞生命周期的定義：漏洞從客觀存在到被發(fā)現(xiàn)、利用，到大規(guī)模危害和逐漸消失，這期間存在一個生命周期，該周期被稱為漏洞生命周期。

下面以“沖擊波（MSBlaster）”蠕蟲病毒為例，說明漏洞的生命周期包括如下五個基本階段。

第一階段：發(fā)現(xiàn)漏洞

2003年7月16日，微軟公司公布了MS03-026 Microsoft Windows DCOM RPC接口遠程緩沖區(qū)溢出漏洞，該漏洞影響Windows 2000、Windows XP、Windows Server 2003系統(tǒng)。

第二階段：彌補漏洞

2003年7月16日，微軟公司公布了MS03-026補丁用于修補該漏洞。隨后，在微軟發(fā)布該漏洞后，網(wǎng)絡上有零星的惡意攻擊者利用該漏洞進行了入侵。

第三階段：利用漏洞的病毒大肆爆發(fā)

2003年8月11日，爆發(fā)了利用上述Windows漏洞的“沖擊波”蠕蟲病毒。

第四階段：病毒出現(xiàn)變種

2003年8月18日，出現(xiàn)了一個利用同樣原理進行蔓延的“沖擊波清除者”病毒，該蠕蟲專門清除原來的沖擊波病毒，然而這個病毒卻消耗了大量的Internet帶寬，導致互聯(lián)網(wǎng)連續(xù)3個月的性能顯著下降。從蠕蟲爆發(fā)后全球Windows用戶開始安裝MS03-026補丁修補該漏洞，網(wǎng)絡運營商開始設法阻止蠕蟲蔓延，計算機防病毒廠商加入蠕蟲特征進行查殺。

第五階段：逐漸消失

2004年1月，蠕蟲傳播開始明顯被遏制，微軟公司估計全球有1000萬臺主機受到感染。從整個事件開始到結束，漏洞生命周期的五個階段，如表3-1所示。

3.1.3 漏洞管理流程

防火墻產(chǎn)品的訪問控制功能和入侵檢測功能，并不能對系統(tǒng)存在的漏洞進行任何防御和阻止；殺毒軟件更是如此，只有當借助漏洞入侵的病毒發(fā)生時，才會有所反應，因此只能作為網(wǎng)絡管理員的一種輔助手段。要從根本上解決利用漏洞進行攻擊的問題，就需要對漏洞產(chǎn)生的原因、漏洞的生命周期進行研究，同時配合人為的管理模式，建立一套行之有效的管理機制，并通過漏洞管理類的產(chǎn)品輔助執(zhí)行漏洞管理，漏洞管理的流程通常包括以下幾個方面。

1.安全策略

安全策略是指確保服務器、網(wǎng)絡設備、客戶端計算機、網(wǎng)絡安全設備，能夠正常工作的安全配置。大多數(shù)網(wǎng)絡設備都可以提供豐富的安全功能，并且部分功能已經(jīng)默認啟用，管理員也可以根據(jù)實際需要，制定更加詳細的安全策略。

2.漏洞預警

漏洞預警工作通常由產(chǎn)品供應商完成，即確保在發(fā)現(xiàn)漏洞后的第一時間告知用戶，如果沒有相應的補丁程序，還應給出臨時的解決方案等。這就要求漏洞管理產(chǎn)品的廠商應該有基礎的漏洞研究、跟蹤、以及提供臨時解決方案的能力。

3.漏洞檢測

執(zhí)行檢測工作之前需要對網(wǎng)絡的資產(chǎn)進行發(fā)現(xiàn)和跟蹤，以便快速、準確地確定產(chǎn)生漏洞的計算機或網(wǎng)絡設備。作為網(wǎng)絡管理員，必須周期性地對網(wǎng)絡中的網(wǎng)絡資產(chǎn)進行檢測，要求漏洞管理工具在保證一定效率的前提下，具有較高的準確性。需要注意的是，并不是檢測到的漏洞越多越好，而是要對檢測的有效性進行驗證和分析。

4.漏洞統(tǒng)計分析

在漏洞檢測完成之后，需要通過具體的報告和數(shù)據(jù)來對資產(chǎn)的風險進行評估、分析，清楚地顯示漏洞分布狀況、詳細描述、以及相應解決方案。需要注意的是，要對網(wǎng)絡中的資產(chǎn)風險進行分類，以便于對后續(xù)的漏洞修補工作進行優(yōu)先級區(qū)分。這一過程也可以通過購買專業(yè)的漏洞管理設備或者安全服務來完成。

5.漏洞修補

通過統(tǒng)計分析的結果指定切實可行的漏洞修補方案，并以合理的方式通知用戶，例如可以通過自動更新服務器來提供最新的漏洞修補程序，用戶可以按需下載也可以由服務器自動分發(fā)完成。需要注意的是，要注意補丁來源的合法性以及補丁的安全性。通常情況下，必須對補丁程序進行小范圍內(nèi)安全性測試、兼容性測試后，確保補丁不會影響到業(yè)務系統(tǒng)的正常運行，才可以大范圍分發(fā)。

6.漏洞審計、跟蹤

必須在網(wǎng)絡中部署完善的漏洞審計機制，即對于新接入或啟用的計算機或網(wǎng)絡設備，進行補丁狀態(tài)檢測，如果不能滿足安全要求，則拒絕繼續(xù)訪問或通過其他措施使其可以獲得所需的安全補丁。這個過程可以通過操作系統(tǒng)廠商、第三方的補丁管理軟件或者專業(yè)的安全服務完成。

7.其他問題

一個完善的漏洞管理機制能夠有效地保證人為的管理疏漏不被攻擊者利用，對于大多數(shù)利用漏洞的攻擊會十分有效。網(wǎng)絡管理人員在制定漏洞管理流程的時候要根據(jù)實際情況進行細化或者裁減，確保漏洞管理的高效、靈活、實用。漏洞管理流程應該注意的其他問題包括：

工作流程標準化；

盡量使用專業(yè)的、自動化的漏洞管理工具，盡量避免人為操作；

盡量不要中斷企業(yè)的業(yè)務流程，保證業(yè)務的正常運行；

漏洞修補盡量安排在晚上或者業(yè)務不繁忙的時候進行；

在測試環(huán)境中模擬測試通過，在確保不影響當前業(yè)務的狀態(tài)下，實施漏洞修補工作流程；

針對不同的操作系統(tǒng)要準備不同的版本。

3.1.4 漏洞修補策略

大多數(shù)蠕蟲病毒都是依靠系統(tǒng)漏洞進行傳播的，同時網(wǎng)絡掃描和利用系統(tǒng)漏洞也是“黑客”最常用的攻擊手段之一。因此，要做好網(wǎng)絡的安全保障，必須要做好漏洞補丁的安裝管理工作。對于個人用戶而言，系統(tǒng)漏洞修補無非就是安裝官方網(wǎng)站發(fā)布的補丁而已，但是服務器或者網(wǎng)絡中大規(guī)模部署補丁通常是一項非常重要的工作。安裝之前，必須先在實驗環(huán)境中進行測試和分析，然后才可以在網(wǎng)絡中大規(guī)模部署。

1.環(huán)境分析

知己知彼，百戰(zhàn)不殆。只有真正了解網(wǎng)絡內(nèi)部狀況，才能有效地實施漏洞修補。例如，及時掌握網(wǎng)絡資產(chǎn)情況、設備運行狀態(tài)，包括網(wǎng)絡中運行的設備型號、廠商、操作系統(tǒng)種類、版本等。同時還要了解企業(yè)的主要業(yè)務系統(tǒng)及重要的數(shù)據(jù)，根據(jù)需要劃分安全等級，以確定補丁的緊急程度和修補時間。

2.補丁分析

用戶計算機系統(tǒng)信息、硬件等變化，都可能導致無法正確安裝官方發(fā)布的系統(tǒng)漏洞補丁，甚至安裝后還會導致一系列的問題。因此，部署之前一定要針對用戶系統(tǒng)環(huán)境進行測試，切不可盲目地安裝補丁，否則將帶來許多意想不到的問題，其中包括：

導致系統(tǒng)兼容性出現(xiàn)問題，甚至不能使用；

系統(tǒng)崩潰，無法正常工作；

部分功能無法使用。

在得到補丁以后，正確的做法應該是：

在測試環(huán)境中，測試對業(yè)務系統(tǒng)的影響以及兼容性；

了解補丁自身的穩(wěn)定性；

查看補丁是否還存在漏洞；

在大規(guī)模部署之前，進行小范圍的短時間的聯(lián)機測試。

在測試的過程中，應做好詳細的測試記錄，了解補丁程序和與其相關的組件對象之間的兼容性，對原有系統(tǒng)功能的影響，是否可以卸載，是否可以“回滾”等。

3.分發(fā)安裝

對于網(wǎng)絡用戶而言，管理員可以通過組策略、SMS、WSUS等多種方法，將已獲得的系統(tǒng)補丁分發(fā)到客戶端。其中，WSUS為微軟公司提供的專用于補丁更新的服務組件，可以根據(jù)客戶端實際情況，自動將補丁程序分發(fā)到用戶或計算機，建議使用這種方法。詳細情況，請參考本書“第14章Windows系統(tǒng)更新服務”中的相關內(nèi)容。

3.2 漏洞掃描

漏洞掃描是網(wǎng)絡安全防御中的一項重要技術，其原理是采用模擬攻擊的形式對目標可能存在的安全漏洞進行逐項檢查。其目標是工作站、服務器、交換機、數(shù)據(jù)庫應用等各種應用設備，然后根據(jù)掃描結果向系統(tǒng)管理員提供周密可靠的安全性評估分析報告，從而為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。

3.2.1 漏洞掃描概述

在網(wǎng)絡安全體系的建設中，安全掃描是一種花費低、效果好、見效快、安裝運行簡單的實用工具，有利于保持全網(wǎng)安全的統(tǒng)一和穩(wěn)定。目前，市場上有很多漏洞掃描工具，使用的掃描技術包括基于網(wǎng)絡、基于主機、基于代理、基于Client/Server模式、漏洞特征、漏洞報告方法等，同時監(jiān)聽模式也有很多種。不同的產(chǎn)品之間，漏洞檢測的準確性差別較大，這就決定了生成的報告的有效性也有很大區(qū)別。

1.漏洞掃描的必要性

通常情況下，防火墻是不同網(wǎng)絡或網(wǎng)絡安全邊界之間信息的唯一通道，可以根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。防火墻是提供信息安全服務、實現(xiàn)網(wǎng)絡和信息安全的基礎設施，但也存在著一定的局限性。例如，“外緊內(nèi)松”是一般局域網(wǎng)絡的特點，一道嚴密防守的防火墻其內(nèi)部的網(wǎng)絡也可能是一片混亂。防火墻的局限性包括：

不能防范不經(jīng)過防火墻的攻擊；

不能解決來自內(nèi)部網(wǎng)絡的攻擊和安全問題；

不能防止最新的未設置策略或錯誤配置引起的安全威脅；

不能防止可接觸的人為或自然的破壞，防火墻是一個安全設備，但防火墻本身必須放在一個不安全的地方；

無法解決TCP/IP等協(xié)議的漏洞；

對服務器合法開放端口的攻擊大部分都無法阻止；

不能防止受病毒感染的文件的傳輸；

不能防止數(shù)據(jù)驅(qū)動式的攻擊；

不能防止內(nèi)部的泄密行為；

不能防止本身安全漏洞的威脅。

2.掃描工具的技術性能

不同的漏洞掃描工具采取的掃描技術和監(jiān)聽模式也不完全相同，選擇一款適合自己網(wǎng)絡環(huán)境和操作習慣的掃描工具，可以為日后的安全管理工作減少許多不必要的麻煩。選擇掃描工具時應注意如下幾點：

底層技術。比如，是被動掃描還是主動掃描，是基于主機掃描還是基于網(wǎng)絡掃描；

漏洞庫中的漏洞數(shù)量；

工具的易用性；

生成的報告的特性。內(nèi)容是否全面、是否可配置、是否可定制、報告的格式、輸出方式等；

對于漏洞修復行為的分析和建議。是否只報告存在哪些問題、是否會告訴應該如何修補這些漏洞；

安全性。由于有些掃描工具不僅僅只是發(fā)現(xiàn)漏洞，而且還進一步自動利用這些漏洞，掃描工具自身是否會帶來安全風險；

工具性能。掃描對象產(chǎn)品類型包括哪些；

工具價格。是否免費提供，收費方式如何。

3.2.2 漏洞掃描工具MBSA

MBSA全稱Microsoft Baseline Security Analyzer，此工具允許用戶掃描一臺或多臺基于Windows系統(tǒng)的計算機，以及發(fā)現(xiàn)常見安全方面的配置錯誤，并檢查操作系統(tǒng)和已安裝的其他組件，及時通過推薦的安全更新進行修補。MBSA支持的系統(tǒng)平臺包括Windows NT/2000/XP/2003/2008，支持的產(chǎn)品類型包括Windows操作系統(tǒng)、Internet Explorer、Windows Media Player、IIS、SQL Server、Exchange、Microsoft Office、Microsoft Data Access Components、Microsoft Virtual Machine、MSXML、BizTalk Server、Commerce Server、Content Management Server和Host Integration Server等。

1.掃描模式

MBSA允許掃描一臺或者多臺計算機：

單臺計算機。MBSA最簡單的運行模式是掃描單臺計算機。默認情況下，將掃描本地計算機，管理員也可以通過指定計算機名或IP地址方式，使其掃描其他計算機。

多臺計算機。如果選擇“選取多臺計算機進行掃描”時，可以選擇通過輸入域名掃描整個域，或指定一個IP地址范圍并掃描該范圍內(nèi)所有基于Windows的計算機。

2.掃描類型

MBSA支持兩種類型的掃描模式：

MBSA典型掃描。MBSA典型掃描將執(zhí)行掃描并且將結果保存在單獨的XML文件中，這樣就可以在MBSA查看器中進行查看；

HFNetChk典型掃描。HFNetChk典型掃描將只檢查缺少的安全更新，并以文本的形式將掃描結果顯示在命令行窗口中。

3.查看安全報表

每次執(zhí)行MBSA典型掃描時，都會為每一臺接受掃描的計算機生成一個安全報表，并保存在正在運行MBSA的主機上。

安全報表默認的文件格式為XML。可以按照計算機名、掃描日期、IP地址或安全評估對這些報告進行排序。

4.網(wǎng)絡掃描

MBSA最多可以允許從服務器同時對10000臺計算機進行遠程漏洞掃描。在防火墻或路由器將兩個網(wǎng)絡分開的多域環(huán)境中（兩個單獨的Active Directory域），TCP的139端口和445端口以及UDP的137端口和138端口必須開放，以便MBSA連接和驗證所要掃描的遠程網(wǎng)絡主機。

5.操作系統(tǒng)檢查

MBSA對在被掃描的計算機中Windows操作系統(tǒng)進行掃描，并檢測是否存在以下漏洞。

（1）管理員組成員權限

該項檢查將確定并列出屬于本地管理員組的用戶賬戶。如果檢測出的單個管理員賬戶數(shù)量超過兩個，則該工具將列出這些賬戶名，并將該檢查標記為一個潛在的安全漏洞。一般情況下，建議將管理員的數(shù)量保持在最低限度，因為管理員對計算機具有完全控制權。

（2）審核

該項檢查將確定在被掃描的計算機上是否啟用了系統(tǒng)審核功能。Windows系統(tǒng)的審核特性，可跟蹤和記錄系統(tǒng)上的特定事件，如成功的和失敗的登錄嘗試。通過監(jiān)視系統(tǒng)的事件日志，可以發(fā)現(xiàn)潛在的安全問題和惡意活動。

（3）自動登錄

該項檢查將確定在被掃描的計算機上是否啟用了“自動登錄”功能，以及登錄密碼是否在注冊表中以密文方式存儲。如果“自動登錄”已啟用并且登錄密碼以明文形式存儲，則安全報表就會將這種情況作為一個嚴重的安全漏洞反映出來。如果“自動登錄”已啟用而且密碼以加密形式存儲在注冊表中，那么安全報表就會將這種情況作為一個潛在的安全漏洞標記出來。

（4）自動更新

該項檢查將確定在被掃描的計算機上是否啟用自動更新功能，以及詳細的配置情況。通常情況下，用戶可以通過多種方式獲取和安裝更新，例如直接訪問Windows Update站點、組策略遠程部署、架設WSUS服務器等。當用戶使用直接下載更新方式之外的其他方式時，掃描結果中可能會出現(xiàn)相關的安全警告信息，提示自動更新沒有正確配置，此時不必理會。

（5）域控制器

該項檢查將確定正在接受掃描的計算機是否為域控制器，這主要是針對Windows Server 2003和Windows Server 2008系統(tǒng)而言的。在Windows域網(wǎng)絡中，域控制器的地位和作用是非常重要的，不僅掌管著所有網(wǎng)絡資源的安全訪問，而且存儲著所有網(wǎng)絡用戶的身份驗證信息，如果存在安全漏洞，則后果不堪設想。基于上述原因，域控制器應該被視為需要加強保護的關鍵資源。應確認當前網(wǎng)絡是否需要將這臺計算機作為域控制器，并確認是否采取了相應的步驟來加強這臺計算機的訪問安全。

（6）文件系統(tǒng)

該項檢查將確定在每個分區(qū)使用的文件系統(tǒng)類型。NTFS具有訪問控制功能，是一個安全的文件系統(tǒng)，因此，服務器所有分區(qū)均使用該文件系統(tǒng)，如果使用FAT32文件系統(tǒng)，則掃描結果中將出現(xiàn)警告信息。

（7）來賓賬戶

該項檢查將確定在被掃描的計算機上是否啟用了系統(tǒng)內(nèi)置的來賓賬戶。來賓賬戶主要視為臨時用戶提供的，默認情況下是禁用的。啟用之后，任何用戶都可以通過此賬戶訪問系統(tǒng)資源，并且該賬戶是不允許設置密碼的。如果在Windows NT/2000/XP計算機上已啟用來賓賬戶，則這種情況將在安全報表中作為一個安全漏洞標記出來。如果在使用簡單文件共享的Windows XP計算機上已啟用來賓賬戶，則這種情況將不會作為安全漏洞標記出來，而在Windows Server 2003或Windows Server 2008系統(tǒng)中，這種情況將出現(xiàn)警告信息。

（8）Windows防火墻

該項檢查將確定是否在被掃描的計算機上對所有的活動網(wǎng)絡連接啟用Windows防火墻，這主要是針對Windows XP/2003/2008系統(tǒng)而言的。如果已經(jīng)啟用防火墻，則還將對其開放的入站端口進行檢測。如果上述系統(tǒng)的Windows防火墻沒有開啟，或者開放了存在安全漏洞的端口，則掃描結果中將出現(xiàn)警告信息。

（9）本地賬戶密碼

該項檢查將找出使用空白密碼或簡單密碼的所有本地用戶賬戶。Windows 2000/XP/2003系統(tǒng)的管理員賬戶密碼均可以設置為空，因此存在很大的安全隱患。在Windows Server 2008系統(tǒng)中，必須設置符合相應復雜程度的安全密碼，才允許啟用管理員賬戶。因此該項掃描只適用于Windows 2000/XP/2003系統(tǒng)，如果本地用戶賬戶密碼符合下列條件之一，就會出現(xiàn)警告信息：

密碼為空白；

密碼與用戶賬戶名相同；

密碼與計算機名相同；

密碼使用“password”一詞；

密碼使用“admin”或“administrator”一詞。

（10）密碼過期

該項檢查將確定是否有本地用戶賬戶設置了永不過期的密碼。密碼應該定期更改，以降低遭到密碼攻擊的可能性。

（11）限制匿名用戶

該項檢查將確定被掃描的計算機上是否使用了RestrictAnonymous注冊表項來限制匿名連接。允許匿名連接本身就是一個很危險的系統(tǒng)漏洞，何況匿名用戶還可以列出某些類型的系統(tǒng)信息，其中包括用戶名及其詳細信息、賬戶策略和共享名，因此必須對安全要求嚴格的服務器限制此項功能，以使匿名用戶無法訪問。

（12）共享資源

該檢查將確定在被掃描的計算機上是否存在共享文件夾。掃描報告將列出在計算機上發(fā)現(xiàn)的所有共享內(nèi)容，其中包括管理共享及其共享級別和NTFS級別的權限。通常情況下，應關閉系統(tǒng)中非必要的共享目錄，尤其是服務器更應如此。掃描結果中將列出所有的系統(tǒng)默認共享，和用戶后期設置的重要資源共享。

（13）檢查是否存在不必要的服務

該檢查將確定，被掃描計算機的services.txt文件中是否包含已啟用的服務。services.txt文件是一個可配置的服務列表，這些服務都不應該在被掃描的計算機上運行。此文件由MBSA安裝并存儲在該工具的安裝文件夾中。該工具的用戶應配置services.txt文件，以便包括在各臺被掃描的計算機上所要檢查的那些特定服務。默認情況下，與該工具一起安裝的services.txt文件包含下列服務：

MSFTPSVC（FTP）；

TlntSvr（Telnet）；

W3SVC（WWW）；

SMTPSVC（SMTP）。

服務是一種程序，只要計算機在運行操作系統(tǒng)，服務程序就在后臺運行。服務不要求用戶必須進行登錄。服務用于執(zhí)行不依賴于用戶的任務，如等待信息傳入的傳真服務。

6.IIS漏洞檢查

如果目標計算機上安裝了IIS服務，則MBSA還可以掃描IIS程序或設置上存在的漏洞，包括：

（1）MSADC和腳本虛擬目錄

該項檢查將確定MSADC（樣本數(shù)據(jù)訪問腳本）和腳本虛擬目錄，是否已安裝在被掃描的計算機上。這些目錄通常包含一些非必要的腳本文件，將其刪除可縮小計算機受攻擊的范圍。

（2）SADMPWD虛擬目錄

該檢查將確定IISADMPWD目錄是否已安裝在被掃描的計算機上。IIS 4.0能讓用戶更改他們的Windows密碼并通知用戶密碼即將到期。IISADMPWD虛擬目錄包含了此功能所要使用的文件，在IIS 4.0中，IISADMPWD虛擬目錄將作為默認Web站點的組成部分進行安裝。此功能是作為一組 .htr文件和一個名為Ism.dll的ISAPI擴展加以實現(xiàn)的，.htr文件位于\System32\Inetsrv\Iisadmpwd目錄中。

（3）域控制器上的IIS

該檢查將確定IIS是否在一個作為域控制器的系統(tǒng)上運行。這種情況將在掃描報告中作為一個嚴重安全漏洞加以標記，被掃描的計算機是一臺小型企業(yè)服務器（Small Business Server）除外。

建議不要在域控制器上運行IIS Web服務器。域控制器上有敏感的數(shù)據(jù)（如用戶賬戶信息）不應該用作另一個角色。如果在一個域控制器上運行Web服務器，則增加了保護服務器安全和防止攻擊的復雜性。

（4）IIS鎖定工具

該項檢查將確定IIS Lockdown工具（Microsoft Security Tool Kit的一部分）是否已經(jīng)在被掃描的計算機上運行。IIS Lockdown工具的工作原理是，關閉IIS中不必要的功能，從而縮小攻擊者可以利用的攻擊面。

其實，早在Windows Server 2003的IIS 6.0中，就已經(jīng)不再需要IIS Lockdown工具，因為已默認鎖定了相關功能。對于從IIS 5.0安裝升級到IIS 6.0或IIS 7.0的，則應該使用IIS Lockdown來確保僅在服務器上啟用了所需的服務。

（5）IIS日志記錄

該項檢查將確定IIS日志記錄功能是否已啟用，以及是否已使用了W3C擴展日志文件格式。

Windows的事件日志記錄中，沒有包括IIS日志記錄。IIS日志記錄通常包括站點運行狀態(tài)的詳細情況，如哪些用戶訪問過該站點、瀏覽內(nèi)容、時間等。管理員可以根據(jù)需要選擇對任何站點、虛擬目錄或文件進行審核，通過定期復查審核結果，可以檢測到服務器或站點中可能遭受攻擊或其他安全問題的方面。在啟用了日志記錄之后，也就對該站點的所有文件夾啟用了日志記錄，但也可以對特定的目錄禁用日志記錄。

（6）IIS父路徑

該項檢查將確定，在被掃描的計算機上是否啟用了ASPEnableParentPaths設置。通過在IIS上啟用父路徑，Active Server Page（ASP）頁，就可以使用到當前目錄的父目錄的相對路徑。

（7）IIS樣本應用程序

該項檢查將確定下列IIS示例文件目錄是否安裝在計算機上：

\Inetpub\iissamples

\Winnt\help\iishelp

\Program Files\common files\system\msadc

通常與IIS一起安裝的樣本應用程序會顯示動態(tài)HTML（DHTML）和Active Server Pages（ASP）腳本，并提供聯(lián)機文檔。

7.SQL檢查

MBSA可以對在被掃描計算機中SQL Server和MSDE的所有實例進行掃描，并檢測是否存在以下漏洞。

（1）Sysadmin角色的成員

該項檢查將確定Sysadmin角色的成員數(shù)量，并將結果顯示在安全報表中。

SQL Server角色用于將具有相同操作權限的登錄賬戶組合到一起，對于固定的服務器角色，Sysadmin將系統(tǒng)管理員權限提供給其所有成員。

（2）僅將CmdExec權限授予Sysadmin

該項檢查將確保CmdExec權限僅被授予Sysadmin，其他所有具有CmdExec權限的賬戶都將在安全報表中列出。

SQL Server代理是Windows NT/2000/X系統(tǒng)中的一項服務，負責執(zhí)行作業(yè)、監(jiān)控SQL Server和發(fā)送警報。通過SQL Server代理，可以使用腳本化作業(yè)步驟來使某些管理任務實現(xiàn)自動化。作業(yè)是SQL Server代理按順序執(zhí)行的一個指定的操作序列，一項作業(yè)可以執(zhí)行范圍廣泛的活動，其中包括運行Transact-SQL腳本、命令行應用程序和Microsoft ActiveX腳本。用戶可以創(chuàng)建作業(yè)，以便運行經(jīng)常重復或者計劃的任務，而作業(yè)也可以通過生成警告信息自動將它們的狀態(tài)通知給用戶。

（3）SQL Server本地賬戶密碼

該項檢查將確定是否有本地SQL Server賬戶采用了簡單密碼。這一檢查將枚舉所有用戶賬戶并檢查是否有賬戶使用下列密碼：

密碼為空白；

密碼與用戶賬戶名相同；

密碼與計算機名相同；

密碼使用“password”一詞；

密碼使用“sa”一詞；

密碼使用“admin”或“administrator”一詞。

（4）SQL Server身份驗證模式

該項檢查將確定被掃描的SQL Server使用的身份驗證模式。Microsoft SQL Server為提高對該服務器進行訪問的安全性提供了兩種模式：Windows身份驗證模式和混合模式。

在Windows身份驗證模式下，Microsoft SQL Server只依賴Windows系統(tǒng)對用戶進行身份驗證。然后，Windows用戶或組就得到授予訪問SQL Server的權限。在混合模式下，用戶可能通過Windows或通過SQL Server進行身份驗證。經(jīng)過SQL Server身份驗證的用戶將把用戶名和密碼保存在SQL Server內(nèi)。Microsoft強烈推薦始終使用Windows身份驗證模式。

（5）Windows身份驗證模式

該安全模式使SQL Server能夠像其他應用程序一樣，依賴于Windows對用戶進行身份驗證。使用此模式與服務器建立的連接叫做受信任連接。當使用Windows身份驗證模式時，數(shù)據(jù)庫管理員通過授予用戶登錄到SQL Server的權限來允許他們訪問運行SQL Server的計算機。Windows安全識別符（SID）將用于跟蹤使用Windows進行身份驗證的用戶。在使用Windows SID的情況下，數(shù)據(jù)庫管理員可以將訪問權直接授予Windows用戶或組。

（6）混合模式

在SQL Server中，當客戶端和服務器都可以使用NTLM或Kerberos登錄身份驗證協(xié)議時，混合模式將依賴Windows對用戶進行身份驗證。如果其中某一方不能使用標準Windows登錄，那么SQL Server就會要求提供用戶名和密碼，并將用戶名和密碼與存儲在其系統(tǒng)表中的用戶名和密碼進行比較。依賴用戶名和密碼建立的連接叫做不受信任的連接。

之所以提供混合模式，有以下兩方面原因：

向后兼容SQL Server的舊版本；

在SQL Server安裝到Windows 95和Windows 98操作系統(tǒng)時實現(xiàn)兼容。

（7）Sysadmin角色中的SQL Server BUILTIN\Administrators

該項檢查將確定Administrators組是否被列為Sysadmin角色的成員。

SQL Server角色是一個安全賬戶，同時也是包含有其他安全賬戶的一個賬戶集合；進行權限配置時，可以將其看做一個單獨的單元。一個SQL Server角色可以包含SQL Server登錄權限、其他角色和Windows用戶賬戶或組。

固定的服務器角色具有涵蓋整個服務器的作用域，這些角色存在于數(shù)據(jù)庫外部。一個固定服務器角色的每個成員，都能夠向相同的角色添加其他的登錄。默認情況下，Windows BUILTIN\Administrators組（本地管理員的組）的所有成員都是Sysadmin角色的成員，從而向其賦予對所有數(shù)據(jù)庫的完全訪問權。

（8）SQL Server目錄訪問

該項檢查將驗證下列SQL Server目錄是否都只將訪問權授予SQL服務賬戶和本地管理員：

Program Files\Microsoft SQL Server\MSSQL$InstanceName\Binn

Program Files\Microsoft SQL Server\MSSQL$InstanceName\Data

Program Files\Microsoft SQL Server\MSSQL\Binn

Program Files\Microsoft SQL Server\MSSQL\Data

該工具將掃描這些文件夾中每個文件夾上的訪問控制列表，并枚舉出列表中包含的用戶。如果任何其他用戶（除SQL服務賬戶和管理員以外）具有讀取或修改這些文件夾的訪問權，則該工具將在安全報表中將此檢查標記為一個安全漏洞。

（9）SQL Server公開的SA賬戶密碼

該項檢查將確定SQL Server的SA賬戶密碼是否以明文形式寫入日志文件中。在SQL 2000中，如果域憑證用于啟動SQL Server服務，則也會檢查日志文件。如果在設置SQL Server時使用混合模式身份驗證，則SA密碼以明文形式保存；如果使用Windows身份驗證模式，管理員選擇提供自動啟動SQL Server服務時使用的域憑證，只會使憑證處于危險境地。

（10）SQL Server來賓賬戶

該項檢查將確定SQL Server來賓賬戶是否具有訪問數(shù)據(jù)庫（Master、tempdb和msdb除外）的權限。該賬戶具有訪問權的所有數(shù)據(jù)庫都將在安全報表中列出。

在SQL Server中，一個用戶登錄賬戶必須以下列方式之一獲得訪問數(shù)據(jù)庫及其對象的授權。

登錄賬戶可以被指定為一個數(shù)據(jù)庫用戶。

登錄賬戶可以使用數(shù)據(jù)庫中的來賓賬戶。

Windows組登錄可以映射到一個數(shù)據(jù)庫角色。然后，屬于該組的單個Windows賬戶都可以連接到該數(shù)據(jù)庫。

db_owner或db_accessadmin數(shù)據(jù)庫角色的成員或者Sysadmin固定服務器角色成員，都可以創(chuàng)建數(shù)據(jù)庫用戶賬戶角色。一個賬戶可以有多個參數(shù)：SQL Server登錄ID、數(shù)據(jù)庫用戶名和角色名稱。數(shù)據(jù)庫用戶名稱可以與用戶的登錄ID不同。如果未提供數(shù)據(jù)庫用戶名，則該用戶的登錄ID和數(shù)據(jù)庫用戶名完全相同。創(chuàng)建數(shù)據(jù)庫用戶后，可以根據(jù)需要為該用戶分配任意數(shù)量的角色。如果未提供角色名稱，則該數(shù)據(jù)庫用戶只是公共角色的一個成員。

db_owner、db_accessadmin或Sysadmin角色的成員還可以創(chuàng)建來賓賬戶，來賓賬戶允許任何合法的SQL Server登錄賬戶訪問數(shù)據(jù)庫。默認情況下，來賓賬戶將繼承分配給公共角色的所有特權；不過，這些特權可以被更改，使其權限大于或小于公共角色特權。

（11）域控制器上的SQL Server

該項檢查將確定SQL Server是否在域控制器上運行。域控制器包含有敏感數(shù)據(jù)，通常不再用來提供其他網(wǎng)絡服務。如果在域控制器上運行SQL Server，則增加了保護服務器安全和防止攻擊的復雜性，建議不要這樣部署。

（12）SQL Server注冊表項安全

該項檢查將確保Everyone組對下列注冊表項的訪問權被限制為讀取權限：

HKLM\Software\Microsoft\Microsoft SQL Server

HKLM\Software\Microsoft\MS SQLServer

如果Everyone組對這些注冊表項的訪問權限高于讀取權限，則這種情況將在安全掃描報告中被標記為嚴重安全漏洞。

（13）SQL Server服務賬戶

該項檢查將確定SQL Server服務賬戶在被掃描的計算機上是否為本地或域管理員組的成員，或者是否有SQL Server服務賬戶正在LocalSystem上下文中運行。

在被掃描的計算機上，MSSQLServer和SQLServerAgent服務賬戶都要經(jīng)過檢查。

8.安全更新檢查

MBSA對在被掃描的計算機中的安全更新列表進行掃描，并檢測是否存在由于安裝更新補丁產(chǎn)生的新漏洞。該項檢查將確保具有針對下列產(chǎn)品和組件的最新服務包和安全更新：

Windows NT 4.0

Windows 2000

Windows XP

Windows Server 2003

Windows Vista

Windows Server 2008

Internet Explorer 5.01和后續(xù)版本

Windows Media Player 6.4和后續(xù)版本

IIS 4.0和后續(xù)版本

SQL Server 7.0/2000/2005（包括Microsoft Data Engine）

Exchange Server 5.5/2000/2003/2007（包括Exchange Admin Tools）

Microsoft Office（只能進行本地掃描）

Microsoft Data Access Components（MDAC）2.5/2.6/2.7/2.8

Microsoft Virtual Machine

MSXML 2.5/2.6/3.0/4.0

BizTalk Server 2000/2002/2004/2006

Commerce Server 2000/2002

Microsoft Content Management Server（MCMS）2001/2002

SNA Server 4.0、Host Integration Server（HIS）2000和2004

9.桌面應用程序檢查

MBSA對在被掃描的計算機中桌面應用程序進行掃描，并檢測是否存在以下漏洞。

（1）IE安全區(qū)域

該項檢查將列出被掃描計算機上所有本地用戶當前采用的IE區(qū)域安全設置，并給出合理建議。

IE內(nèi)容區(qū)域?qū)nternet或Intranet分成了具有不同安全級別的區(qū)域。對于每個安全區(qū)域，可以選擇高、中和低三個級別，或者自定義安全設置。Microsoft建議，對于那些不能確定是否可信任的區(qū)域內(nèi)的站點，應將安全性設置為高。自定義選項為高級用戶和管理員提供了針對所有安全選項的更多的控制權，其中包括下列幾項：

對文件、ActiveX控件和腳本的訪問；

提供給Java小程序的功能級別；

帶有安全套接字層（SSL）身份驗證的站點身份指定；

帶有NTLM身份驗證的密碼保護（根據(jù)服務器所在的區(qū)域，Internet Explorer可以自動發(fā)送密碼信息，提示用戶輸入用戶和密碼信息，或者干脆拒絕任何登錄請求）。

（2）面向管理員的IE增強安全配置

該項檢查可識別出運行Windows Server 2003和Windows Server 2008的計算機上，是否已經(jīng)啟用針對管理員的IE增強安全配置（Enhanced Security Configuration）。如果已經(jīng)安裝了針對管理員的IE增強安全配置，這一檢查還會識別出禁用該IE增強安全配置的管理員。

（3）面向非管理員的IE增強安全配置

該項檢查識別出在運行Windows Server 2003的計算機上，是否已經(jīng)啟用用于非管理員的用戶的Internet Explorer增強安全配置（Enhanced Security Configuration）。如果已經(jīng)安裝了針對非管理員的Internet Explorer增強安全配置，這一檢查還會識別出禁用該Internet Explorer增強安全配置的非管理員用戶。

（4）Office安全配置和分析宏保護

該項檢查將對每個用戶逐一確定Microsoft Office 2003、Office 2000和Office 97宏保護的安全級別。MBSA還將對PowerPoint、Word、Excel和Outlook進行檢查。

宏能夠?qū)⒅貜偷娜蝿兆詣踊＿@樣可以節(jié)省時間，但也會被用于傳播病毒，例如，當用戶打開包含惡意宏的受感染文檔時，就會使惡意宏蔓延到系統(tǒng)上的其他文檔，或者傳播給其他用戶。

3.2.3 MBSA漏洞掃描

MBSA作為一款免費的安全檢測軟件提供了強大的性能，可以從微軟的網(wǎng)站上免費下載，地址為：http://www.microsoft.com/downloads/details.aspx?FamilyID=F32921AF-9DBE-4DCE-889E-ECF997EB18 E9&displaylang=en。MBSA當前的最高版本是v2.1，目前只有英文版。MBSA的安裝十份簡單，只需按照向?qū)崾具M行操作即可，此處不做詳細介紹。

1.掃描本地計算機

第1步，依次選擇“開始”→“所有程序”→“Microsoft Baseline Security Analyzer 2.1”，打開如圖3-1所示的MBSA主窗口。

第2步，單擊“Scan a computer”鏈接，顯示如圖3-2所示的“Which computer do you want to scan?”窗口。在“Computer name”文本框中，指定要掃描的計算機名，系統(tǒng)默認為本地計算機。用戶可以根據(jù)需要，選擇此次掃描的目標服務或應用程序，如IIS、SQL、密碼安全性等，這里只選擇前兩項掃描功能。

第3步，根據(jù)需要選擇需要檢測的安全內(nèi)容。然后按下窗口下方的“Start Scan（開始掃描）”按鈕，系統(tǒng)開始進行掃描，顯示如圖3-3所示窗口。

第4步，掃描完成后顯示如圖3-4所示掃描結果窗口。在“Potential Risk（潛在風險）”選項區(qū)域顯示了被掃描主機的基本信息，包括主機名、IP地址和掃描日期等；在“Windows Scan Results（Windows掃描結果）”選項區(qū)域顯示了掃描結果摘要信息。管理員通過每項掃描結果前不同的圖標，即可判斷其安全狀態(tài)。

第5步，在“Issue（問題）”欄中列出了被掃描計算機存在的主要安全問題，這里以掃描結果中的“Password Expiration（密碼過期）”問題為例。單擊“What was scanned（掃描對象）”鏈接，打開如圖3-5所示“Password Expiration”窗口，信息中提示該項檢查將列出目標計算機系統(tǒng)中，所有密碼過期或不符合要求的賬戶。

第6步，在掃描結果窗口中，單擊“Result details（詳細結果）”鏈接，打開如圖3-6所示的“Result details”窗口，提示目標計算機的Guest賬戶密碼已經(jīng)過期。

第7步，在掃描結果窗口中，單擊“How to correct this（如何改正錯誤）”鏈接，打開如圖3-7所示的窗口。其中，在“Solution（解答）”部分將給出合理的解決方法；在“Instructions（操作步驟）”部分根據(jù)被掃描計算機系統(tǒng)類型，給出詳細的操作流程。

第8步，在掃描結果窗口中，單擊“OK”按鈕結束此次掃描。

2.掃描單臺遠程計算機

使用MBSA掃描遠程主機Windows漏洞，比掃描本地計算機要復雜一些，并且Windows域環(huán)境和工作組環(huán)境中的操作也有所不同。由于MBSA的工作機制是基于用戶賬戶的，所以掃描遠程計算機時，必須擁有遠程計算機中相關權限的用戶賬戶。在Windows域環(huán)境中，使用域管理員賬戶即可，如果是掃描工作組中的遠程計算機，則在開始之前必須做好如下準備工作：

在運行MBSA的計算機上，以Administrator賬戶或Administrators組中的成員登錄系統(tǒng)；

在目標計算機上同樣以Administrator賬戶或Administrators組中的成員登錄系統(tǒng)，并開啟Guest賬戶；

將Guest賬戶添加到Administrators組中；

修改目標計算機組策略，使Guest賬戶擁有遠程訪問權限。

以掃描操作系統(tǒng)為Windows XP的遠程計算機為例，主要操作步驟如下：

第1步，在目標計算機上，展開“計算機管理”窗口中的“本地用戶和組”→“用戶”，雙擊“Guest”賬戶打開“Guest屬性”對話框。默認情況下，Guest賬戶是被禁用的，取消“賬戶已停用”復選框即可，如圖3-8所示。

第2步，切換至“隸屬于”選項卡，單擊“添加”按鈕打開“選擇組”對話框，在“輸入對象名稱來源選擇”文本框中輸入Administrators，如圖3-9所示。也可以單擊“高級”按鈕在所有本地用戶組中查找。最后單擊“確定”按鈕，將其添加到Guest賬戶隸屬的組中。

第3步，打開“組策略”窗口，并依次展開“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“用戶權利指派”選項，如圖3-10所示。主要設置“從網(wǎng)絡訪問此計算機”和“拒絕從網(wǎng)絡訪問此計算機”策略。

第4步，雙擊“從網(wǎng)絡訪問此計算機”打開“從網(wǎng)絡訪問此計算機屬性”對話框，默認狀態(tài)下Guest賬戶是不在其中的，單擊“添加用戶或組”按鈕，打開“選擇用戶或組”對話框，在“輸入對象名稱來選擇”文本框中輸入Guest，如圖3-11所示。

第5步，單擊“確定”按鈕，將其添加至允許遠程訪問的用戶和組列表中。單擊“應用”或“確定”按鈕，顯示如圖3-12所示的“確認設置更改”對話框，提示此設置可能導致的系統(tǒng)問題，單擊“是”按鈕繼續(xù)即可。

第6步，在“組策略”窗口中，雙擊“拒絕從網(wǎng)絡訪問此計算機”打開“拒絕從網(wǎng)絡訪問此計算機屬性”對話框，顯示如圖3-13 所示，選擇“Guest”賬戶并單擊“刪除”按鈕，將其從拒絕遠程訪問的用戶賬戶列表中刪除即可。最后，單擊“確定”按鈕保存設置。

第7步，在執(zhí)行遠程掃描任務的計算機上打開MBSA，單擊“Scan a computer”鏈接，打開“Which computer do you want to scan?”窗口。在“Computer name”文本框中按照“工作組名\計算機名”的格式輸入被掃描計算機的相關信息，也可以通過IP地址指定，如圖3-14所示。

第8步，單擊“Start Scan”按鈕即可開始掃描，掃描結果與掃描本地計算機類似，如圖3-15所示，此處不再贅述。

3.掃描多臺計算機

MBSA的多臺計算機掃描功能，允許管理員同時掃描整個域，或一個網(wǎng)段內(nèi)的所有Windows系統(tǒng)計算機。在Windows域中的操作比較簡單，這里以比較復雜的工作組環(huán)境為例，掃描某個網(wǎng)段內(nèi)主機系統(tǒng)漏洞的主要操作步驟如下。

第1步，啟動MBSA，單擊“Scan multiple computers（掃描多臺計算機）”鏈接，打開如圖3-16所示“Which computers do you want to scan?（您想掃描哪些計算機）”，在“IP address range（IP地址范圍）”文本框中，指定被掃描網(wǎng)段的起止IP地址，本例為192.168.1.1～192.168.1.4。

第2步，單擊“Start Scan”按鈕開始掃描，如果設置的被掃描網(wǎng)段范圍過大，則可能需要花費較長的時間；如果其中包含沒有使用的IP地址，則將顯示如圖3-17所示“Unable to scan all computers（無法掃描所有計算機）”結果。

第3步，單擊“Pick a security report to view（選擇需要查看的報告）”鏈接，打開如圖3-18所示的“Choose a security scan report to view”窗口，在這里MBSA將列出已生成的所有安全報告清單，包括安全報告名、生成日期等信息，單擊即可查看相應的詳細結果信息，與單臺計算機掃描結果基本相同，此處不再贅述。

3.3 系統(tǒng)更新

及時安裝系統(tǒng)更新，無疑是解決系統(tǒng)漏洞安全問題最好的方法。在借助漏洞傳播的病毒或入侵大規(guī)模發(fā)生之前，產(chǎn)品供應商通常就會發(fā)現(xiàn)漏洞并發(fā)布相應的補丁，用于加固用戶系統(tǒng)。但是，在進行系統(tǒng)更新時，切不可好大喜功多多益善。每一個系統(tǒng)補丁都有其獨特的適應環(huán)境，如果盲目安裝，不僅起不到彌補系統(tǒng)漏洞的作用，還可能導致新的問題產(chǎn)生。

3.3.1 系統(tǒng)補丁部署原則

系統(tǒng)補丁部署的原則：

安裝的補丁不能與所使用的應用軟件沖突；

根據(jù)實際需要安裝補丁；

系統(tǒng)補丁宜少不宜多。

因此在部署補丁之前，一定要做好測試工作。在全局部署以前，要做好以下工作。

1.閱讀補丁聲明

在運行補丁程序之前，一定要仔細閱讀有關的說明文檔，充分了解補丁的功能、用法、對應漏洞的情況，對安裝補丁后發(fā)生的后果要做到心中有數(shù)。然后根據(jù)企業(yè)的網(wǎng)絡環(huán)境進行分析，判斷可能產(chǎn)生的風險，根據(jù)漏洞的緊急情況，判斷是否需要安裝補丁。需要提前做好預備工作，確保在補丁安裝完成后出現(xiàn)的問題，有高效、快捷、安全的補救措施。

2.相關數(shù)據(jù)備份

在安裝補丁之前，最好將相關的文件進行備份，以免造成錯誤，丟失重要數(shù)據(jù)或者導致系統(tǒng)無法正常運行。如果是針對操作系統(tǒng)的補丁，則應確保補丁具備“回滾”功能。

通常情況下，需要備份的數(shù)據(jù)包括以下兩部分：

原來程序的安裝目錄。對于綠色軟件而言，只須備份相應的目錄即可；

系統(tǒng)的DLL動態(tài)庫文件。查明可能覆蓋的相關的DLL文件并單獨備份，如果安裝補丁時由于覆蓋DLL文件，導致系統(tǒng)故障，則可以進入安全模式，將備份的DLL文件重新覆蓋相關的DLL文件即可。

3.對號下載補丁

注意補丁程序?qū)牟僮飨到y(tǒng)和應用軟件的版本。很多補丁都是針對某個特定的操作系統(tǒng)和應用軟件版本而開發(fā)的，如Windows 2000、Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008所使用的補丁程序就完全相同，因此，使用的時候要下載與操作系統(tǒng)版本、語言類型、應用程序匹配的補丁程序。

4.下載安全補丁

補丁的來源一定要安全，必須到可靠的平臺下載，或者到有安全認證的供應商那里獲取相關的補丁程序，防止被惡意修改，或者在補丁中嵌入了“木馬”。建議到官方的網(wǎng)站和信譽較好的網(wǎng)站下載補丁安裝或者在線安裝補丁，一方面可以保證下載的補丁是安全有效的，另外可以保證補丁安裝包的時效性。

5.選擇安裝模式

通常情況下，用戶可以通過在線安裝和先下載后安裝兩種方式進行系統(tǒng)更新。另外，對于使用Windows操作系統(tǒng)的局域網(wǎng)用戶而言，微軟還免費提供了WSUS服務，可供管理員同時管理整個網(wǎng)絡的計算機系統(tǒng)更新情況，非常方便。

3.3.2 系統(tǒng)更新的實施

安裝Windows系統(tǒng)補丁程序是完成操作系統(tǒng)安裝之后的首要工作，也是確保網(wǎng)絡安全和系統(tǒng)正常應用的一道重要屏障。因此，建議用戶在每次完成系統(tǒng)安裝后，不要立即進行聯(lián)網(wǎng)或者應用不明的移動存儲介質(zhì)，對于Windows XP/2003/Vista/2008系統(tǒng)應先啟動系統(tǒng)防火墻再進行其他操作。

1.安裝注意事項

在實施系統(tǒng)補丁更新時，應當注意以下問題：

計算機在沒有安裝系統(tǒng)補丁之前，切記不要連接到網(wǎng)絡，尤其是Internet。所需的補丁程序請使用其他移動存儲設備，復制到可信任的安全機器上（Windows XP/2003/ Vista系統(tǒng)可以啟用自帶的防火墻后再聯(lián)網(wǎng)）；

設置合適的系統(tǒng)自動更新方式，建議選擇通知下載和安裝，以免耗費很長的時間去下載一些本來無關緊要的更新補丁；

安裝補丁程序前應關閉其他應用程序，以免導致安裝失敗。另外，有些補丁程序安裝完成后需要重新啟動計算機方可生效，打開的應用程序應注意及時保存；

獲取補丁程序時應注意其版本要求，不僅要注意Windows操作系統(tǒng)的類型，還應注意英文版和簡體中文版、繁體中文版的區(qū)別；

安裝過程中如需確認或更改安裝目錄的，建議保持系統(tǒng)默認設置。

2.自動系統(tǒng)更新

Windows Server 2008的系統(tǒng)更新方式與Windows Server 2003略有不同，但與Windows Vista操作非常類似，具體操作步驟如下。

第1步，依次選擇“開始”→“Windows Update”，打開如圖3-19所示“Windows Update”窗口，默認顯示當前系統(tǒng)更新狀態(tài)，是否已經(jīng)安裝所有更新或有哪些可用更新。如果長時間沒有檢查更新，可以手動單擊“檢查更新”鏈接開始檢查更新信息。

第2步，單擊“安裝更新”按鈕即可立即安裝所有更新。不過，建議用戶單擊“查看可用更新”鏈接，打開如圖3-20所示“查看可用更新”窗口，顯示當前所有更新的摘要信息，包括更新名稱、重要程度和發(fā)布日期。

第3步，右擊更新名稱并選擇“查看詳細信息”選項，顯示如圖3-21所示對話框，可以更詳細地了解系統(tǒng)更新的相關介紹，從而決定是否安裝到本地計算機。

第4步，如果不希望立即安裝某個更新，可以取消其前面的復選框，等下次Windows Update掃描更新時，將繼續(xù)提示是否安裝。如果確認不需要安裝，且不希望總是被提示，則右擊更新名稱并選擇“隱藏更新”即可，此時更新將顯示為灰色，如圖3-22所示。

第5步，單擊“安裝”按鈕，顯示如圖3-23所示窗口，由于選擇的是通知下載并通知安裝方式，所以首先會開始下載。如果需要下載的更新較多，則可以暫時關閉當前窗口繼續(xù)工作。下載完畢之后，系統(tǒng)任務欄中將顯示如圖3-24所示提示信息。

第6步，單擊提示信息打開“Windows Update”窗口，單擊“安裝更新”按鈕，即可開始安裝，完成后，顯示如圖3-25所示窗口。

第7步，如果還需要重新安裝已被隱藏的更新，則可以單擊“還原隱藏的更新”鏈接，顯示如圖3-27所示“還原隱藏的更新”窗口，選中想要還原更新前的復選框，并單擊“還原”按鈕將其還原，再次下載并安裝即可。

3.手動安裝Windows補丁程序

Windows Server 2003及其他版本較早的Windows操作系統(tǒng)，都可以通過手動方式獲得并安裝更新，其中Windows 2000系統(tǒng)沒有集成自動更新功能，只能通過手動方式更新。所謂手動方式，主要是通過登錄微軟相關站點，手動選擇所需的系統(tǒng)更新，然后下載并安裝到本地計算機上，或者通過其他移動存儲設備，將系統(tǒng)更新轉(zhuǎn)移到其他未能連接到Internet的計算機上，從而實現(xiàn)系統(tǒng)的更新。以手動方式獲取并安裝Windows Server 2003系統(tǒng)更新的主要操作步驟如下。

第1步，依次選擇“開始”→“所有程序”→“Windows Update”，打開如圖3-28所示“Microsoft Windows Update”窗口。由于IE瀏覽器自身的安全設置，阻止了當前網(wǎng)頁信息的正常顯示。

第2步，右擊上方工具欄并選擇“允許此ActiveX控件運行”，顯示如圖3-29 所示的“Internet Explorer-安全警告”對話框，提示用戶是否確認安裝當前軟件。該軟件是用來驗證當前Windows Server 2003系統(tǒng)的合法性的，必須安裝。

第3步，單擊“安裝”按鈕，即可開始下載并安裝，稍等即可完成。正常情況下，顯示如圖3-30所示的“獲取最新的Windows Update軟件”窗口。如果用戶操作系統(tǒng)是盜版或者超過激活期限，則可能無法獲取Windows更新補丁。

第4步，單擊“立即安裝”按鈕，即可開始安裝Windows Update軟件，這是獲取Windows Server 2003 更新補丁的必備工具。安裝完成后，顯示如圖3-31 所示窗口，提示用戶選擇獲取更新的方式。若選擇“快速”方式，則更新向?qū)⒆詣訏呙柘到y(tǒng)并提供需要下載的重要內(nèi)容；選擇“自定義”方式將會列出所有的更新內(nèi)容，然后自定義選擇需要下載和安裝的更新即可。建議選擇“自定義”方式。

第5步，單擊“自定義”按鈕，Windows Update向?qū)⑻崾舅羞m合當前系統(tǒng)的更新補丁，其中Service Pack 2是系統(tǒng)推薦立即下載并安裝的，單擊“立即下載和安裝”按鈕，即可開始下載SP2。除此之外，更新向?qū)н€掃描到一些其他更新程序，用戶可根據(jù)需要進行選擇。如圖3-32所示。

第6步，單擊“復查其他更新程序”按鈕，顯示如圖3-33所示的“高優(yōu)先級更新程序”窗口。列表中顯示了所有適用于當前系統(tǒng)的更新補丁，用戶可以根據(jù)需要，從中選擇希望安裝的補丁。

第7步，單擊“復查并安裝其他更新”鏈接，打開如圖3-34所示的“自定義您的結果”窗口，提示用戶再次確認此次將要安裝的Windows系統(tǒng)更新。

第8步，單擊“安裝更新程序”按鈕，啟動安裝更新程序向?qū)В@示如圖3-35所示的“閱讀這些許可條款”對話框。有些系統(tǒng)更新則無須經(jīng)過用戶許可，即可自動安裝。

第9步，單擊“我接受”按鈕，顯示如圖3-36所示“正在下載并安裝更新”的對話框，根據(jù)需要下載的更新內(nèi)容的多少以及用戶接入Internet的方式不同，花費的時間也會有所不同。下載完更新內(nèi)容之后更新向?qū)詣映跏蓟惭b程序，并開始安裝。

第10步，安裝完成后顯示如圖3-37所示對話框，提示已經(jīng)成功更新了計算機。但是其中有些更新必須重新啟動計算機方可生效。單擊“立即重新啟動”按鈕，可以立即重新啟動計算機，單擊“關閉”按鈕，可以稍候再重新啟動。

第11步，單擊“關閉”按鈕顯示如圖3-38所示的“復查安裝結果”窗口，提示軟件升級已經(jīng)完成，并且提示已安裝更新的名稱。此時，仍可以從未安裝的“其余高優(yōu)先級更新程序”中，選擇希望安裝的更新補丁。最后，關閉Microsoft Windows Update窗口即可。