《操作系统安全配置ppt课件.ppt》由会员分享,可在线阅读,更多相关《操作系统安全配置ppt课件.ppt(87页珍藏版)》请在三一办公上搜索。
1、项目一 操作系统安全配置与测试,网络安全技术应用,胡志齐 主编,单元学习目标,能力目标具备对Windows服务器操作系统进行安全策略配置的能力具备对Windows服务器进行端口和服务安全加固的能力具备安全配置Web服务器的能力具备利用MBSA扫描系统漏洞并查看报告的能力具备利用微软WSUS服务器为客户端分发和安装系统补丁的能力知识目标了解Windows服务器操作系统的安全策略掌握Windows服务器操作系统安全策略的配置方法掌握安全配置Web服务器的方法掌握服务和端口安全了解系统漏洞的概念掌握使用MBSA检测系统漏洞的方法掌握企业操作系统补丁更新的方法情感态度价值观培养认真细致的工作态度逐步形
2、成网络安全的主动防御意识,单元学习内容,计算机系统安全是网络安全的基础。目前,Windows操作系统是应用最多的计算机操作系统之一,市场占有率始终维持在90%左右。常用的Windows服务器操作系统包括Windows 2003和Windows Server 2008。任何安全措施都无法保证万无一失,而强有力的安全措施可以增加入侵的难度,从一定程度上提升系统的安全性。通常情况下,用户安装操作系统后便投入使用是非常危险的。要想使服务器在复杂的环境下平稳运行,必须进行安全加固。本章将以Windows 2003系统为例进行安全加固,保证系统安全运行。,主要内容,任务2 网络服务安全配置,任务3 检查与
3、防护漏洞,任务4 操作系统补丁更新服务器配置,任务1 Windows系统基本安全设置,任务1 Windows系统基本安全设置,活动一 设置本地安全策略活动二 关闭不必要的服务和端口,任务分析,活动1 设置本地安全策略,【任务描述】 齐威公司新购置了几台计算机准备作为服务器,小齐给它们安装了比较流行的Windows 2003服务器操作系统,而且安装的时候选择的是默认安装。但由于是服务器,对公司来说非常重要,来不得半点马虎,于是在默认安装结束后,小齐决定对系统进行安全加固。【任务分析】 小齐利用网络查找资料了解到,利用Windows Server 2003的安全配置工具来配置安全策略,微软提供了一
4、套基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略,在管理工具中可以找到“本地安全设置”配置5类安全策略:账户策略、本地策略、公钥策略、软件限制策略和IP安全策略。小齐决定先进行账户策略的设置。,活动1 设置本地安全策略,【任务实战】 (1)选择“开始”“所有程序”“管理工具”“本地安全策略”,显示“本地安全设置”窗口,如图1-1所示。图1-1 “本地安全设置”窗口,活动1 设置本地安全策略,(2)开启账户策略。开启账户策略就可以有效防止字典式攻击,设置如下。 单击“账户策略”左边的 ,展开“账户策略”项,看到“密码策略”与“账户锁定策略”两项。 选择“账户锁定策略”,在窗口的右边
5、将出现“复位账户锁定计数器”、“账户锁定时间”、“账户锁定阈值”3项,如图1-2所示。,图1-2 “账户锁定策略”选项,活动1 设置本地安全策略, 选择“账户锁定阈值”, 单击鼠标右键,选择“属性”,打开“账户锁定阈值属性”对话框,如图1-3所示。 在对话框中选择需要设置的登录次数,超过该次数后就会锁定该登录账户,以防止非授权用户的无限次尝试登录。其余项目设置与此相同。,图1-3 “账户锁定阈值 属性”对话框,活动1 设置本地安全策略,(3)开启密码策略。密码对系统安全非常重要。本地安全设置中的密码策略在默认情况下都没有开启。 选择“密码策略”,在窗口右边窗格中显示策略具体项,如图1-4所示。
6、,图1-4 “本地安全设置-密码策略”选项,活动1 设置本地安全策略, 以“密码长度最小值”的设置为例,说明密码策略的设置。选择“密码长度最小值”, 单击鼠标右键,选择“属性”,打开“密码长度最小值 属性”对话框,如图1-5所示。 在“密码必须至少是”文本框中选择要规定的字符个数,然后单击“应用”按钮,再单击“确定”按钮。这样就设置了密码策略的长度项,其余项的设置与此相同。,图1-5 “密码长度最小值 属性”对话框,活动1 设置本地安全策略,(4)开启审核策略。安全审核是Windows Server 2003最基本的入侵检测的方法。当有人尝试对系统进行某种方式(如尝试用户密码、改变账户策略和未
7、经许可的文件访问等)入侵时,都会被安全审核记录下来。 选择“审核策略”,在窗口右边窗格中显示审核策略具体项,如图1-6所示。,图1-6 “审核策略”列表框, 以“审核策略更改”的设置为例说明审核策略的设置。选择“审核策略更改”,并单击鼠标右键,选择“属性”,打开“审核策略更改属性”对话框。,活动1 设置本地安全策略,(5)不显示上次登录名。默认情况下,终端服务接入服务器时候,登录对话框中会显示上次登录的账户名,本地的登录对话框也是一样。黑客们可以得到系统的一些用户,进而猜测密码。通过修改注册表可以禁止显示上次登录名,方法是在HKEY_LOCAL_MACHINE主键下修改子键SOFTWAREMi
8、crosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName,将键值修改为“1”。 (6)禁止建立空连接。默认情况下,任何用户可以通过空连接进入服务器,进而枚举出账号,猜测密码。可以通过修改注册表来禁止建立空连接,方法是在HKEY_LOCAL_MACHINE主键下修改子键SystemCurrentControlSetControlLSARestrictAnonymous,将键值改为“1”。,活动1 设置本地安全策略,【任务描述】 小齐已经把服务器进行了密码策略的加固,而且安装上了杀毒软件,小齐得意地认为这样就可以万无一失了。可是服务
9、器运行一段时间后,小齐发现服务器还是遭受到了多次的黑客入侵和网络病毒的侵袭,这是怎么回事呢?【任务分析】 小齐通过访问微软的官方网站了解到,黑客的入侵和网络病毒的感染都是通过服务器的端口进行的,而Windows系统在默认情况下,有些没有用的端口和服务是开启的,这就给黑客和病毒有了可乘之机,小齐决定现在就把那些没有用的端口和服务关闭。,活动2 关闭不必要的服务和端口,【任务实战】 1关闭不必要的端口 (1)查看端口。 主要有两种方式: 利用系统内部的命令查看 使用第三方软件查看。 (2)关闭端口(四个步骤)。,(1) 查看端口,Netstat工具可以显示有关统计信息和当前TCP/IP网络连接的情
10、况,通过该工具,用户或网络管理人员可以得到非常详细的统计结果,当网络中没有安装特殊的网管软件,但要对整个网络的使用状况做详细的了解时,Netstat就非常有用。它可以用来获得系统网络连接的信息(使用端口和在使用的协议等)、收到和发出的数据、被连接的远程系统的端口等。在命令行状态下,输入以下命令并按Enter键:netstat-a,结果如图1-7所示。,图1-7 Netstat-a参数使用情况,Foreign Address:指连接该端口的远程计算机的名称和端口号;State:表明当前计算机TCP的连接状态。主要状态有LISTENING、TIME WAITESTABLISHED、。其中LISTE
11、NING表示监听状态,表明主机正在对打开的端口进行监听,等待远程计算机的连接,这比较危险,有可能会被病毒或者黑客作为入侵系统的端口;ESTABLISHED表示已经建立起的连接,表明两台主机之间正在通过TCP进行通信;TIME WAIT表示这次连接结束,表明端口曾经有过访问,但现在访问结束。另外,UDP端口不需要监听。 -n 这个参数基本上是-a参数的数字形式,它是用数字的形式显示信息,这个参数用于检测自己的IP,也有些人则因为更喜欢用数字的形式显示主机名而使用该参数。 -e参数显示静态的网卡数据统计情况,如图1-8所示。,图1-8 Netstat-e参数使用,-p参数用来显示特定的协议所在的端
12、口信息,它的格式为“netstat p xxx”。其中xxx可以是UDP、IP、ICMP或TCP,如图1-9所示。,图1-9 Netstat-p参数使用,-s参数显示在默认的情况下每个协议的配置统计,默认情况下包括TCP、IP、UDP、ICMP等协议,如图1-10所示。Netstat的-a、-n两个参数同时使用时,可以用来查看系统端口状态,列出系统正在开放的端口号及其状态,如图1-11所示。,图1-10 Netstat-e-s参数的综合应用,图1-11 Netstat-na参数的综合使用,Netstat的-a、-n、-b 3个参数同时使用时,可用来查看系统端口状态,显示每个连接是由哪些程序创建
13、的,如图1-12所示。,图1-12 Netstat-nab参数的综合使用,步骤1 选择“开始” “设置”“控制面板”“管理工具”,双击打开“本地安全策略”,选择“IP安全策略,在本地计算机”,如图1-13所示。,图1-13 “本地安全设置”窗口,(2) 关闭端口(四个步骤),在右边窗格的空白位置右击,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中单击“下一步”按钮。为新的安全策略命名为“关闭端口”,如图1-14所示。,图1-14 “IP安全策略名称”对话框,单击“下一步”按钮,则打开“安全通信请求”对话框(图1-15),在对话框上取消选中“激活默认相应规则”,单击“完成
14、”按钮就创建了一个新的IP安全策略。,图1-15 “安全通信请求”对话框,步骤2 右击该IP安全策略,选择“属性”在打开的“关闭端口属性”对话框中(图1-16),取消选中“使用添加向导”,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框(图1-17),其中显示“IP筛选器列表”选项卡。,图1-16 “关闭端口属性”对话框,图1-17 “新规则属性”对话框,在图1-17中单击“添加”按钮,弹出“IP筛选器列表”对话框,如图1-18所示。 在列表中,首先取消选中“使用添加向导”,然后再单击右边的“添加”按钮添加新的筛选器。,图1-18 “IP筛选器列表”对话框,步骤3 进入“筛选器属
15、性”对话框,首先看到的是“地址”选项卡(图1-19),源地址选择“任何IP 地址”,目标地址选择“我的IP地址”。选择“协议”选项卡,在“选择协议类型”下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,单击“确定”按钮,如图1-20所示。这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口进入你的计算机。单击“确定”按钮后回到筛选器列表的对话框,可以看到已经添加了一条策略。重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。重复以上步骤添加TCP 1025、
16、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后单击“确定”按钮。,图1-19 “IP 筛选器属性”对话框,图1-20 “协议”选项卡,步骤4 在“编辑规则属性”对话框中,选择“新IP筛选器列表”,然后选中其左边单选按钮,表示已经激活,最后选择“筛选器操作”选项卡,如图1-21所示。,图1-21 “编辑规则属性”对话框,在“筛选器操作”选项卡中,取消选中“使用添加向导”,单击“添加”按钮(图1-22),添加“阻止”操作(图1-23):在打开的“需要安全属性”对话框的“安全措施”选项卡中,选择“阻止”,然后单击“确定”按钮。,图1-22 “筛选器操作”选项卡,
17、图1-23 “安全措施”选项卡,步骤5 进入“新规则属性”对话框,选择“新筛选器操作列表”,其左边的圆圈会加了一个点,表示已经激活,单击“关闭”按钮,关闭对话框;最后回到“新规则属性”对话框,选中“新IP筛选器列表”(图1-24)左边的单选按钮,激活选项,单击“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的IP安全策略,然后选择“指派”。,图1-24 “IP筛选器列表”选项卡,重新启动后,计算机中上述网络端口就被关闭,病毒和黑客再也不能连上这些端口。,活动2 关闭不必要的服务和端口,【任务实战】2关闭不必要的服务 在Windows操作系统中,默认开启的服务很多,但并非所有的服
18、务都是操作系统运行必须的,而禁止所有不必要的服务可以节省内存和大量系统资源,更重要的是提升系统的安全性。,(1)查看服务。单击“开始”菜单,展开“管理工具”,选择“服务”,打开“服务”窗口,如图1-25所示。,图1-25 “服务”窗口,(2)关闭服务。下面以“程序在指定时间运行”服务为例说明如何关闭服务。“程序在指定时间运行”的服务名称为“Task Schedule”,它就是计划任务的服务,可以让有权限的用户,制定一个计划让某个程序在未来某个时间自动运行。这个服务很容易被黑客利用,让木马自动在某个时间运行,因此如果不使用这项功能,建议停止这项服务。在系统服务中找到Task Schedule服务
19、,单击鼠标右键,选择“属性”,打开的对话框如图1-26所示。然后选择启动类型为“禁用”。单击“服务状态”下的“停止”按钮,弹出如图1-27所示的对话框,则该服务就被关闭了。,图1-26 “Task Schedule的属性”对话框,图1-27 “服务控制”对话框,活动2 关闭不必要的服务和端口,【任务拓展】一、理论题1请说明Windows系统自身安全的重要性。2请列举出你所了解的Windows安全的配置方法。3Windows Server 2003用户“密码策略”设置中,“密码必须符合复杂性要求”策略启用,用户设置密码必须满足什么要求?4查看端口的命令是什么?二、实训1自动播放功能不仅对光驱起作
20、用,而且对其他驱动器也起作用,这样很容易被黑客用来执行黑客程序。为了系统安全起见,建议关闭自动播放功能,请写出工作流程并截图。2除了系统自带的端口查看工具Netstat外,互联网上还有很多第三方的查看工具,操作简单,界面友好,如Tcpview等。请从互联网上找到一款端口查看软件,并熟悉其使用方法,给大家讲解一下。,任务2 网络服务安全配置,活动一 Web服务安全设置活动二 Web浏览器安全设置,任务分析,活动1 Web服务安全设置,【任务描述】 齐威公司准备在刚刚配置好的Windows 2003上安装一台Web服务器,发布公司的网站。通过网络学习,网管员小齐了解到可以用微软提供的IIS6.0组
21、件,并可以通过安全设置打造一个安全的Web服务器。 【任务分析】 小齐通过查看微软中国的官方在线帮助网站了解,IIS6.0并没有作为默认组件安装,需要先安装,然后再进行安全配置。 【任务实战】 1IIS的安装 2. 设置IIS安全,活动1 Web服务安全设置,1. IIS的安装步骤1 运行“控制面板”中的“添加删除程序”,选择“添加/删除Windows组件”,进入“Windows组件向导”对话框,选中“应用程序服务器”复选框,单击“详细信息”按钮,如图1-28所示。步骤2 单击“下一步”按钮,进入“正在配置组件”对话框。,图1-28 “Windows组件向导”对话框,步骤3 将Windows
22、Server 2003的光盘放入光驱中,单击“确定”按钮,完成组件的安装。,活动1 Web服务安全设置,(1) IP地址限制 通过IP地址及域名限制,用户可禁止某些特定的计算机或者某些区域中的主机对自己的Web和FTP站点及SMTP虚拟服务器的访问。当有大量的攻击和破坏来自于某些地址或者某个子网时,使用这种限制机制是非常有用的。不过,进行IP地址及域名限制的首要条件是用户必须知道网络黑客的计算机使用哪些IP地址或属于哪些网络区域,否则无法进行限制。对基于Internet的信息服务器,站点接受来自于各方的访问,用户很难进行地址限制。一般来说,只有基于企业内部网络的信息服务器才使用IP地址及域名进
23、行安全保护。,2. 设置IIS安全,步骤1 选择Web站点,单击鼠标右键,选择“属性”,打开“站点属性”对话框,选择“目录安全性”选项卡,打开如图1-29所示的对话框。步骤2 单击“IP地址和域名限制”选择区域的“编辑”按钮,打开如图1-30所示的“IP地址和域名限制”对话框。,图1-29 “Web站点属性”对话框,图1-30 “IP地址和域名限制”对话框,步骤3 选中“授权访问”单选按钮,单击“添加”按钮,打开“拒绝访问”对话框。可通过以下3种类型的选择来拒绝访问。 一台计算机:IP为所填地址的计算机被拒绝访问Web站点,如图1-31所示。 一组计算机:用“网络标识”和“子网掩码”来规定某个
24、网段的所有计算机被拒绝访问Web站点,如图1-32所示。,图1-31 根据IP地址拒绝一台计算机,图1-32 根据IP地址段拒绝一组计算机, 域名:以域名标识某台计算机被拒绝访问Web站点,如图1-33所示。 通过这些方式限定的计算机都会在“IP地址和域名限制”对话框中的空白处显示,所选择的“授权访问”的含义是除了在空白处显示的这些计算机外,其余计算机被授权访问Web站点,即在空白处显示的计算机是不能访问站点的。相反,“拒绝访问”就是除了空白处显示的计算可以访问以外,其余的计算机都不能访问。“拒绝访问”项的设置方式和内容与“授权访问”相同。,图1-33 根据域名拒绝计算机,活动1 Web服务安
25、全设置,(2) IP端口限制 网络访问的各种服务基本上都可以通过端口的方式发送接收请求,如FTP常用的端口是21,Web常用的是80等,因此可以通过修改默认的端口号来提高服务的安全性。 具体操作步骤是选择“网站属性”对话框的“网站”选项卡,如图1-34所示。将“TCP端口”项的默认端口80修改成其他的端口就可以了。, 文件和文件夹的访问权限控制。步骤1 选择要访问的文件或文件夹,单击鼠标右键,选择“属性”打开“文件夹属性”对话框,选择“安全”选项卡,如图1-36所示。,图1-36 “文件夹属性”对话框“安全”选项卡,步骤2 在“组或用户名称”列表框中选择访问该文件或文件夹的用户,然后在“用户权
26、限”列表框中设置该用户的权限。另外可以通过NTFS分区格式的审核功能来实现访问控制。即在“文件夹属性”对话框中,单击“高级”按钮,打开如图1-37所示的对话框,然后选择“审核”选项卡。在“审核”选项卡中,单击“添加”按钮,打开“选择用户或组”对话框。步骤3 单击“选择用户或组”对话框中的“高级”按钮,弹出“审核项目”对话框,在该对话框中设置相应的权限。设置好后单击“确定”按钮,就会在“选择用户或组”对话框中的“输入要选择的对象名称”列表框里显示审核的项目,然后单击“确定”按钮。该审核项目便会在“文件夹的高级安全设置”对话框的“审核项目”中出现,然后单击该对话框中的“确定”按钮,则特定用户和组的
27、审核功能就设置成功了。,图1-37 “审核”选项卡,活动2 Web浏览器安全设置,【任务描述】 现在无论是公司办公,还是日常生活,人们都无法离开网络了。网上购物、收发邮件、在线视频等使人们更加地离不开浏览器了,因此浏览器的安全对人们的生活和工作至关重要。 【任务分析】 为了提升浏览器的安全性,可以直接对浏览器进行设置,也可以通过第三方软件进行设置,本任务以IE8.0浏览器为例进行设置。 【任务实战】 1了解浏览器安全级别 2. 用户自定义安全级别 3 用户自定义安全级别,活动2 Web浏览器安全设置,1. 了解浏览器安全级别IE8.0浏览器安全级别的高低是以用户通过浏览器发送数据和访问本地客户
28、资源的能力高低来进行区分的,通常定义了3个级别,分别是高、中高、中,并提供了4类访问对象分别是Internet、本地Intranet、可信站点和受限站点。另外用户可根据自己的需要进行添加。打开IE浏览器,单击“工具”菜单,选择“Internet选项”,弹出如图1-38所示的“Internet选项”对话框,选择“安全”选项卡,安全级别和访问对象设置如图1-38所示。,图1-38 “安全”选项卡,活动2 Web浏览器安全设置,2. 用户自定义安全级别 如果用户想自己设置安全级别,可单击“自定义级别”按钮,弹出如图1-39所示的“安全设置”对话框。在“重置自定义设置”区域中“重置为”下拉列表中选择需
29、要更改的安全级别。,图1-38 “安全设置”对话框,活动2 Web浏览器安全设置,3SmartScreen筛选器设置 Smartscreen筛选器是Internet Explorer 8中的一个功能,可帮助在浏览网页时防范社会工程学钓鱼网站,以及网络诈骗。步骤1 选择浏览器“工具”菜单中的“SmartScreen筛选器”,打开SmartSrceen筛选器,如图1-40所示。,图1-40 从工具栏打开SmartScreen筛选器,步骤2 在弹出的对话框中选中“打开SmartScreen筛选器(推荐)”单选按钮,如图1-41所示。,图1-41 开启SmartScreen筛选器,活动2 Web浏览器
30、安全设置,4删除浏览的历史记录 为了加快浏览速度和保护用户的隐私数据,用户应该养成定期删除浏览的历史记录的习惯。方法是选择“工具”菜单中的“删除浏览的历史记录”,如图1-42所示。,图1-42 删除浏览的历史记录,活动2 Web浏览器安全设置,【任务拓展】一、理论题 1请分析在安装IIS时为什么最好不要安装Internet服务管理器(HTML)、SMTPService和NNTPService、脚本组件? 2请简单叙述一下从哪几方面对IIS进行安全加固?二、实训 1设置IE浏览器来禁止病毒通过浏览器进入系统。 2利用如“360安全卫士”等第三方工具来保护IE浏览器。,任务3 检查与防护漏洞,活动
31、一 利用MBSA检查常见的漏洞活动二 防护系统漏洞 系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者计算机黑客利用,通过植入木马、病毒等方式来攻击或控制整个计算机,从而窃取计算机中的重要资料和信息,甚至破坏系统。,任务分析,活动1 利用MBSA检查常见的漏洞,【任务描述】 小齐的安全防范意识很强,给服务器安装了杀毒软件和防火墙等防护措施,但是他忽略了一个重要环节:不管什么操作系统或者软件产品都是存在设计缺陷和漏洞的,随时都有可能被黑客利用。【任务分析】 因此定期地对操作系统进行体检是非常必要的,对于Windows操作系统可以使用微软公司提
32、供的一款名为“系统漏洞检测工具(MBSA)”的小软件对系统进行扫描,可以找出系统存在的漏洞并给出分析报告,指导我们修补漏洞。,活动1 利用MBSA检查常见的漏洞,【任务实战】1工具的获取及安装步骤1 到微软的官方网站http:/ 步骤2 按照“安装向导”的提示完成安装。步骤3 软件安装完成后,在“程序”菜单中显示 ,表示MBSA成功安装。步骤4 打开MBSA工具主页面。安装完成后,依次选择“开始”“程序”“Microsoft Baseline Security Analyzer 2.2”,或双击桌面图标,即可弹出MBSA的主页面,如图1-43所示。,图1-43 MBSA主界面,步骤5 参数设置
33、,单击MBSA主界面中的“Scan a computer”菜单,弹出“Which computer do you want to scan”对话框,如图1-44所示。以使用该工具扫描一台计算机为例介绍该工具的使用方法和过程。要想让MBSA成功扫描计算机,需在此对话框中进行正确地参数设置(点击),图1-44 “Which computer do you want to scan”对话框,步骤6 用户根据自身情况设置好各项参数后单击“Start Scan”菜单,将弹出“Scanning”对话框,MBSA将开始扫描指定的计算机,并经过一段时间后弹出扫描结果,如图1-45所示,并根据报告的扫描结果进行
34、漏洞修复。,图1-45 扫描结果窗口,步骤7 查看扫描结果的漏洞修补提示。以笔者的计算机为例,第2个红色图标提示。File System:为文件系统问题,后面给出了具体解释为“并不是所有的分区都是NTFS分区格式”,如图1-46所示。单击“Result details”链接弹出具体的结果细节,如图1-47所示,可知本台计算机的D盘是FAT32的文件结构。,图1-46 红色图标提示窗口,图1-47 具体细节窗口,单击“How to correct this”链接弹出一个具体解决这个漏洞的办法的页面,如图1-48所示。,图1-48 解决漏洞窗口, 设定要扫描的对象。告诉MBSA要扫描的计算机是扫描
35、成功的基础。MBSA提供以下两种方法。方法1:在“Computer name”文本框中输入计算机名称,格式为“工作组名计算机名”。默认情况下,MBSA会显示运行MBSA的计算机的名称。提示:如图1-44所示,“XXGLDOMAIN”是笔者运行MBSA的计算机所属的工作组名称,“U”是计算机名称。方法2:在“IP address”文本框中输入计算机的IP地址。在此文本框中允许输入在同一个网段中的任意IP地址,但不能输入跨网段的IP,否则会提示“Computer not found(计算机没有找到)”的信息。 设定安全报告的名称格式。每次扫描成功后,MBSA会将扫描结果以“安全报告”的形式自动地保
36、存起来。MBSA允许用户自行定义安全报告的文件名格式,只要在“Security report name”文本框中输入文件格式即可。提示:MBSA提供两种默认的名称格式:“%D% - %C% (%T%)”(域名计算机名(日期戳)和“%D%IP% (%T%)”(域名-IP地址(日期戳)。,MBSA成功扫描计算机, 设定扫描中要检测的项目。MBSA允许检测包括Office、IIS等在内的多种微软软件产品的漏洞。在默认情况下,无论计算机是否安装了以上软件,MBSA都要检测计算机上是否存在以上软件的漏洞。这不但浪费扫描时间,而且影响扫描速度。用户可以根据自身情况进行选择,对于一些没有安装的软件可以不选,
37、例如,若没有安装SQL Server,则可不选中“Check for SQL administrative vulnerabilities”复选框,这样能缩短扫描时间,提高扫描速度。基于这点考虑,MBSA提供了让用户自主选择检测项目的功能。只要用户选中(或取消)“Options”中某个复选框,就可让MBSA检测(或忽略)该项目。提示:允许用户自主选择的项目只有“Check for Windows administrative vulnerabilities”(检查Windows的漏洞)、“Check for weak passwords”(检查密码的安全性)、“Check for IIS ad
38、ministrative vulnerabilities”(检查IIS系统的漏洞)、“Check for SQL administrative vulnerabilities”(检查SQL Server的漏洞)4项。至于其他项目(如Office软件的漏洞等)MBSA会强制扫描。,MBSA成功扫描计算机, 设定安全漏洞清单的下载途径。MBSA的工作原理:以一份包含了所有已发现的漏洞的详细信息(如什么软件隐含漏洞、漏洞存在的具体位置、漏洞的严重级别等)的安全漏洞清单为蓝本,全面扫描计算机,将计算机上安装的所有软件与安全漏洞清单进行对比。如果发现某个漏洞,MBSA就会将其写入到安全报告中。因此,要想
39、让MBSA准确地检测出计算机上是否存在漏洞,安全漏洞清单的内容是否是最新的就至关重要了。由于新的漏洞不断被发现,所以我们要像更新防病毒软件的病毒库一样,及时更新安全漏洞清单。MBSA提供了以下两种更新方法。方法1:从微软官方网站上下载。微软会在它的官方网站上及时发布最新的安全漏洞清单,所以MBSA被默认设置为每一次扫描时自动链接到微软官方网站下载最新的安全漏洞清单。此方法适用于能连入Internet的计算机用户。方法2:从SUS服务器上下载。有些局域网中架设了SUS(Software Update Services,软件升级服务)服务器,所以此类用户可以选择此方法下载最新的安全漏洞清单,只要选
40、中“Use SUS Server”复选框,并在其下的文本框中输入SUS的地址即可。返回,MBSA成功扫描计算机,活动2 防护系统漏洞,【任务描述】 虽然MBSA能帮人们检测出系统的漏洞,但是不能帮人们修复漏洞,有没有好的办法修复漏洞呢? 【任务分析】 对于服务器操作系统如Windows 2003、Windows 2008,人们可以利用系统自带的自动更新功能修复漏洞。对于Windows XP、Windows Vista等个人版操作系统,既可以采用系统自带的自动更新功能,也可以采用更为人性化和方便的第三方漏洞修复软件,如360安全卫士。 【任务实战】 方法一:使用操作系统自动更新修复漏洞 方法二:
41、使用第三方软件进行更新(以360安全卫士为例),方法一:使用操作系统自动更新修复漏洞一般情况下,比较著名的系统软件都会不定期地发布补丁。对于Windows操作系统,由于它们具备自动更新的功能,因此只要微软发布补丁程序,而且操作系统的自动更新设置为开启状态并连接上了Internet,则操作系统会及时下载补丁程序,修补漏洞。以Windows XP操作系统为例,进行自动更新配置,步骤如下:打开“开始”菜单,选择“设置”“控制面板”,在新开启的窗口中双击“自动更新”,打开如图1-49所示的对话框,查看当前计算机的自动更新配置。,图1-49 “自动更新”对话框,方法2:使用第三方软件进行更新(以360安
42、全卫士为例)通过网络下载360安全卫士,按步骤安装完成后,选择“修复漏洞”选项卡,360安全卫士会对系统的漏洞情况进行扫描,如图1-50所示。安全卫士并不是把所有的补丁都让用户下载,而是把补丁划分为高危补丁和功能性更新补丁,高危补丁是360安全卫士强烈建议用户必须打的,而功能性补丁是360安全卫士建议可以不打的,而且使用360安全卫士打补丁比从微软官方网站下载有一个优势,即360安全卫士的服务器先要测试这些补丁,这些补丁没有问题,才让用户去安全地打补丁。,图1-50 利用360安全卫士修补漏洞,活动2 防护系统漏洞,【任务拓展】一、理论题1什么是系统漏洞?2系统漏洞有哪些危害?二、实训利用MB
43、SA对远程单台主机进行扫描(操作提示: 在目标计算机上以Administrator账户或Administrators组中的成员登录系统,并开启Guest账户; 将Guest账户添加到Administrators组中; 修改目标计算机组策略,使Guest账户拥有远程访问权限),任务4 操作系统补丁更新服务器配置,活动一 WSUS的部署活动二利用WSUS进行补丁分发,任务分析,活动1 WSUS的部署,【任务描述】 鉴于公司补丁管理的无效状态,小齐决定看看有没有什么好的办法给公司内部的计算机打补丁,并进行补丁管理。 【任务分析】 由于公司都是Windows操作系统,小齐访问了微软中国网站了解到微软正
44、好有这么一款软件WSUS,用来进行补丁的分发和管理,小齐决定就用它了。步骤1 登录微软网站下载WSUS3.0 sp2。WSUS3.0 sp2是免费软件,因此可以去微软的官网直接下载,也可以去各大软件下载网站下载。,步骤2 准备WSUS3.0的安装。安装WSUS 3.0之前,需要在你的机器上安装以下组件。当这些组件安装完成后需要重新启动机器。WSUS3.0可以在Windows Server 2003家族操作系统上安装。以下是需要安装的组件: Internet 信息服务(IIS)6.0。 后台智能传送服务(BITS)2.0。 Microsoft .NET Framework 2.0。 管理控制台(
45、MMC)3.0。 Microsoft Report Viewer。以上组件都可以去微软的官方网站直接下载安装。,步骤3 WSUS服务器的安装。(1)做好安装前的准备工作后我们就可以进行WSUS3.0的安装了,如图1-51所示,启动WSUS 3.0的安装程序后出现了安装向导。(2)安装模式选择,如图1-52所示,选择“包括管理控制台的完整服务器安装”,这样才能在此计算机上安装WSUS服务器。,图1-51 安装向导,图1-52 安装模式选择,(3)选择安装模式后,单击“下一步”按钮。(4)选择更新源,如图1-53所示,在安装向导的“选择更新源”对话框中,可以指定客户端获得更新的位置。如果选中“本地
46、存储更新”复选框,则会更新存储在WSUS 3.0服务器上,需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新,客户端计算机将连接到Microsoft Update以获取已审批的更新。请将存储位置放到系统盘以外的分区上存放,同时该分区容量推荐不要少于20GB,然后单击“下一步”按钮。,图1-53 选择更新源,(5)选择WSUS的数据库,如图1-54所示,本例WSUS后台数据库选用自带的WMSDE,设置数据库的存储目录为E:update。也可以选择本地或远程的SQL Server数据库,只需要选择第二项或第三项并填写数据库服务器的地址。,图1-54 数据库选项,(6)在“网站选择”对
47、话框中,指定WSUS 3.0 将使用的网站,如图1-55所示。如果要在端口80上使用默认 IIS 网站,请选择第一个选项。如果端口 80 上已有一个网站,可通过选择第二个选项在端口8530上创建备用站点。部署时选择开通8530端口,建立一个新IIS站点(强烈建议使用此选项,建议在默认网站上不加载任何Web应用程序)。,图1-55 网站选择,(7)在“准备安装 Windows Server Update Services”对话框中,检查各项选择,然后单击“下一步”按钮。(8)安装向导的最后一页将说明 WSUS 3.0 安装是否成功完成。单击“完成”按钮后,将自动运行配置向导。,步骤4 WSUS服
48、务器的配置及应用。在完成了WSUS的安装后,安装程序会自动跳转到“WSUS的配置向导”,根据此向导,就可以完成WSUS的配置了。(1)询问服务器防火墙是否允许客户端访问服务器,能够将服务器连接到上游服务器,用户是否具有代理服务器凭证。(2)询问是否加入Microsoft Update改善计划。(3)选择上游服务器,此处有两个选项,如图1-56所示。第一项是“从Microsoft Update进行同步”,就是从微软的更新网站进行下载补丁并保持同步更新,当公司的内网中只有一台WSUS服务器的时候我们选择这个选项,当公司有两台以上WSUS服务器部署的时候,可以让第一台指向微软的更新站点,而其他的WS
49、US服务器选择第二项,指向第一台WSUS服务器,这样就加快了更新速度。,图1-56 选择上游服务器,(4)设置代理服务器。没有代理服务器就不设置,然后就可以开始连接微软的Update服务器进行连接了。(5)连接到上游服务器,从Windows Update中下载更新信息,连接时间视网速、时间段而定,这里只能耐心等待连接完成了,如图1-57所示。,图1-57 开始进行连接,(6)连接完成后,出现选择更新文件的语种,选择“中文(简体)”,如图1-58所示。,图1-58 选择同步更新的语言,(7)选择更新的产品,根据实际需要选择公司内部的微软产品,小齐从来没有接触过WSUS服务器,因此为了稳妥起见,只
50、选择Windows XP操作系统的更新,如图1-59所示的产品列表中包括了微软所有的产品,从操作系统到应用软件都可以选择。,图1-59 选择更新的产品,(8)选择更新的分类,小齐根据公司的网络环境和实际需要进行选择,如图1-60所示。(9)设置同步计划,小齐选择手动,第一次选择手动为好,选择手动一会就可以直接更新,当服务器测试稳定后,就可以修改同步计划,让服务器自动在某个时间段自动进行同步更新。,图1-60 选择下载更新的分类,(10)现在已基本完成了WSUS 3.0的初始配置,这里有两个选项,默认就是选上的,不用做任何的更改,单击“完成”按钮。(11)自动运行WSUS的管理控制台,并自动进行
