《[精选]操作系统安全配置(PPT87页).pptx》由会员分享,可在线阅读,更多相关《[精选]操作系统安全配置(PPT87页).pptx(87页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、一 操作系统安全配置与测试网络安全技术应用胡志齐 主编单元学习目标p能力目标具备对Windows效劳器操作系统进行安全策略配置的能力具备对Windows效劳器进行端口和效劳安全加固的能力具备安全配置Web效劳器的能力具备利用MBSA扫描系统漏洞并查看报告的能力具备利用微软WSUS效劳器为客户端分发和安装系统补丁的能力p知识目标了解Windows效劳器操作系统的安全策略掌握Windows效劳器操作系统安全策略的配置方法掌握安全配置Web效劳器的方法掌握效劳和端口安全了解系统漏洞的概念掌握使用MBSA检测系统漏洞的方法掌握企业操作系统补丁更新的方法p情感态度价值观培养认真细致的工作态度逐步形成网络
2、安全的主动防御意识单元学习内容计算机系统安全是网络安全的基础。目前,Windows操作系统是应用最多的计算机操作系统之一,市场占有率始终维持在90%左右。常用的Windows效劳器操作系统包括Windows 2003和Windows Server 2008。任何安全措施都无法保证万无一失,而强有力的安全措施可以增参加侵的难度,从一定程度上提升系统的安全性。通常情况下,用户安装操作系统后便投入使用是非常危险的。要想使效劳器在复杂的环境下平稳运行,必须进行安全加固。本章将以Windows 2003系统为例进行安全加固,保证系统安全运行。主要内容任务2 网络服务安全配置任务3 检查与防护漏洞任务4
3、操作系统补丁更新服务器配置任务1 Windows系统基本安全设置任务1 WINDOWS系统基本安全设置p活动一 设置本地安全策略p活动二 关闭不必要的效劳和端口任务分析活动1 设置本地安全策略【任务描述】齐威公司新购置了几台计算机准备作为效劳器,小齐给它们安装了比较流行的Windows 2003效劳器操作系统,而且安装的时候选择的是默认安装。但由于是效劳器,对公司来说非常重要,来不得半点马虎,于是在默认安装结束后,小齐决定对系统进行安全加固。【任务分析】小齐利用网络查找资料了解到,利用Windows Server 2003的安全配置工具来配置安全策略,微软提供了一套基于管理控制台的安全配置和分
4、析工具,可以配置效劳器的安全策略,在管理工具中可以找到“本地安全设置配置5类安全策略:账户策略、本地策略、公钥策略、软件限制策略和IP安全策略。小齐决定先进行账户策略的设置。活动1 设置本地安全策略【任务实战】1选择“开始“所有程序“管理工具“本地安全策略,显示“本地安全设置窗口,如图1-1所示。图图1-1 “1-1 “本地安全设置本地安全设置窗口窗口活动1 设置本地安全策略 2开启账户策略。开启账户策略就可以有效防止字典式攻击,设置如下。单击“账户策略左边的,展开“账户策略项,看到“密码策略与“账户锁定策略两项。选择“账户锁定策略,在窗口的右边将出现“复位账户锁定计数器、“账户锁定时间、“账
5、户锁定阈值3项,如图1-2所示。图图1-2 “1-2 “账户锁定策略账户锁定策略选项选项活动1 设置本地安全策略 选择“账户锁定阈值,单击鼠标右键,选择“属性,翻开“账户锁定阈值属性对话框,如图1-3所示。在对话框中选择需要设置的登录次数,超过该次数后就会锁定该登录账户,以防止非授权用户的无限次尝试登录。其余工程设置与此相同。图图1-3 “1-3 “账户锁定阈值账户锁定阈值 属性对话框属性对话框活动1 设置本地安全策略 3开启密码策略。密码对系统安全非常重要。本地安全设置中的密码策略在默认情况下都没有开启。选择“密码策略,在窗口右边窗格中显示策略具体项,如图1-4所示。图图1-4 “1-4 “
6、本地安全设置本地安全设置-密码策略选项密码策略选项活动1 设置本地安全策略 以“密码长度最小值的设置为例,说明密码策略的设置。选择“密码长度最小值,单击鼠标右键,选择“属性,翻开“密码长度最小值 属性对话框,如图1-5所示。在“密码必须至少是文本框中选择要规定的字符个数,然后单击“应用按钮,再单击“确定按钮。这样就设置了密码策略的长度项,其余项的设置与此相同。图图1-5 “1-5 “密码长度最小值密码长度最小值 属性对话框属性对话框活动1 设置本地安全策略 4开启审核策略。安全审核是Windows Server 2003最基本的入侵检测的方法。当有人尝试对系统进行某种方式如尝试用户密码、改变账
7、户策略和未经许可的文件访问等入侵时,都会被安全审核记录下来。选择“审核策略,在窗口右边窗格中显示审核策略具体项,如图1-6所示。图图1-6 “1-6 “审核策略列表框审核策略列表框 以“审核策略更改的设置为例说明审核策略的设置。选择“审核策略更改,并单击鼠标右键,选择“属性,翻开“审核策略更改属性对话框。活动1 设置本地安全策略5不显示上次登录名。默认情况下,终端效劳接入效劳器时候,登录对话框中会显示上次登录的账户名,本地的登录对话框也是一样。黑客们可以得到系统的一些用户,进而猜测密码。通过修改注册表可以禁止显示上次登录名,方法是在HKEY_LOCAL_MACHINE主键下修改子键SOFTWA
8、REMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName,将键值修改为“1。6禁止建立空连接。默认情况下,任何用户可以通过空连接进入效劳器,进而枚举出账号,猜测密码。可以通过修改注册表来禁止建立空连接,方法是在HKEY_LOCAL_MACHINE主键下修改子键SystemCurrentControlSetControlLSARestrictAnonymous,将键值改为“1。活动1 设置本地安全策略【任务描述】小齐已经把效劳器进行了密码策略的加固,而且安装上了杀毒软件,小齐得意地认为这样就可以万无一失了。可是效劳器运行一
9、段时间后,小齐发现效劳器还是遭受到了屡次的黑客入侵和网络病毒的侵袭,这是怎么回事呢?【任务分析】小齐通过访问微软的官方网站了解到,黑客的入侵和网络病毒的感染都是通过效劳器的端口进行的,而Windows系统在默认情况下,有些没有用的端口和效劳是开启的,这就给黑客和病毒有了可乘之机,小齐决定现在就把那些没有用的端口和效劳关闭。活动2 关闭不必要的效劳和端口【任务实战】1关闭不必要的端口 1查看端口。主要有两种方式:利用系统内部的命令查看 使用第三方软件查看。2关闭端口四个步骤。1 查看端口 Netstat工具可以显示有关统计信息和当前TCP/IP网络连接的情况,通过该工具,用户或网络管理人员可以得
10、到非常详细的统计结果,当网络中没有安装特殊的网管软件,但要对整个网络的使用状况做详细的了解时,Netstat就非常有用。它可以用来获得系统网络连接的信息使用端口和在使用的协议等、收到和发出的数据、被连接的远程系统的端口等。在命令行状态下,输入以下命令并按Enter键:netstat-a,结果如图1-7所示。图图1-7 Netstat-a1-7 Netstat-a参数使用情况参数使用情况Foreign Address:指连接该端口的远程计算机的名称和端口号;State:说明当前计算机TCP的连接状态。主要状态有LISTENING、TIME WAITESTABLISHED、。其中LISTENING
11、表示监听状态,说明主机正在对翻开的端口进行监听,等待远程计算机的连接,这比较危险,有可能会被病毒或者黑客作为入侵系统的端口;ESTABLISHED表示已经建立起的连接,说明两台主机之间正在通过TCP进行通信;TIME WAIT表示这次连接结束,说明端口曾经有过访问,但现在访问结束。另外,UDP端口不需要监听。-n 这个参数基本上是-a参数的数字形式,它是用数字的形式显示信息,这个参数用于检测自己的IP,也有些人则因为更喜欢用数字的形式显示主机名而使用该参数。-e参数显示静态的网卡数据统计情况,如图1-8所示。图图1-8 Netstat-e1-8 Netstat-e参数使用参数使用 -p参数用来
12、显示特定的协议所在的端口信息,它的格式为“netstat p xxx。其中xxx可以是UDP、IP、ICMP或TCP,如图1-9所示。图图1-9 Netstat-p1-9 Netstat-p参数使用参数使用-s参数显示在默认的情况下每个协议的配置统计,默认情况下包括TCP、IP、UDP、ICMP等协议,如图1-10所示。Netstat的-a、-n两个参数同时使用时,可以用来查看系统端口状态,列出系统正在开放的端口号及其状态,如图1-11所示。图1-10 Netstat-e-s参数的综合应用图1-11 Netstat-na参数的综合使用Netstat的-a、-n、-b 3个参数同时使用时,可用来
13、查看系统端口状态,显示每个连接是由哪些程序创立的,如图1-12所示。图图1-12 Netstat-nab1-12 Netstat-nab参数的综合使用参数的综合使用步骤1 选择“开始“设置“控制面板“管理工具,双击翻开“本地安全策略,选择“IP安全策略,在本地计算机,如图1-13所示。图1-13 “本地安全设置窗口2 关闭端口四个步骤在右边窗格的空白位置右击,弹出快捷菜单,选择“创立 IP 安全策略,于是弹出一个向导。在向导中单击“下一步按钮。为新的安全策略命名为“关闭端口,如图1-14所示。图1-14 “IP安全策略名称对话框单击“下一步按钮,则翻开“安全通信请求对话框图1-15,在对话框上
14、取消选中“激活默认相应规则,单击“完成按钮就创立了一个新的IP安全策略。图1-15 “安全通信请求对话框步骤2 右击该IP安全策略,选择“属性在翻开的“关闭端口属性对话框中图1-16,取消选中“使用添加向导,然后单击“添加按钮添加新的规则,随后弹出“新规则属性对话框图1-17,其中显示“IP筛选器列表选项卡。图1-16 “关闭端口属性对话框图1-17 “新规则属性对话框 在图1-17中单击“添加按钮,弹出“IP筛选器列表对话框,如图1-18所示。在列表中,首先取消选中“使用添加向导,然后再单击右边的“添加按钮添加新的筛选器。图图1-18 “IP1-18 “IP筛选器列表对话框筛选器列表对话框步
15、骤3 进入“筛选器属性对话框,首先看到的是“地址选项卡图1-19,源地址选择“任何IP 地址,目标地址选择“我的IP地址。选择“协议选项卡,在“选择协议类型下拉列表中选择“TCP,然后在“到此端口下的文本框中输入“135,单击“确定按钮,如图1-20所示。这样就添加了一个屏蔽 TCP 135RPC端口的筛选器,它可以防止外界通过135端口进入你的计算机。单击“确定按钮后回到筛选器列表的对话框,可以看到已经添加了一条策略。重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、
16、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后单击“确定按钮。图1-19 “IP 筛选器属性对话框 图1-20 “协议选项卡步骤4 在“编辑规则属性对话框中,选择“新IP筛选器列表,然后选中其左边单项选择按钮,表示已经激活,最后选择“筛选器操作选项卡,如图1-21所示。图图1-21 “1-21 “编辑规则属性对话框编辑规则属性对话框在“筛选器操作选项卡中,取消选中“使用添加向导,单击“添加按钮图1-22,添加“阻止操作图1-23:在翻开的“需要安全属性对话框的“安全措施选项卡中,选择“阻止,然后单击“确定按钮。图1-22 “筛选器操作选项卡 图1-23 “安全措施选
17、项卡步骤5 进入“新规则属性对话框,选择“新筛选器操作列表,其左边的圆圈会加了一个点,表示已经激活,单击“关闭按钮,关闭对话框;最后回到“新规则属性对话框,选中“新IP筛选器列表图1-24左边的单项选择按钮,激活选项,单击“确定按钮关闭对话框。在“本地安全策略窗口,用鼠标右击新添加的IP安全策略,然后选择“指派。图1-24 “IP筛选器列表选项卡重新启动后,计算机中上述网络端口就被关闭,病毒和黑客再也不能连上这些端口。活动2 关闭不必要的效劳和端口【任务实战】2关闭不必要的效劳 在Windows操作系统中,默认开启的效劳很多,但并非所有的效劳都是操作系统运行必须的,而禁止所有不必要的效劳可以节
18、省内存和大量系统资源,更重要的是提升系统的安全性。1查看效劳。单击“开始菜单,展开“管理工具,选择“效劳,翻开“效劳窗口,如图1-25所示。图1-25 “效劳窗口2关闭效劳。下面以“程序在指定时间运行效劳为例说明如何关闭效劳。“程序在指定时间运行的效劳名称为“Task Schedule,它就是方案任务的效劳,可以让有权限的用户,制定一个方案让某个程序在未来某个时间自动运行。这个效劳很容易被黑客利用,让木马自动在某个时间运行,因此如果不使用这项功能,建议停止这项效劳。在系统效劳中找到Task Schedule效劳,单击鼠标右键,选择“属性,翻开的对话框如图1-26所示。然后选择启动类型为“禁用。
19、单击“效劳状态下的“停止按钮,弹出如图1-27所示的对话框,则该效劳就被关闭了。图1-26 “Task Schedule的属性对话框图1-27 “效劳控制对话框活动2 关闭不必要的效劳和端口【任务拓展】一、理论题1请说明Windows系统自身安全的重要性。2请列举出你所了解的Windows安全的配置方法。3Windows Server 2003用户“密码策略设置中,“密码必须符合复杂性要求策略启用,用户设置密码必须满足什么要求?4查看端口的命令是什么?二、实训1自动播放功能不仅对光驱起作用,而且对其他驱动器也起作用,这样很容易被黑客用来执行黑客程序。为了系统安全起见,建议关闭自动播放功能,请写
20、出工作流程并截图。2除了系统自带的端口查看工具Netstat外,互联网上还有很多第三方的查看工具,操作简单,界面友好,如Tcpview等。请从互联网上找到一款端口查看软件,并熟悉其使用方法,给大家讲解一下。任务2 网络效劳安全配置p活动一 Web效劳安全设置p活动二 Web浏览器安全设置任务分析活动1 WEB效劳安全设置 【任务描述】齐威公司准备在刚刚配置好的Windows 2003上安装一台Web效劳器,发布公司的网站。通过网络学习,网管员小齐了解到可以用微软提供的IIS6.0组件,并可以通过安全设置打造一个安全的Web效劳器。【任务分析】小齐通过查看微软中国的官方在线帮助网站了解,IIS6
21、.0并没有作为默认组件安装,需要先安装,然后再进行安全配置。【任务实战】1IIS的安装 2.设置IIS安全活动1 WEB效劳安全设置1.IIS的安装步骤1 运行“控制面板中的“添加删除程序,选择“添加/删除Windows组件,进入“Windows组件向导对话框,选中“应用程序效劳器复选框,单击“详细信息按钮,如图1-28所示。步骤2 单击“下一步按钮,进入“正在配置组件对话框。图1-28 “Windows组件向导对话框步骤3 将Windows Server 2003的光盘放入光驱中,单击“确定按钮,完成组件的安装。活动1 WEB效劳安全设置 1 IP地址限制 通过IP地址及域名限制,用户可禁止
22、某些特定的计算机或者某些区域中的主机对自己的Web和FTP站点及SMTP虚拟效劳器的访问。当有大量的攻击和破坏来自于某些地址或者某个子网时,使用这种限制机制是非常有用的。不过,进行IP地址及域名限制的首要条件是用户必须知道网络黑客的计算机使用哪些IP地址或属于哪些网络区域,否则无法进行限制。对基于Internet的信息效劳器,站点接受来自于各方的访问,用户很难进行地址限制。一般来说,只有基于企业内部网络的信息效劳器才使用IP地址及域名进行安全保护。2.设置IIS安全步骤1 选择Web站点,单击鼠标右键,选择“属性,翻开“站点属性对话框,选择“目录安全性选项卡,翻开如图1-29所示的对话框。步骤
23、2 单击“IP地址和域名限制选择区域的“编辑按钮,翻开如图1-30所示的“IP地址和域名限制对话框。图1-29 “Web站点属性对话框图1-30 “IP地址和域名限制对话框步骤3 选中“授权访问单项选择按钮,单击“添加按钮,翻开“拒绝访问对话框。可通过以下3种类型的选择来拒绝访问。一台计算机:IP为所填地址的计算机被拒绝访问Web站点,如图1-31所示。一组计算机:用“网络标识和“子网掩码来规定某个网段的所有计算机被拒绝访问Web站点,如图1-32所示。图1-31 根据IP地址拒绝一台计算机图1-32 根据IP地址段拒绝一组计算机 域名:以域名标识某台计算机被拒绝访问Web站点,如图1-33所
24、示。通过这些方式限定的计算机都会在“IP地址和域名限制对话框中的空白处显示,所选择的“授权访问的含义是除了在空白处显示的这些计算机外,其余计算机被授权访问Web站点,即在空白处显示的计算机是不能访问站点的。相反,“拒绝访问就是除了空白处显示的计算可以访问以外,其余的计算机都不能访问。“拒绝访问项的设置方式和内容与“授权访问相同。图1-33 根据域名拒绝计算机活动1 WEB效劳安全设置 2 IP端口限制 网络访问的各种效劳基本上都可以通过端口的方式发送接收请求,如FTP常用的端口是21,Web常用的是80等,因此可以通过修改默认的端口号来提高效劳的安全性。具体操作步骤是选择“网站属性对话框的“网
25、站选项卡,如图1-34所示。将“TCP端口项的默认端口80修改成其他的端口就可以了。文件和文件夹的访问权限控制。步骤1 选择要访问的文件或文件夹,单击鼠标右键,选择“属性翻开“文件夹属性对话框,选择“安全选项卡,如图1-36所示。图1-36 “文件夹属性对话框“安全选项卡步骤2 在“组或用户名称列表框中选择访问该文件或文件夹的用户,然后在“用户权限列表框中设置该用户的权限。另外可以通过NTFS分区格式的审核功能来实现访问控制。即在“文件夹属性对话框中,单击“高级按钮,翻开如图1-37所示的对话框,然后选择“审核选项卡。在“审核选项卡中,单击“添加按钮,翻开“选择用户或组对话框。步骤3 单击“选
26、择用户或组对话框中的“高级按钮,弹出“审核工程对话框,在该对话框中设置相应的权限。设置好后单击“确定按钮,就会在“选择用户或组对话框中的“输入要选择的对象名称列表框里显示审核的工程,然后单击“确定按钮。该审核工程便会在“文件夹的高级安全设置对话框的“审核工程中出现,然后单击该对话框中的“确定按钮,则特定用户和组的审核功能就设置成功了。图1-37 “审核选项卡活动2 WEB浏览器安全设置 【任务描述】现在无论是公司办公,还是日常生活,人们都无法离开网络了。网上购物、收发邮件、在线视频等使人们更加地离不开浏览器了,因此浏览器的安全对人们的生活和工作至关重要。【任务分析】为了提升浏览器的安全性,可以
27、直接对浏览器进行设置,也可以通过第三方软件进行设置,本任务以IE8.0浏览器为例进行设置。【任务实战】1了解浏览器安全级别 2.用户自定义安全级别 3 用户自定义安全级别活动2 WEB浏览器安全设置1.了解浏览器安全级别IE8.0浏览器安全级别的上下是以用户通过浏览器发送数据和访问本地客户资源的能力上下来进行区分的,通常定义了3个级别,分别是高、中高、中,并提供了4类访问对象分别是Internet、本地Intranet、可信站点和受限站点。另外用户可根据自己的需要进行添加。翻开IE浏览器,单击“工具菜单,选择“Internet选项,弹出如图1-38所示的“Internet选项对话框,选择“安全
28、选项卡,安全级别和访问对象设置如图1-38所示。图1-38 “安全选项卡 活动2 WEB浏览器安全设置2.用户自定义安全级别 如果用户想自己设置安全级别,可单击“自定义级别按钮,弹出如图1-39所示的“安全设置对话框。在“重置自定义设置区域中“重置为下拉列表中选择需要更改的安全级别。图1-38 “安全设置对话框 活动2 WEB浏览器安全设置3SmartScreen筛选器设置 Smartscreen筛选器是Internet Explorer 8中的一个功能,可帮助在浏览网页时防范社会工程学钓鱼网站,以及网络 。步骤1 选择浏览器“工具菜单中的“SmartScreen筛选器,翻开SmartSrce
29、en筛选器,如图1-40所示。图1-40 从工具栏翻开SmartScreen筛选器步骤2 在弹出的对话框中选中“翻开SmartScreen筛选器推荐单项选择按钮,如图1-41所示。图1-41 开启SmartScreen筛选器活动2 WEB浏览器安全设置4删除浏览的历史记录 为了加快浏览速度和保护用户的隐私数据,用户应该养成定期删除浏览的历史记录的习惯。方法是选择“工具菜单中的“删除浏览的历史记录,如图1-42所示。图1-42 删除浏览的历史记录活动2 WEB浏览器安全设置【任务拓展】一、理论题 1请分析在安装IIS时为什么最好不要安装Internet效劳管理器HTML、SMTPService和
30、NNTPService、脚本组件?2请简单表达一下从哪几方面对IIS进行安全加固?二、实训 1设置IE浏览器来禁止病毒通过浏览器进入系统。2利用如“360安全卫士等第三方工具来保护IE浏览器。任务3 检查与防护漏洞p活动一 利用MBSA检查常见的漏洞p活动二 防护系统漏洞 系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者计算机黑客利用,通过植入木马、病毒等方式来攻击或控制整个计算机,从而窃取计算机中的重要资料和信息,甚至破坏系统。任务分析活动1 利用MBSA检查常见的漏洞【任务描述】小齐的安全防范意识很强,给效劳器安装了杀毒软件和防火墙等
31、防护措施,但是他忽略了一个重要环节:不管什么操作系统或者软件产品都是存在设计缺陷和漏洞的,随时都有可能被黑客利用。【任务分析】因此定期地对操作系统进行体检是非常必要的,对于Windows操作系统可以使用微软公司提供的一款名为“系统漏洞检测工具MBSA的小软件对系统进行扫描,可以找出系统存在的漏洞并给出分析报告,指导我们修补漏洞。活动1 利用MBSA检查常见的漏洞【任务实战】1工具的获取及安装步骤1 到微软的官方网站 :/technet.microsoft./zh-cn/security/cc184923下载该软件。步骤2 按照“安装向导的提示完成安装。步骤3 软件安装完成后,在“程序菜单中显示
32、,表示MBSA成功安装。步骤4 翻开MBSA工具主页面。安装完成后,依次选择“开始“程序“Microsoft Baseline Security Analyzer 2.2,或双击桌面图标,即可弹出MBSA的主页面,如图1-43所示。图1-43 MBSA主界面步骤5 参数设置,单击MBSA主界面中的“Scan a puterScan a puter菜单,弹出“Which puter do you want to scan对话框,如图1-44所示。以使用该工具扫描一台计算机为例介绍该工具的使用方法和过程。要想让MBSA成功扫描计算机,需在此对话框中进行正确地参数设置点击点击图1-44 “Which
33、 puter do you want to scan对话框步骤6 用户根据自身情况设置好各项参数后单击“Start Scan菜单,将弹出“Scanning对话框,MBSA将开始扫描指定的计算机,并经过一段时间后弹出扫描结果,如图1-45所示,并根据报告的扫描结果进行漏洞修复。图1-45 扫描结果窗口步骤7 查看扫描结果的漏洞修补提示。以笔者的计算机为例,第2个红色图标提示。File System:为文件系统问题,后面给出了具体解释为“并不是所有的分区都是NTFS分区格式,如图1-46所示。单击“Result details链接弹出具体的结果细节,如图1-47所示,可知本台计算机的D盘是FAT3
34、2的文件结构。图1-46 红色图标提示窗口图1-47 具体细节窗口单击“How to correct this链接弹出一个具体解决这个漏洞的方法的页面,如图1-48所示。图1-48 解决漏洞窗口 设定要扫描的对象。告诉MBSA要扫描的计算机是扫描成功的基础。MBSA提供以下两种方法。方法1:在“puter name文本框中输入计算机名称,格式为“工作组名计算机名。默认情况下,MBSA会显示运行MBSA的计算机的名称。提示:提示:如图1-44所示,“XXGLDOMAIN是笔者运行MBSA的计算机所属的工作组名称,“U是计算机名称。方法2:在“IP address文本框中输入计算机的IP地址。在此
35、文本框中允许输入在同一个网段中的任意IP地址,但不能输入跨网段的IP,否则会提示“puter not found计算机没有找到的信息。设定安全报告的名称格式。每次扫描成功后,MBSA会将扫描结果以“安全报告的形式自动地保存起来。MBSA允许用户自行定义安全报告的文件名格式,只要在“Security report name文本框中输入文件格式即可。提示:提示:MBSA提供两种默认的名称格式:“%D%-%C%T%域名计算机名日期戳和“%D%IP%T%域名-IP地址日期戳。MBSA成功扫描计算机 设定扫描中要检测的工程。MBSA允许检测包括Office、IIS等在内的多种微软软件产品的漏洞。在默认情
36、况下,无论计算机是否安装了以上软件,MBSA都要检测计算机上是否存在以上软件的漏洞。这不但浪费扫描时间,而且影响扫描速度。用户可以根据自身情况进行选择,对于一些没有安装的软件可以不选,例如,假设没有安装SQL Server,则可不选中“Check for SQL administrative vulnerabilities复选框,这样能缩短扫描时间,提高扫描速度。基于这点考虑,MBSA提供了让用户自主选择检测工程的功能。只要用户选中或取消“Options中某个复选框,就可让MBSA检测或忽略该工程。提示提示:允许用户自主选择的工程只有“Check for Windows administrat
37、ive vulnerabilities检查Windows的漏洞、“Check for weak passwords检查密码的安全性、“Check for IIS administrative vulnerabilities检查IIS系统的漏洞、“Check for SQL administrative vulnerabilities检查SQL Server的漏洞4项。至于其他工程如Office软件的漏洞等MBSA会强制扫描。MBSA成功扫描计算机 设定安全漏洞清单的下载途径。MBSA的工作原理:以一份包含了所有已发现的漏洞的详细信息如什么软件隐含漏洞、漏洞存在的具体位置、漏洞的严重级别等的安全
38、漏洞清单为蓝本,全面扫描计算机,将计算机上安装的所有软件与安全漏洞清单进行比照。如果发现某个漏洞,MBSA就会将其写入到安全报告中。因此,要想让MBSA准确地检测出计算机上是否存在漏洞,安全漏洞清单的内容是否是最新的就至关重要了。由于新的漏洞不断被发现,所以我们要像更新防病毒软件的病毒库一样,及时更新安全漏洞清单。MBSA提供了以下两种更新方法。方法1:从微软官方网站上下载。微软会在它的官方网站上及时发布最新的安全漏洞清单,所以MBSA被默认设置为每一次扫描时自动链接到微软官方网站下载最新的安全漏洞清单。此方法适用于能连入Internet的计算机用户。方法2:从SUS效劳器上下载。有些局域网中
39、架设了SUSSoftware Update Services,软件升级效劳效劳器,所以此类用户可以选择此方法下载最新的安全漏洞清单,只要选中“Use SUS Server复选框,并在其下的文本框中输入SUS的地址即可。返回MBSA成功扫描计算机活动2 防护系统漏洞 【任务描述】虽然MBSA能帮人们检测出系统的漏洞,但是不能帮人们修复漏洞,有没有好的方法修复漏洞呢?【任务分析】对于效劳器操作系统如Windows 2003、Windows 2008,人们可以利用系统自带的自动更新功能修复漏洞。对于Windows XP、Windows Vista等个人版操作系统,既可以采用系统自带的自动更新功能,也
40、可以采用更为人性化和方便的第三方漏洞修复软件,如360安全卫士。【任务实战】方法一:使用操作系统自动更新修复漏洞 方法二:使用第三方软件进行更新以360安全卫士为例方法方法一一:使用操作系统自动更新修:使用操作系统自动更新修复漏洞复漏洞一般情况下,比较著名的系统软件都会不定期地发布补丁。对于Windows操作系统,由于它们具备自动更新的功能,因此只要微软发布补丁程序,而且操作系统的自动更新设置为开启状态并连接上了Internet,则操作系统会及时下载补丁程序,修补漏洞。以Windows XP操作系统为例,进行自动更新配置,步骤如下:翻开“开始菜单,选择“设置“控制面板,在新开启的窗口中双击“自
41、动更新,翻开如图1-49所示的对话框,查看当前计算机的自动更新配置。图1-49 “自动更新对话框方法方法2 2:使用第三方软件进行更新以:使用第三方软件进行更新以360360安全卫士为例安全卫士为例通过网络下载360安全卫士,按步骤安装完成后,选择“修复漏洞选项卡,360安全卫士会对系统的漏洞情况进行扫描,如图1-50所示。安全卫士并不是把所有的补丁都让用户下载,而是把补丁划分为高危补丁和功能性更新补丁,高危补丁是360安全卫士强烈建议用户必须打的,而功能性补丁是360安全卫士建议可以不打的,而且使用360安全卫士打补丁比从微软官方网站下载有一个优势,即360安全卫士的效劳器先要测试这些补丁,
42、这些补丁没有问题,才让用户去安全地打补丁。图1-50 利用360安全卫士修补漏洞活动2 防护系统漏洞【任务拓展】一、理论题1什么是系统漏洞?2系统漏洞有哪些危害?二、实训利用MBSA对远程单台主机进行扫描操作提示:在目标计算机上以Administrator账户或Administrators组中的成员登录系统,并开启Guest账户;将Guest账户添加到Administrators组中;修改目标计算机组策略,使Guest账户拥有远程访问权限任务4 操作系统补丁更新效劳器配置p活动一 WSUS的部署p活动二利用WSUS进行补丁分发任务分析活动1 WSUS的部署 【任务描述】鉴于公司补丁管理的无效状
43、态,小齐决定看看有没有什么好的方法给公司内部的计算机打补丁,并进行补丁管理。【任务分析】由于公司都是Windows操作系统,小齐访问了微软中国网站了解到微软正好有这么一款软件WSUS,用来进行补丁的分发和管理,小齐决定就用它了。步骤1 登录微软网站下载WSUS3.0 sp2。WSUS3.0 sp2是免费软件,因此可以去微软的官网直接下载,也可以去各大软件下载网站下载。步骤2 准备WSUS3.0的安装。安装WSUS 3.0之前,需要在你的机器上安装以下组件。当这些组件安装完成后需要重新启动机器。WSUS3.0可以在Windows Server 2003家族操作系统上安装。以下是需要安装的组件:I
44、nternet 信息效劳IIS6.0。后台智能传送效劳BITS2.0。Microsoft.NET Framework 2.0。管理控制台MMC3.0。Microsoft Report Viewer。以上组件都可以去微软的官方网站直接下载安装。步骤3 WSUS效劳器的安装。1做好安装前的准备工作后我们就可以进行WSUS3.0的安装了,如图1-51所示,启动WSUS 3.0的安装程序后出现了安装向导。2安装模式选择,如图1-52所示,选择“包括管理控制台的完整效劳器安装,这样才能在此计算机上安装WSUS效劳器。图1-51 安装向导图1-52 安装模式选择3选择安装模式后,单击“下一步按钮。4选择更
45、新源,如图1-53所示,在安装向导的“选择更新源对话框中,可以指定客户端获得更新的位置。如果选中“本地存储更新复选框,则会更新存储在WSUS 3.0效劳器上,需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新,客户端计算机将连接到Microsoft Update以获取已审批的更新。请将存储位置放到系统盘以外的分区上存放,同时该分区容量推荐不要少于20GB,然后单击“下一步按钮。图1-53 选择更新源5选择WSUS的数据库,如图1-54所示,本例WSUS后台数据库选用自带的WMSDE,设置数据库的存储目录为E:update。也可以选择本地或远程的SQL Server数据库,只需要选
46、择第二项或第三项并填写数据库效劳器的地址。图1-54 数据库选项6在“网站选择对话框中,指定WSUS 3.0 将使用的网站,如图1-55所示。如果要在端口80上使用默认 IIS 网站,请选择第一个选项。如果端口 80 上已有一个网站,可通过选择第二个选项在端口8530上创立备用站点。部署时选择开通8530端口,建立一个新IIS站点强烈建议使用此选项,建议在默认网站上不加载任何Web应用程序。图1-55 网站选择7在“准备安装 Windows Server Update Services对话框中,检查各项选择,然后单击“下一步按钮。8安装向导的最后一页将说明 WSUS 3.0 安装是否成功完成。
47、单击“完成按钮后,将自动运行配置向导。步骤4 WSUS效劳器的配置及应用。在完成了WSUS的安装后,安装程序会自动跳转到“WSUS的配置向导,根据此向导,就可以完成WSUS的配置了。1询问效劳器防火墙是否允许客户端访问效劳器,能够将效劳器连接到上游效劳器,用户是否具有代理效劳器凭证。2询问是否参加Microsoft Update改善方案。3选择上游效劳器,此处有两个选项,如图1-56所示。第一项为哪一项“从Microsoft Update进行同步,就是从微软的更新网站进行下载补丁并保持同步更新,当公司的内网中只有一台WSUS效劳器的时候我们选择这个选项,当公司有两台以上WSUS效劳器部署的时候
48、,可以让第一台指向微软的更新站点,而其他的WSUS效劳器选择第二项,指向第一台WSUS效劳器,这样就加快了更新速度。图1-56 选择上游效劳器4设置代理效劳器。没有代理效劳器就不设置,然后就可以开始连接微软的Update效劳器进行连接了。5连接到上游效劳器,从Windows Update中下载更新信息,连接时间视网速、时间段而定,这里只能耐心等待连接完成了,如图1-57所示。图1-57 开始进行连接6连接完成后,出现选择更新文件的语种,选择“中文简体,如图1-58所示。图1-58 选择同步更新的语言7选择更新的产品,根据实际需要选择公司内部的微软产品,小齐从来没有接触过WSUS效劳器,因此为了
49、稳妥起见,只选择Windows XP操作系统的更新,如图1-59所示的产品列表中包括了微软所有的产品,从操作系统到应用软件都可以选择。图1-59 选择更新的产品8选择更新的分类,小齐根据公司的网络环境和实际需要进行选择,如图1-60所示。9设置同步方案,小齐选择手动,第一次选择手动为好,选择手动一会就可以直接更新,当效劳器测试稳定后,就可以修改同步方案,让效劳器自动在某个时间段自动进行同步更新。图1-60 选择下载更新的分类10现在已基本完成了WSUS 3.0的初始配置,这里有两个选项,默认就是选上的,不用做任何的更改,单击“完成按钮。11自动运行WSUS的管理控制台,并自动进行同步更新,根据
50、网速和时间段时间不定,如图1-61所示。图1-61 正在进行同步更新活动2 利用WSUS进行补丁分发 【任务描述】小齐已经顺利地完成了WSUS补丁效劳器的安装,并且完成了更新的同步,那么如何给客户端打补丁呢?【任务分析】要想成功地给客户端打补丁,首先要设置客户端的组策略,然后用WSUS对计算机进行分组管理,最后进行WSUS的更新审批。任务实施拓扑图如图1-62所示。【任务环境】齐威公司内网管理采用的是典型的工作组工作模型,只安装了一台WSUS效劳器。图1-62 任务实施拓扑图【任务实战】步骤1 配置本地策略成为WSUS客户端。如何让客户端知道谁是它的补丁效劳器呢?在工作组环境下可以通过修改计算