【IT168 专稿】对于中小企业来说不管是服务器还是员工用机大部分都是使用的微软公司的windows操作系统,鉴于最近一段时间越来越多的病毒和黑客利用windows系统的漏洞入侵计算机,而微软公司也会于每个月发布针对漏洞的补丁。中小企业服务器和员工机百分之七十被病毒入侵是因为操作系统漏洞引起的,所以作为网络管理员的我们应该在第一时间将这些系统漏洞弥补上。
一、企业如何扫描漏洞:
虽然网络上有很多扫描漏洞的工具,但是大多数是用于攻击的,发现漏洞后马上进行攻击,制造后门,所以我们不可能利用这些软件来扫描自己网络中各个计算机的安全。另外一些安全扫描软件虽然不会对扫描对象进行攻击,但是这些软件有一个通病,那就是更新缓慢。也许微软已经发布了好几个月针对某漏洞的补丁,但是安全扫描软件中并没有针对该漏洞的扫描,结果自然无法发现漏洞。所以说要想真正的检测自己网络各个计算机是否存在漏洞还是应该使用微软公司自己出品的扫描工具,毕竟在及时性方面微软公司的产品更能针对其漏洞进行扫描。
可能有的读者会说,让企业中各个计算机的update自动更新启用不就完了?实际上就算是把自动更新服务开启,一些不自觉的员工,或者某些通过U盘光盘和文件下载传播的病毒也会将其恶意关闭,而关闭操作往往是在不知情的情况下完成的。所以很可能出现你把所有计算机的自动更新功能打开,但是过了半年却发现大部分自动更新功能被关闭,而且很多计算机更本没有打全补丁的现象。
二、企业用什么扫描漏洞:
既然说了企业扫描漏洞最好采用微软公司自己的扫描产品,以前笔者也通过专门的文章为大家介绍过MBSA这个产品,虽然该产品可以对网络中所有计算机的补丁安装情况进行扫描,但是微软公司的MBSA并不是每当有补丁出现就更新其版本的,至今只发展到了MBSA 2.0,那么在MBSA新版本发布之前出现的那些针对漏洞的补丁如何进行扫描呢?这就是本文为各位读者介绍的主角,实际上他是MBSA很好的补充,他的名字就是UPDATESCAN。
小提示:关于MBSA工具是使用大家可以参考IT168以前的文章,通过他我们可以方便快捷的查看网络中究竟哪个计算机存在着漏洞。
三、UPDATESCAN是什么?
UPDATESCAN是微软公司针对每月发布的补丁所开发的补丁扫描工具,不同于MBSA的是,每月UPDATESCAN都会有新的版本。他是一个基于命令行的小工具(从运行时上看是VB编写的),用于检测安全公告板,提醒用户在各种环境中部署安全的Windows系统,目前支持的系统有Windows 2000; Windows Server 2003; Windows XP。系统需求是要在本机安装MSXML 3.0; Windows Script Host; Windows Installer 2.0,另外IE6也是必备的。
所以说在MBSA发布新版本之前我们只能通过UPDATESCAN来检测相应的补丁是否安装上。MBSA与UPDATESCAN的关系形象上比喻就有点像是SP补丁包和常见补丁程序一样。SP补丁包是每隔一段时间才发布的,而普通补丁包则是每月发布的。(最新的UPDATESCAN程序和其使用前提条件中涉及的几个组件将放到附件中提供。)
四、使用UPDATESCAN的条件
普通用户可以到微软公司的客户帮助和支持页面去下载最新的UPDATESCAN,一切都是免费的。地址为http://support.microsoft.com/kb/894193,以后的新版本也会发布到这个页面上。
正如上面所说的由于UPDATESCAN是由VB编写的,所以在使用其前需要在自己的操作系统上安装MSXML 3.0; Windows Script Host; Windows Installer 2.0和IE 6.0。一般来说大部分机器都具备直接运行UPDATESCAN的条件。如果您的计算机无法运行此程序,请按照下面介绍的方法来安装这些组件。
(1)MSXML的安装:
第一步:运行MSXML安装程序。(如图1)
 |
| 图1 |
第二步:接受许可协议中的条款。(如图2)
 |
| 图2 |
第三步:安装相应的程序到本地硬盘。(如图3)
 |
| 图3 |
第四步:完成MSXML程序的安装。(如图4)
 |
| 图4 |
第五步:安装完毕后需要重新启动计算机,我们可以点“否”,因为在安装其他程序时也需要重新启动,所以可以安装完毕后一次启动生效。(如图5)
 |
| 图5 |
(2)Windows Script Host的安装:
第一步:运行Windows Script Host安装程序,笔者所安装的是5.6版本。(如图6)
 |
| 图6 |
第二步:同意许可协议,点“是”按钮继续。(如图7)
 |
| 图7 |
第三步:复制文件到本地硬盘,完成Windows Script Host的安装工作。(如图8)
 |
| 图8 |
第四步:安装完毕后需要重新启动计算机,我们可以点“否”,因为在安装其他程序时也需要重新启动,所以可以安装完毕后一次启动生效。(如图9)
 |
| 图9 |
(3)Windows Installer的安装:
第一步:运行Windows Installer安装程序,笔者所安装的是3.1版本。(如图10)
| |
| 图10 |
第二步:选择“我同意”许可协议,点下一步继续。(如图11)
 |
| 图11 |
第三步:在安装Windows Installer过程中会要求停止旧版本Windows Installer的服务,点“继续”按钮继续安装。(如图12)
 |
| 图12 |
第四步:安装完成后将再次启动Windows Installer服务。(如图13)
 |
| 图13 |
第五步:完成Windows Installer的安装工作。(如图14)
 |
| 图14 |
至此使用updatescan的准备工作就完成了,再次重申的就是不是所有计算机都需要重新安装上面三个组件的,可能您的计算机已经安装了三者中的全部或部分,那么相应的步骤就可以省去。
五、使用UPDATESCAN扫描漏洞:
首先我们把下载的UPDATESCAN压缩包进行解压,然后通过任务栏的“开始->运行”,输入CMD后回车,进入命令行模式。在命令行模式中进入UPDATESCAN所在的目录。
我们通过输入updatescan /?来查看updatescan都支持哪些命令。(如图15)其中/xml参数是指定updatescan加载的XML文件,/logfile是指定记录扫描结果的文件名,默认是results.xml文件,/loglevel是设置结果文件的大小,/deleteresults参数是在扫描前先删除已经存在的results.xml文件。
&picid=714585.jpg) |
| 图15 |
最常见的扫描命令是updatescan /xml:updatescan.xml。(如图16)因为默认情况下我们下载的UPDATESCAN压缩包中都会包括一个最新的UPDATESCAN.XML文件,他记录的是最新的windows补丁信息,帮助updatescan.exe程序进行扫描的。
 |
| 图16 |
在执行完updatescan /xml:updatescan.xml后我们会发现updatescan所在目录中出现了一个results.xml文件,双击打开该文件就会看到记录了当前系统的补丁安装情况,已经安装的补丁不会显示出来,这里只显示的是没有安装或没有下载的补丁,例如笔者所在计算机就有一个补丁没有打上,在status处会显示applicable,说明该补丁没有正常安装。(如图17)
&picid=714591.jpg) |
| 图17 |
小提示:如何删除updatescan程序呢?实际上我们把updatescan所在文件夹删除即可彻底将updatescan请出我们的计算机。
可能有的读者会问如何将多台计算机生成的XML文件合并在一起呢?实际上企业客户可能需要将来自多台计算机的输出数据合并为易读的报告、数据库或其他格式。由于客户的要求多种多样,Microsoft 没有随该工具提供一种集中式报告解决方案。不过我们可以将该扫描工具保存的XML文件导入到数据库中,以便生成集中式报告。另外如果Results.xml报告中出现“no checks apply to this system”(没有适用于此系统的检查)时说明要嘛此系统中未安装MS05-004,MS05-006和MS05-009中的任何一个,要嘛运行该工具的操作系统不被updatescan所支持。(如图18)
 |
| 图18 |
总结:
有了UPDATESCAN和MBSA,我们就可以随时随地的扫描自己网络中的计算机是否存在着某个漏洞,是否及时更新windows发布的补丁程序了。只有及时安装了漏洞补丁才能最大限度的减少病毒和黑客事件的发生。
