网络安庆常见安全工具使用

1单击此处编辑母版标题样式2011年10月常见安全工具使用介绍2单击此处编辑母版标题样式微软基线分析器X-Scan漏洞扫描器Autoruns启动分析HSCAN弱口令扫描微软基线分析器X-Scan漏洞扫描器Autoruns启动分析HSCAN弱口令扫描微软基线分析器MBSA目录3单击此处编辑母版标题样式MBSA微软基线分析工具摘要MicrosoftBaselineSecurityAnalyzer(MBSA)检查操作系统和SQLServer更新。MBSA还扫描计算机检查不安全配置，检查Windowsservicepacks和修补程序时，它会包括Windows组件，例如Internet信息服务(IIS)和COM+。MBSA使用一个CAB文件作为现有更新的清单。存档Wsusscn2.CAB.cab中Package文件集，可在运行扫描时由MBSA下载，或在本地计算机上下载，或从网络服务器使用。4单击此处编辑母版标题样式MBSA微软基线分析工具5单击此处编辑母版标题样式MBSA微软基线分析工具主要功能：Windows操作系统MBSA扫描Windows操作系统（WindowsNT4、Windows2000、WindowsXP、WindowsServer2003、Windows7和WindowsServer2008R2）中存在的安全问题，如：“Guest”（来宾）帐户的状态、文件系统类型、可用的文件共享和管理员组的成员。每次OS检查的说明都会显示在安全报告中，并附带有关修复任何已发现问题的说明。InternetInformationServer该组检查将扫描IIS4.0和5.0中存在的安全问题，计算机上存在的示范应用程序和某些虚拟目录。该工具还将检查IISLockdown工具是否在计算机上运行，从而帮助管理员配置和保护他们的IIS服务器。每次IIS检查的描述都会显示在安全报告中，并附带有关修复任何已发现问题的说明。6单击此处编辑母版标题样式MBSA微软基线分析工具MicrosoftSQLServer该组检查将扫描SQLServer7.0、SQLServer2000、SQLServer2005中存在的安全问题，如：身份验证模式的类型、sa帐户密码状态和SQLServer帐户的成员资格。每一次SQLServer检查的描述都显示在安全报告中，并附带有关修复任何已发现问题的说明。检查桌面应用程序该组检查扫描每个用户帐户的InternetExplorer5.01+区域设置以及Office2000,OfficeXP和OfficeSystem2003的宏设置。安全更新MBSA可以通过引用Microsoft不断更新和发布的wsusscn2.CAB文件，来确定将哪些关键安全更新应用于系统。7单击此处编辑母版标题样式MBSA微软基线分析工具TIPS：•下载地址：=/technet/security/tools/Tools/mbsahome.asp•wsusscn2.CAB=74689；C:\DocumentsandSettings\username\LocalSettings\ApplicationData\Microsoft\MBSA\Cache•目标机器的管理员权限：用来运行MBSA的帐户也必须是管理员或者是本地管理员组的一个成员。在扫描多台计算机的情况下，必须是每一台计算机的管理员或者是一名域管理员，而且扫描计算机的135，139，445端口是开放的，如果没有开放可以暂时关闭防火墙，扫描结束后再恢复防火墙。•NoExpireOk.txt•Services.txt8单击此处编辑母版标题样式MBSA微软基线分析工具9单击此处编辑母版标题样式MBSA微软基线分析工具10单击此处编辑母版标题样式MBSA微软基线分析工具用户可以根据安全报告的“Score”列中不同颜色的图标来简单区分被扫描的计算机上哪些方面存在漏洞，哪些方面需要改进，如：●绿色的“√”图标表示该项目已经通过检测。●红色（或黄色）的“×”图标表示该项目没有通过检测，即存在漏洞或安全隐患。●蓝色的“*”图标表示该项目虽然通过了检测但可以进行优化，或者是由于某种原因MBSA跳过了其中的某项检测。●白色的“i”图标表示该项目虽然没有通过检测，但问题不很严重，只要进行简单的修改即可。但是这种判断方法很不准确，正确的方法是查看检测项目的“Result”列中是否含有“Howtocorrectthis”（如何修正它）选项。只要有项目存在，用户就应该单击“Howtocorrectthis”选项。然后根据提供的解决方法，或是下载相应的补丁程序，或是修改相关的设置，就可修正存在的问题。11单击此处编辑母版标题样式MBSA微软基线分析工具如何用MBSA扫描远程计算机？MBSA被设计为通过在每台所扫描的计算机上拥有本地管理权限的帐户，在域中运行。“即，您要想扫描多台计算机，那么您必须是域管理员，或者，您必须已经以被扫机本地管理员身份与被扫机建立了管理共享连接。注意，还要确保没有额外的防火墙策略等阻止。12单击此处编辑母版标题样式微软基线分析器X-Scan漏洞扫描器Autoruns启动分析HSCAN弱口令扫描微软基线分析器X-Scan漏洞扫描器Autoruns系统启动分析HSCAN弱口令扫描X-Scan漏洞扫描器目录13单击此处编辑母版标题样式X-SCAN漏洞扫描器14单击此处编辑母版标题样式X-Scan漏洞扫描器X-scan采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户，NT服务器NETBIOS信息、注册表信息等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。15单击此处编辑母版标题样式X-SCAN漏洞扫描器16单击此处编辑母版标题样式X-SCAN漏洞扫描器17单击此处编辑母版标题样式X-SCAN漏洞扫描器18单击此处编辑母版标题样式X-SCAN漏洞扫描器19单击此处编辑母版标题样式X-SCAN漏洞扫描器X-Scan使用演示20单击此处编辑母版标题样式微软基线分析器X-Scan漏洞扫描器Autoruns启动分析HSCAN弱口令扫描微软基线分析器X-Scan漏洞扫描器Autoruns启动分析HSCAN弱口令扫描Autoruns启动分析目录21单击此处编辑母版标题样式Autoruns启动分析AutorunsforWindows是MarkRussinovich和BryceCogswell开发的一款软件，它能用于显示在Windows启动或登录时自动运行的程序，并且允许用户有选择地禁用或删除它们，例如那些在“启动”文件夹和注册表相关键中的程序。此外，Autoruns还可以修改包括：Windows资源管理器的Shell扩展（如右键弹出菜单）、IE浏览器插件（如工具栏扩展）、系统服务和设备驱动程序、计划任务等多种不同的自启动程序。22单击此处编辑母版标题样式Autoruns启动分析23单击此处编辑母版标题样式Autoruns启动分析24单击此处编辑母版标题样式Autoruns启动分析25单击此处编辑母版标题样式微软基线分析器X-Scan漏洞扫描器Autoruns启动分析HSCAN弱口令扫描微软基线分析器X-Scan漏洞扫描器Autoruns启动分析HSCAN弱口令扫描HSCAN弱口令扫描目录26单击此处编辑母版标题样式HSCAN弱口令扫描HScan这是款运行在WinNT/2000下的漏洞扫描工具，有GUI以及命令行两种扫描方式，可以扫描很多弱口令以及安全漏洞，包括:FTP/SMTP/FINGER/IIS/CGI/POP3/NT/IMAP/MSSQL/MYSQL/CISCO等以及指定范围端口扫描。系统要求:WindowsNT/2000/XP27单击此处编辑母版标题样式HSCAN弱口令扫描多线程方式对指定IP段(指定主机),或主机列表进行检测.GUI和命令行两种方式.扫描项目:-name---获取主机名;-port---默认端口扫描;-ftp---FTPBanner,匿名用户,弱口令账号扫描;-ssh---SSHBanner扫描;-telnet---TELNETBanner,弱口令账号扫描;-smtp---SMTPBanner,匿名用户,弱口令账号扫描;-finger---FINGER漏洞(SunOS/Solaris用户列表扫描);-iis---IIS漏洞扫描;-cgi---Unix/NTcgi漏洞扫描;-pop---POP3Banner,弱口令账号扫描;-rpc---RPC漏洞扫描;-ipc---WindowsNT/2000用户列表获取,弱口令账号扫描;-imap---IMAPBanner,弱口令账号扫描;-mssql---MSSQL弱口令账号扫描;-mysql---MYSQLVersion,弱口令账号扫描;-cisco---CISCO弱口令扫描;-plugin---PLUGIN扫描;-all---检测以上所有项目;28单击此处编辑母版标题样式HSCAN弱口令扫描其它选项:-maxmaxthread,maxhost指定最大线程数目,并发主机数目,默认为120,40;-timeTimedOut指定TCP连接超时毫秒数,默认为10000;-sleepsleeptime指定ftp/pop/imap/telnet探测的线程开启间隔,默认为200毫秒;-ping扫描主机前ping主机生成报告:-report用于生成扫描报告;按F8键中断扫描.29单击此处编辑母版标题样式HSCAN弱口令扫描其它选项:-maxmaxthread,maxhost指定最大线程数目,并发主机数目,默认为120,40;-timeTimedOut指定TCP连接超时毫秒数,默认为10000;-sleepsleeptime指定ftp/pop/imap/telnet探测的线程开启间隔,默认为200毫秒;-ping扫描主机前ping主机生成报告:-report用于生成扫描报告;按F8键中断扫描.30单击此处编辑母版标题样式HSCAN弱口令扫描31单击此处编辑母版标题样式HSCAN弱口令扫描32单击此处编辑母版标题样式HSCAN弱口令扫描33单击此处编辑母版标题样式HSCAN弱口令扫描34单击此处编辑母版标题样式感谢聆听！