轉自微軟白皮書。由於字數限制,只能分兩次發了。可以根據這些解釋來進行分析。
1.Windows 檢查
(1). 管理員組成員資格
該檢查將確定並列出屬於本地管理員組的用戶帳戶。如果檢測出的單個管理帳戶數量超過兩個,則該工具將列出這些帳戶名,並將該檢查標記爲一個潛在的安全漏洞。一般來說,我們建議應將管理員的數量保持在最低限度,因爲管理員實際上可以對計算機具有完全控制權。
(2). 審覈
該檢查將確定在被掃描的計算機上是否啓用了審覈功能。Microsoft Windows 具有一個審覈特性,可跟蹤和記錄您的系統上的特定事件,如成功的和失敗的登錄嘗試。通過監視系統的事件日誌,您可以發現潛在的安全問題和惡意活動。
(3). 自動登錄
該檢查將確定在被掃描的計算機上是否啓用了“自動登錄”功能,以及登錄密碼是在註冊表中以加密還是以明文形式存儲的。如果“自動登錄”已啓用並且登錄密碼以明文形式存儲,那麼安全報告就會將這種情況作爲一個嚴重的安全漏洞反映出來。如果“自動登錄”已啓用而且密碼以加密形式存儲在註冊表中,那麼安全報告就會將這種情況作爲一個潛在的安全漏洞標記出來。
注意:如果您看到一條“Error Reading Registry”(讀取註冊表時出錯)消息,則表示您的遠程註冊表服務可能還未啓用。
“自動登錄”將您的登錄名和密碼存儲在註冊表中,這樣,您就可以自動登錄到 Windows 2000 或 Windows NT,而不必在登錄用戶界面時輸入您的用戶名或密碼。然而,“自動登錄”也會允許其他用戶訪問您的文件,並使用您的姓名在系統上進行惡意破壞(例如,可在物理上接觸該計算機的任何人都可以啓動操作系統並進行自動登錄)。如果您啓用了“自動登錄”功能,而又不想改變這種情況,則要確保在該計算機上沒有存儲任何敏感的信息。由於在物理上能夠接觸您的計算機的任何人都可以使用自動登錄功能,因此您只能在非常值得信賴和安全的環境中使用這項功能。
您可以將用來進行自動登錄的密碼以明文形式存儲在註冊表中,也可以將其加密爲本地安全認證(LSA)機密。
(4). 自動更新
該檢查將確定是否在被掃描的計算機上啓用自動更新功能以及在啓用的情況下如何進行配置。自動更新功能可以使您的計算機自動與 Windows 的最新更新保持同步,即將更新程序從 Windows Update 站點(或者如果您在託管環境中,就可以從本地 Software Update Services (SUS) 服務器進行下載)直接傳遞到您的計算機上。自動更新可用於 Windows 2000 SP3 及更高版本。
自動更新可以配置爲在計算機上自動下載和安裝更新;自動下載但在安裝前通知用戶即將進行的更新;或在計算機上下載和安裝更新前通知用戶。
(5). 檢查是否存在不必要的服務
該檢查將確定被掃描計算機上的 services.txt 文件中是否包含有已啓用的服務。services.txt 文件是一個可配置的服務列表,這些服務都不應該在被掃描的計算機上運行。此文件由 MBSA 安裝並存儲在該工具的安裝文件夾中。該工具的用戶應配置 services.txt 文件,以便包括在各臺被掃描的計算機上所要檢查的那些特定服務。默認情況下,與該工具一起安裝的 services.txt 文件包含下列服務:
MSFTPSVC (FTP)
TlntSvr (Telnet)
W3SVC (WWW)
SMTPSVC (SMTP)
服務是一種程序,只要計算機在運行操作系統,其就在後臺運行。服務不要求用戶必須進行登錄。服務用於執行不依賴於用戶的任務,如:等待信息傳入的傳真服務)。
(6). 域控制器
該檢查將確定正在接受掃描的計算機是否爲一個域控制器。
對於 Windows XP、Windows 2000 或 Windows NT 域,域控制器是對域登錄進行身份驗證,並維護該域的安全策略和安全帳戶主數據庫的服務器。域控制器負責管理用戶對網絡的訪問,包括登錄、身份驗證以及對目錄和共享資源的訪問。域控制器還保存所有域用戶帳戶,包括關鍵的管理員帳戶。由於這些原因,域控制器應該被視爲需要加強保護的關鍵資源。您應確認自己是否真正需要將這臺計算機作爲域控制器,並確認您是否採取了相應的步驟來加強這臺計算機的訪問安全。
(7). 文件系統
該檢查將確定在每塊硬盤上使用的是哪一種文件系統,以確保其爲 NTFS 文件系統。NTFS 是一個安全的文件系統,使您可以控制或限制對各個文件或目錄的訪問。例如,如果您想允許您的同事查看您的文件,但不允許他們進行更改,那麼就可以通過使用 NTFS 提供的訪問控制列表(ACL)加以實現。
注意:爲了使該檢查成功執行,驅動器必須通過管理驅動器共享區來實現共享。
(8). 來賓帳戶
該檢查將確定在被掃描的計算機上是否啓用了內置的來賓帳戶。
來賓帳戶是一種內置帳戶,當一名用戶在計算機或域上沒有帳戶,或者在計算機所在的域信任的任何一個域中沒有帳戶時,可使用這種帳戶登錄到運行 Windows 2000 或 Windows NT 的計算機。在使用簡單文件共享的 Windows XP 計算機上,作爲安全模型的一部分,網絡上的所有用戶連接都將映射到來賓帳戶。如果在 Windows NT、Windows 2000 和 Windows XP 計算機上(不使用簡單文件共享)已啓用來賓帳戶,則這種情況將在安全報告中作爲一個安全漏洞標記出來。如果在使用簡單文件共享的 Windows XP 計算機上已啓用來賓帳戶,則這種情況將不會作爲安全漏洞標記出來。
(9). Internet Connection Firewall
這一檢查將確定是否在被掃描的計算機(適用於 Windows XP 和 Windows Server 2003)上對所有的活動網絡連接啓用 Internet Connection Firewall(Internet 連接防火牆,ICF),以及是否在防火牆中開放所有的入站端口。ICF 是一個防火牆軟件,通過控制在您的計算機和 Internet 或網絡中的其他計算機間來回傳遞的信息,對計算機提供保護。ICF 包含在 Windows XP、 Windows Server 2003 Standard Edition 和 Enterprise Edition 中。
(10). 本地帳戶密碼
該檢查將找出使用空白密碼或簡單密碼的所有本地用戶帳戶。這一檢查將不在域控制器上進行。作爲一項安全措施,Windows XP、Windows 2000 和 Windows NT 操作系統都要求通過密碼進行用戶身份驗證。然而,任何系統的安全都取決於技術和策略(人們對系統進行設置和管理的方式)兩個方面。這一檢查將枚舉所有用戶帳戶並檢查是否有人採用了下列密碼:
· 密碼爲空白
· 密碼與用戶帳戶名相同
· 密碼與計算機名相同
· 密碼使用“password”一詞
· 密碼使用“admin”或“administrator”一詞
該檢查還可通知您任何被禁用或者當前被鎖定的帳戶。
MBSA 將通過使用每一個上述密碼來嘗試更改目標計算機中的密碼。如果此操作成功,則表明該帳戶正在使用該密碼。MBSA 將不重新設置或永久更改密碼,但是將報告您的密碼過於簡單。
您應該注意到這一檢查可能花很長時間,這取決於計算機上的用戶帳戶數。因此,管理員可能想要在掃描他們所在網絡的域控制器前禁用該檢查。
注意:如果在計算機上啓用審覈功能,這一檢查可能會在安全日誌中產生事件日誌記錄。
(11). 操作系統版本
該檢查將確定在被掃描的計算機上運行的是何種操作系統。Windows XP 和 Windows 2000 爲您的所有業務活動帶來了更高水準的可靠性和可用性,例如對文件權限更精確的控制。
(12). 密碼過期
該檢查將確定是否有本地用戶帳戶設置了永不過期的密碼。密碼應該定期更改,以降低遭到密碼***的可能性。每個使用了永不過期的密碼的本地用戶帳戶都將被列出。
(13). 限制匿名用戶
該檢查將確定被掃描的計算機上是否使用了 RestrictAnonymous 註冊表項來限制匿名連接。
匿名用戶可以列出某些類型的系統信息,其中包括用戶名及其詳細信息、帳戶策略和共享名。需要加強安全的用戶可以限制此功能,以使匿名用戶無法訪問信息。
(14). 共享
該檢查將確定在被掃描的計算機上是否存在共享文件夾。掃描報告將列出在計算機上發現的所有共享內容,其中包括管理共享及其共享級別和 NTFS 級別的權限。
除非需要,否則您應關閉共享區,或者應通過共享級別和 NTFS 級別權限,僅限特定用戶進行訪問,從而達到對其共享區進行保護的目的。
(1). IIS 上的 MSADC 和腳本虛擬目錄
該檢查將確定 MSADC(樣本數據訪問腳本)和腳本虛擬目錄是否已安裝在被掃描的 Internet Information Services (IIS)計算機上。這些目錄通常包含一些不需要時就應該刪除的腳本,將其刪除可縮小計算機受***的範圍。
IIS 鎖定工具將關閉 IIS 中不必要的功能(比如該功能),從而減少系統暴露給***者的機會。
(2). IISADMPWD 虛擬目錄
該檢查將確定 IISADMPWD 目錄是否已安裝在被掃描的計算機上。IIS 4.0 能讓用戶更改他們的 Windows 密碼並通知用戶他們的密碼即將到期。IISADMPWD 虛擬目錄包含了此功能所要使用的文件,在 IIS 4.0 中,IISADMPWD 虛擬目錄將作爲默認 Web 站點的組成部分進行安裝。此功能是作爲一組 .htr 文件和一個名爲 Ism.dll 的 ISAPI 擴展加以實現的,.htr 文件位於 \System32\Inetsrv\Iisadmpwd 目錄中。
(3). 域控制器上的 IIS
該檢查將確定 Internet Information Services (IIS)是否在一個作爲域控制器的系統上運行。這種情況將在掃描報告中作爲一個嚴重安全漏洞加以標記,除非被掃描的計算機是一臺小型企業服務器(Small Business Server)。
我們建議您不要在域控制器上運行 IIS Web 服務器。域控制器上有敏感的數據(如:用戶帳戶信息),不應該用作另一個角色。如果您在一個域控制器上運行 Web 服務器,則增加了保護服務器安全和防止***的複雜性。
(4). IIS 鎖定工具
該檢查將確定 IIS Lockdown 工具的 2.1 版本(Microsoft Security Tool Kit 的一部分)是否已經在被掃描的計算機上運行。IIS Lockdown 工具的工作原理是關閉 IIS 中不必要的功能,從而縮小***者可以利用的***面。
在 Windows Server 2003 的全新安裝中,IIS 6.0 不需要 IIS Lockdown 工具,因爲其已默認鎖定(在配置 IIS 角色時,必須由 IIS Administrator 直接啓用服務)。對於從 IIS 5.0 安裝升級到 IIS 6.0,應該使用 IIS Lockdown 來確保僅在服務器上啓用了所需的服務。
(5). IIS 日誌記錄
該檢查將確定 Internet Information Services (IIS)日誌記錄是否已啓用,以及是否已使用了 W3C Extended Log File Format(W3C 擴展日誌文件格式)。
IIS 日誌記錄已經超出了 Windows 的事件日誌記錄或性能監視功能的範圍。日誌可以包括諸如誰訪問過您的站點,訪問者查看了什麼內容,以及最後查看信息是在什麼時候之類的信息。您可以監視對 Web 站點、虛擬文件夾或文件的訪問嘗試,包括成功或未成功的。這包括讀取文件或寫入文件等事件。可以選擇要對任何站點、虛擬目錄或文件進行審覈的事件。通過定期複查這些文件,您可以檢測到您的服務器或站點中可能受到***或出現其他安全問題的地方。您可以針對各 Web 站點分別啓用日誌記錄,並選擇日誌格式。在啓用了日誌記錄之後,也就對該站點的所有文件夾啓用了日誌記錄,但您也可以對特定的目錄禁用日誌記錄。
(6). IIS 父路經
這一檢查將確定在被掃描的計算機上是否啓用了 ASPEnableParentPaths 設置。通過在 IIS 上啓用父路經,Active Server Page(ASP)頁就可以使用到當前目錄的父目錄的相對路徑——即使用 .. 語法的路徑。
(7). IIS 樣本應用程序
該檢查將確定下列 IIS 示例文件目錄是否安裝在計算機上:
\Inetpub\iissamples
\Winnt\help\iishelp
\Program Files\common files\system\msadc
通常與 IIS 一起安裝的樣本應用程序會顯示動態 HTML (DHTML) 和 Active Server Pages (ASP)腳本並提供聯機文檔。
MBSA V1.2 對在被掃描的計算機中發現的 SQL Server 和 MSDE 的所有實例進行掃描。
(1). Sysadmin 角色的成員
該檢查將確定 Sysadmin 角色的成員數量,並將結果顯示在安全報告中。
SQL Server 角色用於將具有相同操作權限的登錄組合到一起。固定的服務器角色 Sysadmin 將系統管理員權限提供給它的所有成員。
注意:如果您看到一條“No permissions to access database”(無權訪問數據庫)錯誤消息,則您可能沒有訪問 MASTER 數據庫的權限。
(2). 僅將 CmdExec 權限授予 Sysadmin
該檢查將確保 CmdExec 權限僅被授予 Sysadmin。其他所有具有 CmdExec 權限的帳戶都將在安全報告中列出。
SQL Server 代理是 Windows XP、Windows 2000 和 Windows NT 上的一項服務,負責執行作業、監控 SQL Server 和發送警報。通過 SQL Server 代理,您可以使用腳本化作業步驟來使某些管理任務實現自動化。作業是 SQL Server 代理按順序執行的一個指定的操作序列。一項作業可以執行範圍廣泛的活動,其中包括運行 Transact-SQL 腳本、命令行應用程序和 Microsoft ActiveX 腳本。用戶可以創建作業,以便運行經常重複或者計劃的任務,而作業也可以通過生成警報自動將它們的狀態通知給用戶。
(3). SQL Server 本地帳戶密碼
該檢查將確定是否有本地 SQL Server 帳戶採用了簡單密碼(如:空白密碼)。這一檢查將枚舉所有用戶帳戶並檢查是否有帳戶採用了下列密碼:
· 密碼爲空白
· 密碼與用戶帳戶名相同
· 密碼與計算機名相同
· 密碼使用“password”一詞
· 密碼使用“sa”一詞
· 密碼使用“admin”或“administrator”一詞
這一檢查還通知您任何被禁用或者當前被鎖定的帳戶。
(4). SQL Server 身份驗證模式
該檢查將確定被掃描的 SQL Server 上所用的身份驗證模式。
Microsoft SQL Server 爲提高對該服務器進行訪問的安全性提供了兩種模式:Windows 身份驗證模式和混合模式。
在 Windows 身份驗證模式下,Microsoft SQL Server 只依賴 Windows 對用戶進行身份驗證。然後,Windows 用戶或組就得到授予訪問 SQL Server 的權限。在混合模式下,用戶可能通過 Windows 或通過 SQL Server 進行身份驗證。經過 SQL Server 身份驗證的用戶將把用戶名和密碼保存在 SQL Server 內。Microsoft 強烈推薦始終使用 Windows 身份驗證模式。
Windows 身份驗證模式
該安全模式使 SQL Server 能夠像其他應用程序那樣依賴 Windows 對用戶進行身份驗證。使用此模式與服務器建立的連接叫做受信任連接。
當您使用 Windows 身份驗證模式時,數據庫管理員通過授予用戶登錄到 SQL Server 的權限來允許他們訪問運行 SQL Server 的計算機。Windows 安全識別符(SID)將用於跟蹤使用 Windows 進行身份驗證的用戶。在使用 Windows SID 的情況下,數據庫管理員可以將訪問權直接授予 Windows 用戶或組。
混合模式
在 SQL Server 中,當客戶端和服務器都可以使用 NTLM 或 Kerberos 登錄身份驗證協議時,混合模式將依賴 Windows 對用戶進行身份驗證。如果其中某一方不能使用標準 Windows 登錄,那麼 SQL Server 就會要求提供用戶名和密碼,並將用戶名和密碼與存儲在其系統表中的用戶名和密碼進行比較。依賴用戶名和密碼建立的連接叫做不受信任的連接。
之所以提供混合模式,原因有二:1) 向後兼容 SQL Server 的舊版本;2) 在 SQL Server 安裝到 Windows 95 和 Windows 98 操作系統時實現兼容。(在充當服務器的 Windows 95 或 Windows 98 計算機上不支持受信任的連接。)
(5). Sysadmin 角色中的 SQL Server BUILTIN\Administrators
該檢查將確定內置 Administrators(管理員)組是否被列爲 Sysadmin 角色的一個成員。
注意:如果您看到一條“No permissions to access database”(無權訪問數據庫)錯誤消息,則可能不具有訪問 MASTER 數據庫的權限。
SQL Server 角色是一個安全帳戶,其是包含有其他安全帳戶的一個帳戶集合。在對權限進行管理時,可以將之看作是一個單獨的單元。一個角色可以包含 SQL Server 登錄權限、其他角色和 Windows 用戶帳戶或組。
固定的服務器角色具有涵蓋整個服務器的作用域。這些角色存在於數據庫外部。一個固定服務器角色的每個成員都能夠向相同角色中添加其他登錄。Windows BUILTIN\Administrators 組(本地管理員的組)的所有成員默認情況下都是 sysadmin 角色的成員,從而向其賦予了對您的所有數據庫的完全訪問權。
(6). SQL Server 目錄訪問
該檢查將驗證下列 SQL Server 目錄是否都只將訪問權授予 SQL 服務帳戶和本地管理員:
· Program Files\Microsoft SQL Server\MSSQL$InstanceName\Binn
· Program Files\Microsoft SQL Server\MSSQL$InstanceName\Data
· Program Files\Microsoft SQL Server\MSSQL\Binn
· Program Files\Microsoft SQL Server\MSSQL\Data
該工具將掃描這些文件夾中每個文件夾上的訪問控制列表(ACL),並枚舉出 ACL 中包含的用戶。如果任何其他用戶(除 SQL 服務帳戶和管理員以外)具有讀取或修改這些文件夾的訪問權,則該工具將在安全報告中將此檢查標記爲一個安全漏洞。
(7). SQL Server 公開的 sa 帳戶密碼
這一檢查將確定 SQL 7.0 SP1、SP2 或 SP3 sa 帳戶密碼是否以明文形式寫入 %windir% 和 %windir%\%temp% 目錄的 setup.iss 和 sqlstp.log\sqlspX.log 文件中。在 SQL 2000 中,如果域憑證用於啓動 SQL Server 服務,則也會檢查 splstp.log\sqlspX.log 文件。
如果在設置 SQL Server 時使用混合模式身份驗證,則 sa 密碼以明文形式保存在 SQL Server 7.0 SP1、SP2 和 SP3 的 setup.iss 和 sqlstp.log 文件中。如果使用 Windows 身份驗證模式(推薦模式)的管理員選擇提供在自動啓動 SQL Server 服務時使用的域憑證,他們只會使憑證處於危險境地。
(8). SQL Server 來賓帳戶
該檢查將確定 SQL Server 來賓 帳戶是否具有訪問數據庫(Master、tempdb 和 msdb 除外)的權限。該帳戶具有訪問權的所有數據庫都將在安全報告中列出。
注意:如果您看到一條“No permissions to access database”(無權訪問數據庫)錯誤消息,則您可能不具有訪問 MASTER 數據庫的權限。
在 SQL Server 中,一個用戶登錄帳戶必須以下列方式之一獲得訪問數據庫及其對象的授權。
1. 登錄帳戶可以被指定爲一個數據庫用戶。
2. 登錄帳戶可以使用數據庫中的來賓帳戶。
3. Windows 組登錄可以映射到一個數據庫角色。然後,屬於該組的單個 Windows 帳戶都可以連接到該數據庫。
db_owner 或 db_accessadmin 數據庫角色的成員或者 Sysadmin 固定服務器角色成員都可以創建數據庫用戶帳戶角色。一個帳戶可以有多個參數:SQL Server 登錄 ID、數據庫用戶名(可選)和最多一個角色名稱(可選)。數據庫用戶名稱可以與用戶的登錄 ID 不同。如果未提供數據庫用戶名,則該用戶的登錄 ID 和數據庫用戶名完全相同。創建數據庫用戶後,可以根據需要爲該用戶分配任意數量的角色。如果未提供角色名稱,則該數據庫用戶只是公共角色的一個成員。
db_owner、db_accessadmin 或 sysadmin 角色的成員還可以創建來賓帳戶。來賓帳戶允許任何合法的 SQL Server 登錄帳戶即使沒有數據庫用戶帳戶也能訪問數據庫。默認情況下,來賓帳戶將繼承分配給公共角色的所有特權;不過,這些特權可以被更改,使其權限大於或小於公共角色特權。
(9). 域控制器上的 SQL Server
該檢查將確定 SQL Server 是否在一個擔當域控制器的系統上運行。我們建議您不要在一個域控制器上運行 SQL Server。域控制器包含有敏感數據(如:用戶帳戶信息),不應該用作另一個角色。如果您在一個域控制器上運行 SQL Server,則增加了保護服務器安全和防止***的複雜性。
(10). SQL Server 註冊表項安全
該檢查將確保 Everyone(所有人)組對下列註冊表項的訪問權被限制爲讀取權限:
HKLM\Software\Microsoft\Microsoft SQL Server
HKLM\Software\Microsoft\MSSQLServer
如果 Everyone 組對這些註冊表項的訪問權限高於讀取權限,則這種情況將在安全掃描報告中被標記爲嚴重安全漏洞。
(11). SQL Server 服務帳戶
該檢查將確定 SQL Server 服務帳戶在被掃描的計算機上是否爲本地或域管理員組的成員,或者是否有 SQL Server 服務帳戶正在 LocalSystem 上下文中運行。
在被掃描的計算機上,MSSQLServer 和 SQLServerAgent 服務帳戶都要經過檢查。
注意:如果您看到一條“No permissions to access database”(無權訪問數據庫)錯誤消息,則可能不具有訪問 MASTER 數據庫的權限。