操作系統(tǒng)安全配置二

項(xiàng)目一操作系統(tǒng)安全配置與測(cè)試《網(wǎng)絡(luò)安全技術(shù)應(yīng)用》胡志齊主編單元學(xué)習(xí)目標(biāo)能力目標(biāo)具備對(duì)Windows服務(wù)器操作系統(tǒng)進(jìn)行安全策略配置的能力具備對(duì)Windows服務(wù)器進(jìn)行端口和服務(wù)安全加固的能力具備安全配置Web服務(wù)器的能力具備利用MBSA掃描系統(tǒng)漏洞并查看報(bào)告的能力具備利用微軟WSUS服務(wù)器為客戶端分發(fā)和安裝系統(tǒng)補(bǔ)丁的能力知識(shí)目標(biāo)了解Windows服務(wù)器操作系統(tǒng)的安全策略掌握Windows服務(wù)器操作系統(tǒng)安全策略的配置方法掌握安全配置Web服務(wù)器的方法掌握服務(wù)和端口安全了解系統(tǒng)漏洞的概念掌握使用MBSA檢測(cè)系統(tǒng)漏洞的方法掌握企業(yè)操作系統(tǒng)補(bǔ)丁更新的方法情感態(tài)度價(jià)值觀培養(yǎng)認(rèn)真細(xì)致的工作態(tài)度逐步形成網(wǎng)絡(luò)安全的主動(dòng)防御意識(shí)單元學(xué)習(xí)內(nèi)容計(jì)算機(jī)系統(tǒng)安全是網(wǎng)絡(luò)安全的基礎(chǔ)。目前，Windows操作系統(tǒng)是應(yīng)用最多的計(jì)算機(jī)操作系統(tǒng)之一，市場(chǎng)占有率始終維持在90%左右。常用的Windows服務(wù)器操作系統(tǒng)包括Windows2003和WindowsServer2008。任何安全措施都無法保證萬(wàn)無一失，而強(qiáng)有力的安全措施可以增加入侵的難度，從一定程度上提升系統(tǒng)的安全性。通常情況下，用戶安裝操作系統(tǒng)后便投入使用是非常危險(xiǎn)的。要想使服務(wù)器在復(fù)雜的環(huán)境下平穩(wěn)運(yùn)行，必須進(jìn)行安全加固。本章將以Windows2003系統(tǒng)為例進(jìn)行安全加固，保證系統(tǒng)安全運(yùn)行。主要內(nèi)容任務(wù)2網(wǎng)絡(luò)服務(wù)安全配置任務(wù)3檢查與防護(hù)漏洞任務(wù)4操作系統(tǒng)補(bǔ)丁更新服務(wù)器配置任務(wù)1Windows系統(tǒng)基本安全設(shè)置任務(wù)1

Windows系統(tǒng)基本安全設(shè)置活動(dòng)一設(shè)置本地安全策略活動(dòng)二關(guān)閉不必要的服務(wù)和端口任務(wù)分析活動(dòng)1設(shè)置本地安全策略【任務(wù)描述】

齊威公司新購(gòu)置了幾臺(tái)計(jì)算機(jī)準(zhǔn)備作為服務(wù)器，小齊給它們安裝了比較流行的Windows2003服務(wù)器操作系統(tǒng)，而且安裝的時(shí)候選擇的是默認(rèn)安裝。但由于是服務(wù)器，對(duì)公司來說非常重要，來不得半點(diǎn)馬虎，于是在默認(rèn)安裝結(jié)束后，小齊決定對(duì)系統(tǒng)進(jìn)行安全加固?！救蝿?wù)分析】

小齊利用網(wǎng)絡(luò)查找資料了解到，利用WindowsServer2003的安全配置工具來配置安全策略，微軟提供了一套基于管理控制臺(tái)的安全配置和分析工具，可以配置服務(wù)器的安全策略，在管理工具中可以找到“本地安全設(shè)置”配置5類安全策略：賬戶策略、本地策略、公鑰策略、軟件限制策略和IP安全策略。小齊決定先進(jìn)行賬戶策略的設(shè)置?；顒?dòng)1設(shè)置本地安全策略【任務(wù)實(shí)戰(zhàn)】

（1）選擇“開始”→“所有程序”→“管理工具”→“本地安全策略”，顯示“本地安全設(shè)置”窗口，如圖1-1所示。圖1-1“本地安全設(shè)置”窗口活動(dòng)1設(shè)置本地安全策略

（2）開啟賬戶策略。開啟賬戶策略就可以有效防止字典式攻擊，設(shè)置如下。①單擊“賬戶策略”左邊的

，展開“賬戶策略”項(xiàng)，看到“密碼策略”與“賬戶鎖定策略”兩項(xiàng)。②選擇“賬戶鎖定策略”，在窗口的右邊將出現(xiàn)“復(fù)位賬戶鎖定計(jì)數(shù)器”、“賬戶鎖定時(shí)間”、“賬戶鎖定閾值”3項(xiàng)，如圖1-2所示。圖1-2“賬戶鎖定策略”選項(xiàng)活動(dòng)1設(shè)置本地安全策略③選擇“賬戶鎖定閾值”，單擊鼠標(biāo)右鍵，選擇“屬性”，打開“賬戶鎖定閾值屬性”對(duì)話框，如圖1-3所示。④在對(duì)話框中選擇需要設(shè)置的登錄次數(shù)，超過該次數(shù)后就會(huì)鎖定該登錄賬戶，以防止非授權(quán)用戶的無限次嘗試登錄。其余項(xiàng)目設(shè)置與此相同。圖1-3“賬戶鎖定閾值屬性”對(duì)話框活動(dòng)1設(shè)置本本地安安全策策略（3）開啟啟密碼碼策略略。密密碼對(duì)對(duì)系統(tǒng)統(tǒng)安全全非常常重要要。本本地安安全設(shè)設(shè)置中中的密密碼策策略在在默認(rèn)認(rèn)情況況下都都沒有有開啟啟。①選選擇““密碼碼策略略”，，在窗窗口右右邊窗窗格中中顯示示策略略具體體項(xiàng)，，如圖圖1-4所示。。圖1-4““本地安安全設(shè)設(shè)置-密碼策策略””選項(xiàng)項(xiàng)活動(dòng)1設(shè)置本本地安安全策策略②以以“密密碼長(zhǎng)長(zhǎng)度最最小值值”的的設(shè)置置為例例，說說明密密碼策策略的的設(shè)置置。選選擇““密碼碼長(zhǎng)度度最小小值””，單單擊擊鼠標(biāo)標(biāo)右鍵鍵，選選擇““屬性性”，，打開開“密密碼長(zhǎng)長(zhǎng)度最最小值值屬屬性””對(duì)話話框，，如圖圖1-5所示。。③在在“密密碼必必須至至少是是”文文本框框中選選擇要要規(guī)定定的字字符個(gè)個(gè)數(shù)，，然后后單擊擊“應(yīng)應(yīng)用””按鈕鈕，再再單擊擊“確確定””按鈕鈕。這這樣就就設(shè)置置了密密碼策策略的的長(zhǎng)度度項(xiàng)，，其余余項(xiàng)的的設(shè)置置與此此相同同。圖1-5““密碼長(zhǎng)長(zhǎng)度最最小值值屬屬性””對(duì)話話框活動(dòng)1設(shè)置本本地安安全策策略（4）開啟啟審核核策略略。安安全審審核是是WindowsServer2003最基本本的入入侵檢檢測(cè)的的方法法。當(dāng)當(dāng)有人人嘗試試對(duì)系系統(tǒng)進(jìn)進(jìn)行某某種方方式（（如嘗嘗試用用戶密密碼、、改變變賬戶戶策略略和未未經(jīng)許許可的的文件件訪問問等））入侵侵時(shí)，，都會(huì)會(huì)被安安全審審核記記錄下下來。。①選選擇““審核核策略略”，，在窗窗口右右邊窗窗格中中顯示示審核核策略略具體體項(xiàng)，，如圖圖1-6所示。。圖1-6““審核策策略””列表表框②以“審核策策略更更改”的設(shè)置置為例例說明明審核核策略略的設(shè)設(shè)置。。選擇擇“審核策策略更更改”，并單單擊鼠鼠標(biāo)右右鍵，，選擇擇“屬性”，打開開“審核策策略更更改屬屬性”對(duì)話框框?；顒?dòng)1設(shè)置本本地安安全策策略（5）不顯顯示上上次登登錄名名。默默認(rèn)情情況下下，終終端服服務(wù)接接入服服務(wù)器器時(shí)候候，登登錄對(duì)對(duì)話框框中會(huì)會(huì)顯示示上次次登錄錄的賬賬戶名名，本本地的的登錄錄對(duì)話話框也也是一一樣。。黑客客們可可以得得到系系統(tǒng)的的一些些用戶戶，進(jìn)進(jìn)而猜猜測(cè)密密碼。。通過過修改改注冊(cè)冊(cè)表可可以禁禁止顯顯示上上次登登錄名名，方方法是是在HKEY_LOCAL_MACHINE主鍵下下修改改子鍵鍵SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵鍵值修修改為為“1”。（6）禁止止建立立空連連接。。默認(rèn)認(rèn)情況況下，，任何何用戶戶可以以通過過空連連接進(jìn)進(jìn)入服服務(wù)器器，進(jìn)進(jìn)而枚枚舉出出賬號(hào)號(hào)，猜猜測(cè)密密碼。。可以以通過過修改改注冊(cè)冊(cè)表來來禁止止建立立空連連接，，方法法是在在HKEY_LOCAL_MACHINE主鍵下下修改改子鍵鍵System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵鍵值改改為““1”。活動(dòng)1設(shè)置本本地安安全策策略【任務(wù)描描述】小齊已已經(jīng)把把服務(wù)務(wù)器進(jìn)進(jìn)行了了密碼碼策略略的加加固，，而且且安裝裝上了了殺毒毒軟件件，小小齊得得意地地認(rèn)為為這樣樣就可可以萬(wàn)萬(wàn)無一一失了了?？煽墒欠?wù)器器運(yùn)行行一段段時(shí)間間后，，小齊齊發(fā)現(xiàn)現(xiàn)服務(wù)務(wù)器還還是遭遭受到到了多多次的的黑客客入侵侵和網(wǎng)網(wǎng)絡(luò)病病毒的的侵襲襲，這這是怎怎么回回事呢呢？【任務(wù)分分析】小齊通通過訪訪問微微軟的的官方方網(wǎng)站站了解解到，，黑客客的入入侵和和網(wǎng)絡(luò)絡(luò)病毒毒的感感染都都是通通過服服務(wù)器器的端端口進(jìn)進(jìn)行的的，而而Windows系統(tǒng)在在默認(rèn)認(rèn)情況況下，，有些些沒有有用的的端口口和服服務(wù)是是開啟啟的，，這就就給黑黑客和和病毒毒有了了可乘乘之機(jī)機(jī)，小小齊決決定現(xiàn)現(xiàn)在就就把那那些沒沒有用用的端端口和和服務(wù)務(wù)關(guān)閉閉?；顒?dòng)2關(guān)閉不不必要要的服服務(wù)和和端口口【任務(wù)務(wù)實(shí)戰(zhàn)戰(zhàn)】1．關(guān)閉閉不必必要的的端口口（1）查看看端口口。主要有有兩種種方式式：>>利用系系統(tǒng)內(nèi)內(nèi)部的的命令令查看看>>使用第第三方方軟件件查看看。（2）關(guān)閉閉端口口（四四個(gè)步步驟））。(1)查看端端口Netstat工具可可以顯顯示有有關(guān)統(tǒng)統(tǒng)計(jì)信信息和和當(dāng)前前TCP/IP網(wǎng)絡(luò)連連接的的情況況，通通過該該工具具，用用戶或或網(wǎng)絡(luò)絡(luò)管理理人員員可以以得到到非常常詳細(xì)細(xì)的統(tǒng)統(tǒng)計(jì)結(jié)結(jié)果，，當(dāng)網(wǎng)網(wǎng)絡(luò)中中沒有有安裝裝特殊殊的網(wǎng)網(wǎng)管軟軟件，，但要要對(duì)整整個(gè)網(wǎng)網(wǎng)絡(luò)的的使用用狀況況做詳詳細(xì)的的了解解時(shí)，，Netstat就非常常有用用。它它可以以用來來獲得得系統(tǒng)統(tǒng)網(wǎng)絡(luò)絡(luò)連接接的信信息（（使用用端口口和在在使用用的協(xié)協(xié)議等等）、、收到到和發(fā)發(fā)出的的數(shù)據(jù)據(jù)、被被連接接的遠(yuǎn)遠(yuǎn)程系系統(tǒng)的的端口口等。。在命命令行行狀態(tài)態(tài)下，，輸入入以下下命令令并按按Enter鍵：netstat-a，結(jié)果果如圖圖1-7所示。。圖1-7Netstat-a參數(shù)使使用情情況ForeignAddress：指連連接該該端口口的遠(yuǎn)遠(yuǎn)程計(jì)計(jì)算機(jī)機(jī)的名名稱和和端口口號(hào)；；State：表明明當(dāng)前前計(jì)算算機(jī)TCP的連接接狀態(tài)態(tài)。主主要狀狀態(tài)有有LISTENING、TIMEWAITESTABLISHED、。其其中LISTENING表示監(jiān)監(jiān)聽狀狀態(tài)，，表明明主機(jī)機(jī)正在在對(duì)打打開的的端口口進(jìn)行行監(jiān)聽聽，等等待遠(yuǎn)遠(yuǎn)程計(jì)計(jì)算機(jī)機(jī)的連連接，，這比比較危危險(xiǎn)，，有可可能會(huì)會(huì)被病病毒或或者黑黑客作作為入入侵系系統(tǒng)的的端口口；ESTABLISHED表示已已經(jīng)建建立起起的連連接，，表明明兩臺(tái)臺(tái)主機(jī)機(jī)之間間正在在通過過TCP進(jìn)行通信；；TIMEWAIT表示這次連連接結(jié)束，，表明端口口曾經(jīng)有過過訪問，但但現(xiàn)在訪問問結(jié)束。另另外，UDP端口不需要要監(jiān)聽。-n這個(gè)參數(shù)基基本上是-a參數(shù)的數(shù)字字形式，它它是用數(shù)字字的形式顯顯示信息，，這個(gè)參數(shù)數(shù)用于檢測(cè)測(cè)自己的IP，也有些人人則因?yàn)楦矚g用數(shù)數(shù)字的形式式顯示主機(jī)機(jī)名而使用用該參數(shù)。。-e參數(shù)顯示靜靜態(tài)的網(wǎng)卡卡數(shù)據(jù)統(tǒng)計(jì)計(jì)情況，如如圖1-8所示。圖1-8Netstat-e參數(shù)使用-p參數(shù)用來顯顯示特定的的協(xié)議所在在的端口信信息，它的的格式為““netstat––pxxx”。其中xxx可以是UDP、IP、ICMP或TCP，如圖1-9所示。圖1-9Netstat-p參數(shù)使用-s參數(shù)顯示在在默認(rèn)的情情況下每個(gè)個(gè)協(xié)議的配配置統(tǒng)計(jì)，，默認(rèn)情況況下包括TCP、IP、UDP、ICMP等協(xié)議，如如圖1-10所示。Netstat的-a、-n兩個(gè)參數(shù)同同時(shí)使用時(shí)時(shí)，可以用用來查看系系統(tǒng)端口狀狀態(tài)，列出出系統(tǒng)正在在開放的端端口號(hào)及其其狀態(tài)，如如圖1-11所示。圖1-10Netstat-e-s參數(shù)的綜合合應(yīng)用圖1-11Netstat-na參數(shù)的綜合合使用Netstat的-a、-n、-b3個(gè)參數(shù)同時(shí)時(shí)使用時(shí)，，可用來查查看系統(tǒng)端端口狀態(tài)，，顯示每個(gè)個(gè)連接是由由哪些程序序創(chuàng)建的，，如圖1-12所示。圖1-12Netstat-nab參數(shù)的綜合合使用步驟1選擇“開始”→“設(shè)置”→“控制面板”→“管理工具”，雙擊打開開“本地安全策策略”，選擇“IP安全策略，，在本地計(jì)計(jì)算機(jī)”，如圖1-13所示。圖1-13““本地安全設(shè)設(shè)置”窗口(2)關(guān)閉端口（（四個(gè)步驟驟）在右邊窗格格的空白位位置右擊，，彈出快捷捷菜單，選選擇“創(chuàng)建建IP安全策略””，于是彈彈出一個(gè)向向?qū)АＴ谙蛳驅(qū)е袉螕魮簟跋乱徊讲健卑粹o。。為新的安安全策略命命名為“關(guān)關(guān)閉端口””，如圖1-14所示。圖1-14““IP安全策略名名稱”對(duì)話話框單擊“下一一步”按鈕鈕，則打開開“安全通通信請(qǐng)求””對(duì)話框（（圖1-15），在對(duì)話話框上取消消選中“激激活默認(rèn)相相應(yīng)規(guī)則””，單擊““完成”按按鈕就創(chuàng)建建了一個(gè)新新的IP安全策略。。圖1-15““安全通信請(qǐng)請(qǐng)求”對(duì)話話框步驟2右擊該IP安全策略，，選擇“屬屬性”在打打開的“關(guān)關(guān)閉端口屬屬性”對(duì)話話框中（圖圖1-16），取消選選中“使用用添加向?qū)?dǎo)”，然后后單擊“添添加”按鈕鈕添加新的的規(guī)則，隨隨后彈出““新規(guī)則屬屬性”對(duì)話話框（圖1-17），其中顯顯示“IP篩選器列表表”選項(xiàng)卡卡。圖1-16““關(guān)閉端口屬屬性”對(duì)話話框圖1-17““新規(guī)則屬性性”對(duì)話框框在圖1-17中單擊“添添加”按鈕鈕，彈出““IP篩選器列表表”對(duì)話框框，如圖1-18所示。在列表中，，首先取消消選中“使用添加向向?qū)А?，然后再單單擊右邊的的“添加”按鈕添加新新的篩選器器。圖1-18““IP篩選器列表表”對(duì)話框框步驟3進(jìn)入“篩選選器屬性””對(duì)話框，，首先看到到的是“地地址”選項(xiàng)項(xiàng)卡（圖1-19），源地址址選擇“任任何IP地址”，目目標(biāo)地址選選擇“我的的IP地址”。選擇“協(xié)議議”選項(xiàng)卡卡，在“選選擇協(xié)議類類型”下拉拉列表中選選擇“TCP”，然后在““到此端口口”下的文文本框中輸輸入“135”，單擊“確確定”按鈕鈕，如圖1-20所示。這樣樣就添加了了一個(gè)屏蔽蔽TCP135（RPC）端口的篩篩選器，它它可以防止止外界通過過135端口進(jìn)入你你的計(jì)算機(jī)機(jī)。單擊“確定定”按鈕后后回到篩選選器列表的的對(duì)話框，，可以看到到已經(jīng)添加加了一條策策略。重復(fù)以上步步驟繼續(xù)添添加TCP137、139、445、593端口和UDP135、139、445端口，為它它們建立相相應(yīng)的篩選選器。重復(fù)復(fù)以上步驟驟添加TCP1025、2745、3127、6129、3389端口的屏蔽蔽策略，建建立好上述述端口的篩篩選器，最最后單擊““確定”按按鈕。圖1-19““IP篩選器屬性性”對(duì)話框框圖1-20““協(xié)議”選項(xiàng)項(xiàng)卡步驟4在“編輯規(guī)規(guī)則屬性””對(duì)話框中中，選擇““新IP篩選器列表表”，然后后選中其左左邊單選按按鈕，表示示已經(jīng)激活活，最后選選擇“篩選選器操作””選項(xiàng)卡，，如圖1-21所示。圖1-21““編輯規(guī)則屬屬性”對(duì)話話框在“篩選器操作作”選項(xiàng)卡中，，取消選中中“使用添加向向?qū)А?，單擊“添加”按鈕（圖1-22），添加“阻止”操作（圖1-23）：在打開開的“需要安全屬屬性”對(duì)話框的“安全措施”選項(xiàng)卡中，，選擇“阻止”，然后單擊擊“確定”按鈕。圖1-22““篩選器操作作”選項(xiàng)卡圖1-23““安全措施”選項(xiàng)卡步驟5進(jìn)入“新規(guī)則屬性性”對(duì)話框，選選擇“新篩選器操操作列表”，其左邊的的圓圈會(huì)加加了一個(gè)點(diǎn)點(diǎn)，表示已已經(jīng)激活，，單擊“關(guān)閉”按鈕，關(guān)閉閉對(duì)話框；；最后回到到“新規(guī)則屬性性”對(duì)話框，選選中“新IP篩選器列表表”（圖1-24）左邊的單單選按鈕，，激活選項(xiàng)項(xiàng)，單擊“確定”按鈕關(guān)閉對(duì)對(duì)話框。在在“本地安全策策略”窗口，用鼠鼠標(biāo)右擊新新添加的IP安全策略，，然后選擇擇“指派”。圖1-24““IP篩選器列表表”選項(xiàng)卡重新啟動(dòng)后后，計(jì)算機(jī)機(jī)中上述網(wǎng)網(wǎng)絡(luò)端口就就被關(guān)閉，，病毒和黑黑客再也不不能連上這這些端口。?；顒?dòng)2關(guān)閉不必要要的服務(wù)和和端口【任務(wù)實(shí)戰(zhàn)戰(zhàn)】2．關(guān)閉不必必要的服務(wù)務(wù)在Windows操作系統(tǒng)中中，默認(rèn)開開啟的服務(wù)務(wù)很多，但但并非所有有的服務(wù)都都是操作系系統(tǒng)運(yùn)行必必須的，而而禁止所有有不必要的的服務(wù)可以以節(jié)省內(nèi)存存和大量系系統(tǒng)資源，，更重要的的是提升系系統(tǒng)的安全全性。（1）查看服務(wù)務(wù)。單擊“開始”菜單，展開開“管理工具”，選擇“服務(wù)”，打開“服務(wù)”窗口，如圖圖1-25所示。圖1-25““服務(wù)”窗口（2）關(guān)閉服務(wù)務(wù)。下面以以“程序在指定定時(shí)間運(yùn)行行”服務(wù)為例說說明如何關(guān)關(guān)閉服務(wù)。?！俺绦蛟谥付ǘ〞r(shí)間運(yùn)行行”的服務(wù)名稱稱為“TaskSchedule”，它就是是計(jì)劃任務(wù)務(wù)的服務(wù)，，可以讓有有權(quán)限的用用戶，制定定一個(gè)計(jì)劃劃讓某個(gè)程程序在未來來某個(gè)時(shí)間間自動(dòng)運(yùn)行行。這個(gè)服服務(wù)很容易易被黑客利利用，讓木木馬自動(dòng)在在某個(gè)時(shí)間間運(yùn)行，因因此如果不不使用這項(xiàng)項(xiàng)功能，建建議停止這這項(xiàng)服務(wù)。。在系統(tǒng)服服務(wù)中找到到TaskSchedule服務(wù)，單擊擊鼠標(biāo)右鍵鍵，選擇“屬性”，打開的對(duì)對(duì)話框如圖圖1-26所示。然后后選擇啟動(dòng)動(dòng)類型為““禁用”。。單擊“服務(wù)狀態(tài)”下的“停止”按鈕，彈出出如圖1-27所示的對(duì)話話框，則該該服務(wù)就被被關(guān)閉了。。圖1-26“TaskSchedule的屬性”對(duì)對(duì)話框圖1-27““服務(wù)控制”對(duì)話框活動(dòng)2關(guān)閉不必要要的服務(wù)和和端口【任務(wù)拓展展】一、理論題題1．請(qǐng)說明Windows系統(tǒng)自身安安全的重要要性。2．請(qǐng)列舉出出你所了解解的Windows安全的配置置方法。3．WindowsServer2003用戶“密碼策略”設(shè)置中，“密碼必須符符合復(fù)雜性性要求”策略啟用，，用戶設(shè)置置密碼必須須滿足什么么要求？4．查看端口口的命令是是什么？二、實(shí)訓(xùn)1．自動(dòng)播放放功能不僅僅對(duì)光驅(qū)起起作用，而而且對(duì)其他他驅(qū)動(dòng)器也也起作用，，這樣很容容易被黑客客用來執(zhí)行行黑客程序序。為了系系統(tǒng)安全起起見，建議議關(guān)閉自動(dòng)動(dòng)播放功能能，請(qǐng)寫出出工作流程程并截圖。。2．除了系統(tǒng)統(tǒng)自帶的端端口查看工工具Netstat外，互聯(lián)網(wǎng)網(wǎng)上還有很很多第三方方的查看工工具，操作作簡(jiǎn)單，界界面友好，，如Tcpview等。請(qǐng)從互互聯(lián)網(wǎng)上找找到一款端端口查看軟軟件，并熟熟悉其使用用方法，給給大家講解解一下。任務(wù)2網(wǎng)絡(luò)服務(wù)安安全配置活動(dòng)一Web服務(wù)安全設(shè)設(shè)置活動(dòng)二Web瀏覽器安全全設(shè)置任務(wù)分析活動(dòng)1Web服務(wù)安全設(shè)置【任務(wù)描述述】齊威公司準(zhǔn)準(zhǔn)備在剛剛剛配置好的的Windows2003上安裝一臺(tái)臺(tái)Web服務(wù)器，發(fā)發(fā)布公司的的網(wǎng)站。通通過網(wǎng)絡(luò)學(xué)學(xué)習(xí)，網(wǎng)管管員小齊了了解到可以以用微軟提提供的IIS6.0組件，并可可以通過安安全設(shè)置打打造一個(gè)安安全的Web服務(wù)器。【任務(wù)分析析】小齊通過查查看微軟中中國(guó)的官方方在線幫助助網(wǎng)站了解解，IIS6.0并沒有作為為默認(rèn)組件件安裝，需需要先安裝裝，然后再再進(jìn)行安全全配置?！救蝿?wù)實(shí)戰(zhàn)戰(zhàn)】1．IIS的安裝2.設(shè)置IIS安全活動(dòng)1Web服務(wù)安全設(shè)置1.IIS的安裝步驟1運(yùn)行“控制面板”中的“添加刪除程程序”，選擇“添加/刪除Windows組件”，進(jìn)入“Windows組件向?qū)А睂?duì)話框，選選中“應(yīng)用程序服服務(wù)器”復(fù)選框，單單擊“詳細(xì)細(xì)信息”按鈕，如圖圖1-28所示。步驟2單擊“下一步”按鈕，進(jìn)入入“正在配置組組件”對(duì)話框。圖1-28“Windows組件向?qū)А薄睂?duì)話框步驟3將WindowsServer2003的光盤放入入光驅(qū)中，，單擊“確定”按鈕，完成成組件的安安裝?；顒?dòng)1Web服務(wù)安全設(shè)置（1）IP地址限制通過IP地址及域名名限制，用用戶可禁止止某些特定定的計(jì)算機(jī)機(jī)或者某些些區(qū)域中的的主機(jī)對(duì)自自己的Web和FTP站點(diǎn)點(diǎn)及及SMTP虛擬擬服服務(wù)務(wù)器器的的訪訪問問。。當(dāng)當(dāng)有有大大量量的的攻攻擊擊和和破破壞壞來來自自于于某某些些地地址址或或者者某某個(gè)個(gè)子子網(wǎng)網(wǎng)時(shí)時(shí)，，使使用用這這種種限限制制機(jī)機(jī)制制是是非非常常有有用用的的。。不不過過，，進(jìn)進(jìn)行行IP地址址及及域域名名限限制制的的首首要要條條件件是是用用戶戶必必須須知知道道網(wǎng)網(wǎng)絡(luò)絡(luò)黑黑客客的的計(jì)計(jì)算算機(jī)機(jī)使使用用哪哪些些IP地址址或或?qū)賹儆谟谀哪男┬┚W(wǎng)網(wǎng)絡(luò)絡(luò)區(qū)區(qū)域域，，否否則則無無法法進(jìn)進(jìn)行行限限制制。。對(duì)對(duì)基基于于Internet的信信息息服服務(wù)務(wù)器器，，站站點(diǎn)點(diǎn)接接受受來來自自于于各各方方的的訪訪問問，，用用戶戶很很難難進(jìn)進(jìn)行行地地址址限限制制。。一一般般來來說說，，只只有有基基于于企企業(yè)業(yè)內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)的的信信息息服服務(wù)務(wù)器器才才使使用用IP地址址及及域域名名進(jìn)進(jìn)行行安安全全保保護(hù)護(hù)。。2.設(shè)置置IIS安全全步驟驟1選擇擇Web站點(diǎn)點(diǎn)，，單單擊擊鼠鼠標(biāo)標(biāo)右右鍵鍵，，選選擇擇““屬屬性性””，，打打開開““站站點(diǎn)點(diǎn)屬屬性性””對(duì)對(duì)話話框框，，選選擇擇“目錄錄安安全全性性”選項(xiàng)項(xiàng)卡卡，，打打開開如如圖圖1-29所示示的的對(duì)對(duì)話話框框。。步驟驟2單擊擊“IP地址址和和域域名名限限制制”選擇擇區(qū)區(qū)域域的的“編輯輯”按鈕鈕，，打打開開如如圖圖1-30所示示的的“IP地址址和和域域名名限限制制”對(duì)話話框框。。圖1-29“Web站點(diǎn)點(diǎn)屬屬性性””對(duì)對(duì)話話框框圖1-30“IP地址址和和域域名名限限制制””對(duì)對(duì)話話框框步驟驟3選中中“授權(quán)權(quán)訪訪問問”單選選按按鈕鈕，，單單擊擊“添加加”按鈕鈕，，打打開開“拒絕絕訪訪問問”對(duì)話話框框。。可可通通過過以以下下3種類類型型的的選選擇擇來來拒拒絕絕訪訪問問。。①一臺(tái)臺(tái)計(jì)計(jì)算算機(jī)機(jī)：：IP為所所填填地地址址的的計(jì)計(jì)算算機(jī)機(jī)被被拒拒絕絕訪訪問問Web站點(diǎn)點(diǎn)，，如如圖圖1-31所示示。。②一組組計(jì)計(jì)算算機(jī)機(jī)：：用用“網(wǎng)絡(luò)絡(luò)標(biāo)標(biāo)識(shí)識(shí)”和“子網(wǎng)網(wǎng)掩掩碼碼”來規(guī)規(guī)定定某某個(gè)個(gè)網(wǎng)網(wǎng)段段的的所所有有計(jì)計(jì)算算機(jī)機(jī)被被拒拒絕絕訪訪問問Web站點(diǎn)點(diǎn)，，如如圖圖1-32所示示。。圖1-31根據(jù)據(jù)IP地址址拒拒絕絕一一臺(tái)臺(tái)計(jì)計(jì)算算機(jī)機(jī)圖1-32根據(jù)據(jù)IP地址址段段拒拒絕絕一一組組計(jì)計(jì)算算機(jī)機(jī)③域名名：：以以域域名名標(biāo)標(biāo)識(shí)識(shí)某某臺(tái)臺(tái)計(jì)計(jì)算算機(jī)機(jī)被被拒拒絕絕訪訪問問Web站點(diǎn)點(diǎn)，，如如圖圖1-33所示示。。通過過這這些些方方式式限限定定的的計(jì)計(jì)算算機(jī)機(jī)都都會(huì)會(huì)在在““IP地址址和和域域名名限限制制””對(duì)對(duì)話話框框中中的的空空白白處處顯顯示示，，所所選選擇擇的的““授授權(quán)權(quán)訪訪問問””的的含含義義是是除除了了在在空空白白處處顯顯示示的的這這些些計(jì)計(jì)算算機(jī)機(jī)外外，，其其余余計(jì)計(jì)算算機(jī)機(jī)被被授授權(quán)權(quán)訪訪問問Web站點(diǎn)點(diǎn)，，即即在在空空白白處處顯顯示示的的計(jì)計(jì)算算機(jī)機(jī)是是不不能能訪訪問問站站點(diǎn)點(diǎn)的的。。相相反反，，““拒拒絕絕訪訪問問””就就是是除除了了空空白白處處顯顯示示的的計(jì)計(jì)算算可可以以訪訪問問以以外外，，其其余余的的計(jì)計(jì)算算機(jī)機(jī)都都不不能能訪訪問問。?！啊熬芫芙^絕訪訪問問””項(xiàng)項(xiàng)的的設(shè)設(shè)置置方方式式和和內(nèi)內(nèi)容容與與““授授權(quán)權(quán)訪訪問問””相相同同。。圖1-33根據(jù)據(jù)域域名名拒拒絕絕計(jì)計(jì)算算機(jī)機(jī)活動(dòng)動(dòng)1Web服務(wù)務(wù)安安全全設(shè)置置（2）IP端口口限限制制網(wǎng)絡(luò)絡(luò)訪訪問問的的各各種種服服務(wù)務(wù)基基本本上上都都可可以以通通過過端端口口的的方方式式發(fā)發(fā)送送接接收收請(qǐng)請(qǐng)求求，，如如FTP常用用的的端端口口是是21，Web常用用的的是是80等，，因因此此可可以以通通過過修修改改默默認(rèn)認(rèn)的的端端口口號(hào)號(hào)來來提提高高服服務(wù)務(wù)的的安安全全性性。。具體操操作步步驟是是選擇擇“網(wǎng)網(wǎng)站屬屬性”對(duì)話框框的“網(wǎng)站”選項(xiàng)卡卡，如如圖1-34所示。。將“TCP端口”項(xiàng)的默默認(rèn)端端口80修改成成其他他的端端口就就可以以了。。②文件和和文件件夾的的訪問問權(quán)限限控制制。步驟1選擇要要訪問問的文文件或或文件件夾，，單擊擊鼠標(biāo)標(biāo)右鍵鍵，選選擇““屬性性”打打開“文件夾夾屬性性”對(duì)話框框，選選擇“安全”選項(xiàng)卡卡，如如圖1-36所示。。圖1-36“文件件夾屬屬性””對(duì)話話框““安全全”選選項(xiàng)卡卡步驟2在“組或用用戶名名稱”列表框框中選選擇訪訪問該該文件件或文文件夾夾的用用戶，，然后后在““用戶戶權(quán)限限”列列表框框中設(shè)設(shè)置該該用戶戶的權(quán)權(quán)限。。另外外可以以通過過NTFS分區(qū)格格式的的審核核功能能來實(shí)實(shí)現(xiàn)訪訪問控控制。。即在在“文件夾夾屬性性”對(duì)話框框中，，單擊擊“高級(jí)”按鈕，，打開開如圖圖1-37所示的的對(duì)話話框，，然后后選擇擇“審核”選項(xiàng)卡卡。在在“審核”選項(xiàng)卡卡中，，單擊擊“添加”按鈕，，打開開“選擇用用戶或或組”對(duì)話框框。步驟3單擊“選擇用用戶或或組”對(duì)話框框中的的“高級(jí)”按鈕，，彈出出“審核項(xiàng)項(xiàng)目”對(duì)話框框，在在該對(duì)對(duì)話框框中設(shè)設(shè)置相相應(yīng)的的權(quán)限限。設(shè)設(shè)置好好后單單擊“確定”按鈕，，就會(huì)會(huì)在““選擇擇用戶戶或組組”對(duì)對(duì)話框框中的的“輸入要要選擇擇的對(duì)對(duì)象名名稱”列表框框里顯顯示審審核的的項(xiàng)目目，然然后單單擊“確定”按鈕。。該審審核項(xiàng)項(xiàng)目便便會(huì)在在“文件夾夾的高高級(jí)安安全設(shè)設(shè)置”對(duì)話框框的“審核項(xiàng)項(xiàng)目”中出現(xiàn)現(xiàn)，然然后單單擊該該對(duì)話話框中中的“確定”按鈕，，則特特定用用戶和和組的的審核核功能能就設(shè)設(shè)置成成功了了。圖1-37““審核”選項(xiàng)卡卡活動(dòng)2Web瀏覽器器安全全設(shè)置置【任務(wù)務(wù)描述述】現(xiàn)在無無論是是公司司辦公公，還還是日日常生生活，，人們們都無無法離離開網(wǎng)網(wǎng)絡(luò)了了。網(wǎng)網(wǎng)上購(gòu)購(gòu)物、、收發(fā)發(fā)郵件件、在在線視視頻等等使人人們更更加地地離不不開瀏瀏覽器器了，，因此此瀏覽覽器的的安全全對(duì)人人們的的生活活和工工作至至關(guān)重重要。。【任務(wù)務(wù)分析析】為了提提升瀏瀏覽器器的安安全性性，可可以直直接對(duì)對(duì)瀏覽覽器進(jìn)進(jìn)行設(shè)設(shè)置，，也可可以通通過第第三方方軟件件進(jìn)行行設(shè)置置，本本任務(wù)務(wù)以IE8.0瀏覽器器為例例進(jìn)行行設(shè)置置?！救蝿?wù)務(wù)實(shí)戰(zhàn)戰(zhàn)】1．了解瀏瀏覽器器安全全級(jí)別別2.用戶自自定義義安全全級(jí)別別3用戶自自定義義安全全級(jí)別別活動(dòng)2Web瀏覽器器安全全設(shè)置置1.了解瀏瀏覽器器安全全級(jí)別別IE8.0瀏覽器器安全全級(jí)別別的高高低是是以用用戶通通過瀏瀏覽器器發(fā)送送數(shù)據(jù)據(jù)和訪訪問本本地客客戶資資源的的能力力高低低來進(jìn)進(jìn)行區(qū)區(qū)分的的，通通常定定義了了3個(gè)級(jí)別別，分分別是是高、、中高高、中中，并并提供供了4類訪問問對(duì)象象分別別是Internet、本地地Intranet、可信信站點(diǎn)點(diǎn)和受受限站站點(diǎn)。。另外外用戶戶可根根據(jù)自自己的的需要要進(jìn)行行添加加。打開IE瀏覽器器，單單擊“工具”菜單，，選擇擇“Internet選項(xiàng)”，彈出出如圖圖1-38所示的的“Internet選項(xiàng)”對(duì)話框框，選選擇“安全”選項(xiàng)卡卡，安安全級(jí)級(jí)別和和訪問問對(duì)象象設(shè)置置如圖圖1-38所示。。圖1-38““安全””選項(xiàng)項(xiàng)卡活動(dòng)2Web瀏覽器器安全全設(shè)置置2.用戶自自定義義安全全級(jí)別別如果用用戶想想自己己設(shè)置置安全全級(jí)別別，可可單擊擊“自定義義級(jí)別別”按鈕，，彈出出如圖圖1-39所示的的“安全設(shè)設(shè)置”對(duì)話框框。在在“重置自自定義義設(shè)置置”區(qū)域中中“重置為為”下拉列列表中中選擇擇需要要更改改的安安全級(jí)級(jí)別。。圖1-38““安全設(shè)置”對(duì)話框框活動(dòng)2Web瀏覽器器安全全設(shè)置置3．SmartScreen篩選器器設(shè)置置Smartscreen篩選器器是InternetExplorer8中的一一個(gè)功功能，，可幫幫助在在瀏覽覽網(wǎng)頁(yè)頁(yè)時(shí)防防范社社會(huì)工工程學(xué)學(xué)釣魚魚網(wǎng)站站，以以及網(wǎng)網(wǎng)絡(luò)詐詐騙。。步驟1選擇瀏瀏覽器器“工工具””菜單單中的的“SmartScreen篩選選器””，打打開SmartSrceen篩選選器，，如圖圖1-40所示示。圖1-40從從工工具欄欄打開開SmartScreen篩篩選器器步驟2在彈出出的對(duì)對(duì)話框框中選選中““打開開SmartScreen篩篩選器器（推推薦））”單單選按按鈕，，如圖圖1-41所示示。圖1-41開開啟啟SmartScreen篩篩選器器活動(dòng)2Web瀏覽器器安全全設(shè)置置4．刪除除瀏覽覽的歷歷史記記錄為了加加快瀏瀏覽速速度和和保護(hù)護(hù)用戶戶的隱隱私數(shù)數(shù)據(jù)，，用戶戶應(yīng)該該養(yǎng)成成定期期刪除除瀏覽覽的歷歷史記記錄的的習(xí)慣慣。方方法是是選擇擇“工工具””菜單單中的的“刪刪除瀏瀏覽的的歷史史記錄錄”，，如圖圖1-42所示示。圖1-42刪刪除除瀏覽覽的歷歷史記記錄活動(dòng)2Web瀏覽器器安全全設(shè)置置【任務(wù)務(wù)拓展展】一、理理論題題1．請(qǐng)分分析在在安裝裝IIS時(shí)為什什么最最好不不要安安裝Internet服務(wù)管管理器器（HTML）、SMTPService和NNTPService、腳本本組件件？2．請(qǐng)簡(jiǎn)簡(jiǎn)單敘敘述一一下從從哪幾幾方面面對(duì)IIS進(jìn)行安安全加加固？？二、實(shí)實(shí)訓(xùn)1．設(shè)置置IE瀏覽器器來禁禁止病病毒通通過瀏瀏覽器器進(jìn)入入系統(tǒng)統(tǒng)。2．利用用如“360安全衛(wèi)衛(wèi)士”等第三三方工工具來來保護(hù)護(hù)IE瀏覽器器。任務(wù)3檢查與與防護(hù)護(hù)漏洞洞活動(dòng)動(dòng)一一利利用用MBSA檢查查常常見見的的漏漏洞洞活動(dòng)動(dòng)二二防防護(hù)護(hù)系系統(tǒng)統(tǒng)漏漏洞洞系統(tǒng)統(tǒng)漏漏洞洞是是指指應(yīng)應(yīng)用用軟軟件件或或操操作作系系統(tǒng)統(tǒng)軟軟件件在在邏邏輯輯設(shè)設(shè)計(jì)計(jì)上上的的缺缺陷陷或或在在編編寫寫時(shí)時(shí)產(chǎn)產(chǎn)生生的的錯(cuò)錯(cuò)誤誤，，這這個(gè)個(gè)缺缺陷陷或或錯(cuò)錯(cuò)誤誤可可以以被被不不法法者者或或者者計(jì)計(jì)算算機(jī)機(jī)黑黑客客利利用用，，通通過過植植入入木木馬馬、、病病毒毒等等方方式式來來攻攻擊擊或或控控制制整整個(gè)個(gè)計(jì)計(jì)算算機(jī)機(jī)，，從從而而竊竊取取計(jì)計(jì)算算機(jī)機(jī)中中的的重重要要資資料料和和信信息息，，甚甚至至破破壞壞系系統(tǒng)統(tǒng)。。任務(wù)分析活動(dòng)動(dòng)1利用用MBSA檢查查常常見見的的漏洞洞【任任務(wù)務(wù)描描述述】】小齊齊的的安安全全防防范范意意識(shí)識(shí)很很強(qiáng)強(qiáng)，，給給服服務(wù)務(wù)器器安安裝裝了了殺殺毒毒軟軟件件和和防防火火墻墻等等防防護(hù)護(hù)措措施施，，但但是是他他忽忽略略了了一一個(gè)個(gè)重重要要環(huán)環(huán)節(jié)節(jié)：：不不管管什什么么操操作作系系統(tǒng)統(tǒng)或或者者軟軟件件產(chǎn)產(chǎn)品品都都是是存存在在設(shè)設(shè)計(jì)計(jì)缺缺陷陷和和漏漏洞洞的的，，隨隨時(shí)時(shí)都都有有可可能能被被黑黑客客利利用用。。【任任務(wù)務(wù)分分析析】】因此此定定期期地地對(duì)對(duì)操操作作系系統(tǒng)統(tǒng)進(jìn)進(jìn)行行體體檢檢是是非非常常必必要要的的，，對(duì)對(duì)于于Windows操作作系系統(tǒng)統(tǒng)可可以以使使用用微微軟軟公公司司提提供供的的一一款款名名為為“系統(tǒng)統(tǒng)漏漏洞洞檢檢測(cè)測(cè)工工具具（（MBSA）”的小小軟軟件件對(duì)對(duì)系系統(tǒng)統(tǒng)進(jìn)進(jìn)行行掃掃描描，，可可以以找找出出系系統(tǒng)統(tǒng)存存在在的的漏漏洞洞并并給給出出分分析析報(bào)報(bào)告告，，指指導(dǎo)導(dǎo)我我們們修修補(bǔ)補(bǔ)漏漏洞洞。。活動(dòng)動(dòng)1利用用MBSA檢查查常常見見的的漏漏洞洞【任任務(wù)務(wù)實(shí)實(shí)戰(zhàn)戰(zhàn)】】1．工工具具的的獲獲取取及及安安裝裝步驟驟1到微微軟軟的的官官方方網(wǎng)網(wǎng)站站/zh-cn/security/cc184923下載載該該軟軟件件。。步驟驟2按照照“安裝裝向向?qū)?dǎo)”的提提示示完完成成安安裝裝。。步驟驟3軟件件安安裝裝完完成成后后，，在在“程序序”菜單單中中顯顯示示，表表示示MBSA成功功安安裝裝。。步驟驟4打開開MBSA工具具主主頁(yè)頁(yè)面面。。安安裝裝完完成成后后，，依依次次選選擇擇“開始始”→→““程序序”→→““MicrosoftBaselineSecurityAnalyzer2.2””，或或雙雙擊擊桌桌面面圖圖標(biāo)標(biāo)，，即即可可彈彈出出MBSA的主主頁(yè)頁(yè)面面，，如如圖圖1-43所示示。。圖1-43MBSA主界界面面步驟驟5參數(shù)數(shù)設(shè)設(shè)置置，，單單擊擊MBSA主界界面面中中的的“Scanacomputer”菜單單，，彈彈出出““Whichcomputerdoyouwanttoscan”對(duì)對(duì)話話框框，，如如圖圖1-44所示示。。以以使使用用該該工工具具掃掃描描一一臺(tái)臺(tái)計(jì)計(jì)算算機(jī)機(jī)為為例例介介紹紹該該工工具具的的使使用用方方法法和和過過程程。。要想讓MBSA成功掃描描計(jì)算機(jī)機(jī)，需在在此對(duì)話話框中進(jìn)進(jìn)行正確確地參數(shù)數(shù)設(shè)置（點(diǎn)擊））圖1-44“Whichcomputerdoyouwanttoscan”對(duì)話框框步驟6用戶根據(jù)據(jù)自身情情況設(shè)置置好各項(xiàng)項(xiàng)參數(shù)后后單擊“StartScan”菜單，將將彈出“Scanning””對(duì)話框，，MBSA將開始掃掃描指定定的計(jì)算算機(jī)，并并經(jīng)過一一段時(shí)間間后彈出出掃描結(jié)結(jié)果，如如圖1-45所示，并并根據(jù)報(bào)報(bào)告的掃掃描結(jié)果果進(jìn)行漏漏洞修復(fù)復(fù)。圖1-45掃描結(jié)果果窗口步驟7查看掃描描結(jié)果的的漏洞修修補(bǔ)提示示。以筆者的的計(jì)算機(jī)機(jī)為例，，第2個(gè)紅色圖圖標(biāo)提示示。FileSystem：為文件件系統(tǒng)問問題，后后面給出出了具體體解釋為為“并不不是所有有的分區(qū)區(qū)都是NTFS分區(qū)格式式”，如如圖1-46所示。單單擊“Resultdetails”鏈接彈彈出具體體的結(jié)果果細(xì)節(jié)，，如圖1-47所示，可可知本臺(tái)臺(tái)計(jì)算機(jī)機(jī)的D盤是FAT32的文件結(jié)結(jié)構(gòu)。圖1-46紅色圖標(biāo)標(biāo)提示窗窗口圖1-47具體細(xì)節(jié)節(jié)窗口單擊“Howtocorrectthis”鏈接彈彈出一個(gè)個(gè)具體解解決這個(gè)個(gè)漏洞的的辦法的的頁(yè)面，，如圖1-48所示。圖1-48解決漏洞洞窗口①設(shè)定要掃掃描的對(duì)對(duì)象。告訴MBSA要掃描的的計(jì)算機(jī)機(jī)是掃描描成功的的基礎(chǔ)。。MBSA提供以下下兩種方方法。方法1：在“Computername”文本框框中輸入入計(jì)算機(jī)機(jī)名稱，，格式為為“工作作組名\計(jì)算機(jī)名名”。默認(rèn)情況況下，MBSA會(huì)顯示運(yùn)運(yùn)行MBSA的計(jì)算機(jī)機(jī)的名稱稱。提示：如圖1-44所示，“XXGLDOMAIN”是筆者運(yùn)運(yùn)行MBSA的計(jì)算機(jī)機(jī)所屬的的工作組組名稱，，“U”是計(jì)算機(jī)機(jī)名稱。。方法2：在“IPaddress”文本框框中輸入入計(jì)算機(jī)機(jī)的IP地址。在此文本本框中允允許輸入入在同一一個(gè)網(wǎng)段段中的任任意IP地址，但但不能輸輸入跨網(wǎng)網(wǎng)段的IP，否則會(huì)會(huì)提示“Computernotfound（計(jì)算機(jī)機(jī)沒有找找到）”的信息。。②設(shè)定安全全報(bào)告的的名稱格格式。每次掃描描成功后后，MBSA會(huì)將掃描描結(jié)果以以“安全報(bào)告告”的形式自自動(dòng)地保保存起來來。MBSA允許用戶戶自行定定義安全全報(bào)告的的文件名名格式，，只要在在“Securityreportname””文本框中中輸入文文件格式式即可。。提示：MBSA提供兩種種默認(rèn)的的名稱格格式：“%D%-%C%（%T%）”（域名——計(jì)算機(jī)機(jī)名（日日期戳）））和“%D%—%IP%（%T%）”（域名-IP地址（日日期戳）））。MBSA成功掃描描計(jì)算機(jī)機(jī)③設(shè)定掃描描中要檢檢測(cè)的項(xiàng)項(xiàng)目。MBSA允許檢測(cè)測(cè)包括Office、IIS等在內(nèi)的的多種微微軟軟件件產(chǎn)品的的漏洞。。在默認(rèn)認(rèn)情況下下，無論論計(jì)算機(jī)機(jī)是否安安裝了以以上軟件件，MBSA都要檢測(cè)測(cè)計(jì)算機(jī)機(jī)上是否否存在以以上軟件件的漏洞洞。這不不但浪費(fèi)費(fèi)掃描時(shí)時(shí)間，而而且影響響掃描速速度。用用戶可以以根據(jù)自自身情況況進(jìn)行選選擇，對(duì)對(duì)于一些些沒有安安裝的軟軟件可以以不選，，例如，，若沒有有安裝SQLServer，則可不不選中“CheckforSQLadministrativevulnerabilities””復(fù)選框，，這樣能能縮短掃掃描時(shí)間間，提高高掃描速速度?；谶@點(diǎn)點(diǎn)考慮，，MBSA提供了讓讓用戶自自主選擇擇檢測(cè)項(xiàng)項(xiàng)目的功功能。只只要用戶戶選中（（或取消消）“Options”中某個(gè)復(fù)復(fù)選框，，就可讓讓MBSA檢測(cè)（或或忽略））該項(xiàng)目目。提示：允許用用戶自主主選擇的的項(xiàng)目只只有“CheckforWindowsadministrativevulnerabilities”（檢查Windows的漏洞））、“Checkforweakpasswords”（檢查密密碼的安安全性））、“CheckforIISadministrativevulnerabilities””（檢查IIS系統(tǒng)的漏漏洞）、、“CheckforSQLadministrativevulnerabilities””（檢查SQLServer的漏洞））4項(xiàng)。至于于其他項(xiàng)項(xiàng)目（如如Office軟件的漏漏洞等））MBSA會(huì)強(qiáng)制掃掃描。MBSA成功掃描描計(jì)算機(jī)機(jī)④設(shè)定安全全漏洞清清單的下下載途徑徑。MBSA的工作原原理：以以一份包包含了所所有已發(fā)發(fā)現(xiàn)的漏漏洞的詳詳細(xì)信息息（如什什么軟件件隱含漏漏洞、漏漏洞存在在的具體體位置、、漏洞的的嚴(yán)重級(jí)級(jí)別等））的安全全漏洞清清單為藍(lán)藍(lán)本，全全面掃描描計(jì)算機(jī)機(jī)，將計(jì)計(jì)算機(jī)上上安裝的的所有軟軟件與安安全漏洞洞清單進(jìn)進(jìn)行對(duì)比比。如果果發(fā)現(xiàn)某某個(gè)漏洞洞，MBSA就會(huì)將其其寫入到到安全報(bào)報(bào)告中。。因此，，要想讓讓MBSA準(zhǔn)確地檢檢測(cè)出計(jì)計(jì)算機(jī)上上是否存存在漏洞洞，安全全漏洞清清單的內(nèi)內(nèi)容是否否是最新新的就至至關(guān)重要要了。由由于新的的漏洞不不斷被發(fā)發(fā)現(xiàn)，所所以我們們要像更更新防病病毒軟件件的病毒毒庫(kù)一樣樣，及時(shí)時(shí)更新安安全漏洞洞清單。。MBSA提供了以以下兩種種更新方方法。方法1：從微軟軟官方網(wǎng)網(wǎng)站上下下載。微軟會(huì)在在它的官官方網(wǎng)站站上及時(shí)時(shí)發(fā)布最最新的安安全漏洞洞清單，，所以MBSA被默認(rèn)設(shè)設(shè)置為每每一次掃掃描時(shí)自自動(dòng)鏈接接到微軟軟官方網(wǎng)網(wǎng)站下載載最新的的安全漏漏洞清單單。此方方法適用用于能連連入Internet的計(jì)算機(jī)機(jī)用戶。。方法2：從SUS服務(wù)器上上下載。。有些局域域網(wǎng)中架架設(shè)了SUS（SoftwareUpdateServices，軟件升升級(jí)服務(wù)務(wù)）服務(wù)務(wù)器，所所以此類類用戶可可以選擇擇此方法法下載最最新的安安全漏洞洞清單，，只要選選中“UseSUSServer””復(fù)選框，，并在其其下的文文本框中中輸入SUS的地址即即可。返回MBSA成功掃描描計(jì)算機(jī)機(jī)活動(dòng)2防護(hù)系統(tǒng)漏洞洞【任務(wù)描描述】雖然MBSA能幫人們們檢測(cè)出出系統(tǒng)的的漏洞，，但是不不能幫人人們修復(fù)復(fù)漏洞，，有沒有有好的辦辦法修復(fù)復(fù)漏洞呢呢？【任務(wù)分分析】對(duì)于服務(wù)務(wù)器操作作系統(tǒng)如如Windows2003、Windows2008，人們可可以利用用系統(tǒng)自自帶的自自動(dòng)更新新功能修修復(fù)漏洞洞。對(duì)于于WindowsXP、WindowsVista等個(gè)人版版操作系系統(tǒng)，既既可以采采用系統(tǒng)統(tǒng)自帶的的自動(dòng)更更新功能能，也可可以采用用更為人人性化和和方便的的第三方方漏洞修修復(fù)軟件件，如360安全衛(wèi)士士。【任務(wù)實(shí)實(shí)戰(zhàn)】方法一：：使用操操作系統(tǒng)統(tǒng)自動(dòng)更更新修復(fù)復(fù)漏洞方法二：：使用第第三方軟軟件進(jìn)行行更新（（以360安全衛(wèi)士士為例））方法一：使用操作作系統(tǒng)自動(dòng)動(dòng)更新修復(fù)復(fù)漏洞一般情況下下，比較著著名的系統(tǒng)統(tǒng)軟件都會(huì)會(huì)不定期地地發(fā)布補(bǔ)丁丁。對(duì)于Windows操作系統(tǒng)，，由于它們們具備自動(dòng)動(dòng)更新的功功能，因此此只要微軟軟發(fā)布補(bǔ)丁丁程序，而而且操作系系統(tǒng)的自動(dòng)動(dòng)更新設(shè)置置為開啟狀狀態(tài)并連接接上了Internet，則操作系系統(tǒng)會(huì)及時(shí)時(shí)下載補(bǔ)丁丁程序，修修補(bǔ)漏洞。。以WindowsXP操作系統(tǒng)為為例，進(jìn)行行自動(dòng)更新新配置，步步驟如下：打開“開始”菜單，選擇擇“設(shè)置”→“控制面板”，在新開啟啟的窗口中中雙擊“自動(dòng)更新”，打開如圖圖1-49所示的對(duì)話話框，查看看當(dāng)前計(jì)算算機(jī)的自動(dòng)動(dòng)更新配置置。圖1-49““自動(dòng)更新”對(duì)話框方法2：使用第三三方軟件進(jìn)進(jìn)行更新（（以360安全衛(wèi)士為為例）通過網(wǎng)絡(luò)下下載360安全衛(wèi)士，，按步驟安安裝完成后后，選擇““修復(fù)漏洞洞”選項(xiàng)卡卡，360安全衛(wèi)士會(huì)會(huì)對(duì)系統(tǒng)的的漏洞情況況進(jìn)行掃描描，如圖1-50所示。安全全衛(wèi)士并不不是把所有有的補(bǔ)丁都都讓用戶下下載，而是是把補(bǔ)丁劃劃分為高危危補(bǔ)丁和功功能性更新新補(bǔ)丁，高高危補(bǔ)丁是是360安全衛(wèi)士強(qiáng)強(qiáng)烈建議用用戶必須打打的，而功功能性補(bǔ)丁丁是360安全衛(wèi)士建建議可以不不打的，而而且使用360安全衛(wèi)士打打補(bǔ)丁比從從微軟官方方網(wǎng)站下載載有一個(gè)優(yōu)優(yōu)勢(shì)，即360安全衛(wèi)士的的服務(wù)器先先要測(cè)試這這些補(bǔ)丁，，這些補(bǔ)丁丁沒有問題題，才讓用用戶去安全全地打補(bǔ)丁丁。圖1-50利用360安全衛(wèi)士修修補(bǔ)漏洞活動(dòng)2防護(hù)系統(tǒng)漏漏洞【任務(wù)拓展展】一、理論題題1．什么是系系統(tǒng)漏洞？？2．系統(tǒng)漏洞洞有哪些危危害？二、實(shí)訓(xùn)利用MBSA對(duì)遠(yuǎn)程單臺(tái)臺(tái)主機(jī)進(jìn)行行掃描（操操作提示：：①在目標(biāo)計(jì)算算機(jī)上以Administrator賬戶或Administrators組中的成員員登錄系統(tǒng)統(tǒng)，并開啟啟Guest賬戶；②將Guest賬戶添加到到Administrators組中；③修改目標(biāo)計(jì)計(jì)算機(jī)組策策略，使Guest賬戶擁有遠(yuǎn)遠(yuǎn)程訪問權(quán)權(quán)限）任務(wù)4操作系統(tǒng)補(bǔ)丁更新服服務(wù)器配置置活動(dòng)一WSUS的部署活動(dòng)二利用用WSUS進(jìn)行補(bǔ)丁分分發(fā)任務(wù)分析活動(dòng)1WSUS的部署【任務(wù)描述述】鑒于公司補(bǔ)補(bǔ)丁管理的的無效狀態(tài)態(tài)，小齊決決定看看有有沒有什么么好的辦法法給公司內(nèi)內(nèi)部的計(jì)算算機(jī)打補(bǔ)丁丁，并進(jìn)行行補(bǔ)丁管理理。【任務(wù)分析析】由于公司都都是Windows操作系統(tǒng)，，小齊訪問問了微軟中中國(guó)網(wǎng)站了了解到微軟軟正好有這這么一款軟軟件WSUS，用來進(jìn)行行補(bǔ)丁的分分發(fā)和管理理，小齊決決定就用它它了。步驟1登錄微軟網(wǎng)網(wǎng)站下載WSUS3.0sp2。WSUS3.0sp2是免費(fèi)軟件件，因此可可以去微軟軟的官網(wǎng)直直接下載，，也可以去去各大軟件件下載網(wǎng)站站下載。步驟2準(zhǔn)備WSUS3.0的安裝。安裝WSUS3.0之前，需要要在你的機(jī)機(jī)器上安裝裝以下組件件。當(dāng)這些些組件安裝裝完成后需需要重新啟啟動(dòng)機(jī)器。。WSUS3.0可以在WindowsServer2003家族操作系系統(tǒng)上安裝裝。以下是是需要安裝裝的組件：：①Internet信息服務(wù)（（IIS）6.0。②后臺(tái)智智能傳送服服務(wù)（BITS）2.0。③Microsoft.NETFramework2.0。④管理控控制臺(tái)（MMC）3.0。⑤MicrosoftReportViewer。以上組件都都可以去微微軟的官方方網(wǎng)站直接接下載安裝裝。步驟3WSUS服務(wù)器的安安裝。（1）做好安裝裝前的準(zhǔn)備備工作后我我們就可以以進(jìn)行WSUS3.0的安裝了，，如圖1-51所示，啟動(dòng)動(dòng)WSUS3.0的安裝程序序后出現(xiàn)了了安裝向?qū)?dǎo)。（2）安裝模式式選擇，如如圖1-52所示，選擇擇“包括管管理控制臺(tái)臺(tái)的完整服服務(wù)器安裝裝”，這樣樣才能在此此計(jì)算機(jī)上上安裝WSUS服務(wù)器。圖1-51安裝向?qū)D1-52安裝模式選選擇（3）選擇安裝裝模式后，，單擊“下下一步”按按鈕。（4）選擇更新新源，如圖圖1-53所示，在安安裝向?qū)У牡摹斑x擇更新源源”對(duì)話框中，，可以指定定客戶端獲獲得更新的的位置。如如果選中“本地存儲(chǔ)更更新”復(fù)選框，則則會(huì)更新存存儲(chǔ)在WSUS3.0服務(wù)器上，，需要在文文件系統(tǒng)中中選擇一個(gè)個(gè)用于存儲(chǔ)儲(chǔ)更新的位位置。如果果不在本地地存儲(chǔ)更新新，客戶端端計(jì)算機(jī)將將連接到MicrosoftUpdate以獲取已審審批的更新新。請(qǐng)將存存儲(chǔ)位置放放到系統(tǒng)盤盤以外的分分區(qū)上存放放，同時(shí)該該分區(qū)容量量推薦不要要少于20GB，然后單擊擊“下一步”按鈕。圖1-53選擇更新源源（5）選擇WSUS的數(shù)據(jù)庫(kù)，，如圖1-54所示，本例例WSUS后臺(tái)數(shù)據(jù)庫(kù)庫(kù)選用自帶帶的WMSDE，設(shè)置數(shù)據(jù)據(jù)庫(kù)的存儲(chǔ)儲(chǔ)目錄為E:\update。也可以選選擇本地或或遠(yuǎn)程的SQLServer數(shù)據(jù)庫(kù)，只只需要選擇擇第二項(xiàng)或或第三項(xiàng)并并填寫數(shù)據(jù)據(jù)庫(kù)服務(wù)器器的地址。。圖1-54數(shù)據(jù)庫(kù)選項(xiàng)項(xiàng)（6）在“網(wǎng)站選擇”對(duì)話框中，，指定WSUS3.0將使用的網(wǎng)網(wǎng)站，如圖圖1-55所示。如果果要在端口口80上使用默認(rèn)認(rèn)IIS網(wǎng)站，請(qǐng)選選擇第一個(gè)個(gè)選項(xiàng)。如如果端口80上已有一個(gè)個(gè)網(wǎng)站，可可通過選擇擇第二個(gè)選選項(xiàng)在端口口8530上創(chuàng)建備用用站點(diǎn)。部部署時(shí)選擇擇開通8530端口，建立立一個(gè)新IIS站點(diǎn)（強(qiáng)烈烈建議使用用此選項(xiàng)，，建議在默默認(rèn)網(wǎng)站上上不加載任任何Web應(yīng)用程序））。圖1-55網(wǎng)站選擇（7）在“準(zhǔn)備安裝WindowsServerUpdateServices”對(duì)話框中，，檢查各項(xiàng)項(xiàng)選擇，然然后單擊“下一步”按鈕。（8）安裝向?qū)?dǎo)的最后一一頁(yè)將說明明WSUS3.0安裝是否成成功完成。。單擊“完成”按鈕后，將將自動(dòng)運(yùn)行行配置向?qū)?dǎo)。步驟4WSUS服務(wù)器的配配置及應(yīng)用用。在完成了WSUS的安裝后，，安裝程序序會(huì)自動(dòng)跳跳轉(zhuǎn)到“WSUS的配置向?qū)?dǎo)”，根據(jù)此向向?qū)?，就可可以完成WSUS的配置了。。（1）詢問服務(wù)務(wù)器防火墻墻是否允許許客戶端訪訪問服務(wù)器器，能夠?qū)⒎?wù)器連連接到上游游服務(wù)器，，用戶是否否具有代理理服務(wù)器憑憑證。（2）詢問是否否加入MicrosoftUpdate改善計(jì)劃。。（3）選擇上游游服務(wù)器，，此處有兩兩個(gè)選項(xiàng)，，如圖1-56所示。第一一項(xiàng)是“從從MicrosoftUpdate進(jìn)行同步”，就是從微微軟的更新新網(wǎng)站進(jìn)行行下載補(bǔ)丁丁并保持同同步更新，，當(dāng)公司的的內(nèi)網(wǎng)中只只有一臺(tái)WSUS服務(wù)器的時(shí)時(shí)候我們選選擇這個(gè)選選項(xiàng)，當(dāng)公公司有兩臺(tái)臺(tái)以上WSUS服務(wù)器部署署的時(shí)候，，可以讓第第一臺(tái)指向向微軟的更更新站點(diǎn)，，而其他的的WSUS服務(wù)器選擇擇第二項(xiàng)，，指向第一一臺(tái)WSUS服務(wù)器，這這樣就加快快了更新速速度。圖1-56選擇上游服服務(wù)器（4）設(shè)置代理理服務(wù)器。。沒有代理理服務(wù)器就就不設(shè)置，，然后就可可以開始連連接微軟的的Update服務(wù)器進(jìn)行行連接了。。（5）連接到上上游服務(wù)器器，從WindowsUpdate中下載更新新信息，連連接時(shí)間視視網(wǎng)速、時(shí)時(shí)間段而定定，這里只只能耐心等等待連接完完成了，如如圖1-57所示。圖1-57開始進(jìn)行連連接（6）連接完成成后，出現(xiàn)現(xiàn)選擇更新新文件的語(yǔ)語(yǔ)種，選擇擇“中文(簡(jiǎn)體)”，如圖1-58所示。圖1-58選擇同步更更新的語(yǔ)言言（7）選擇更新新的產(chǎn)品，，根據(jù)實(shí)際際需要選擇擇公司內(nèi)部部的微軟產(chǎn)產(chǎn)品，小齊齊從來沒有有接觸過WSUS服務(wù)器，因因此為了穩(wěn)穩(wěn)妥起見，，只選擇WindowsXP操作系統(tǒng)的的更新，如如圖1-59所示的產(chǎn)品品列表中包包括了微軟軟所有的產(chǎn)產(chǎn)品，從操操作系統(tǒng)到到應(yīng)用軟件件都可以選選擇。圖1-59選擇更新的的產(chǎn)品（8）選擇更新新