要想讓MBSA成功掃描計(jì)算機(jī)，需在此對(duì)話框中進(jìn)行正確地參數(shù)設(shè)置：

　　⑴設(shè)定要掃描的對(duì)象

　　告訴MBSA要掃描的計(jì)算機(jī)是掃描成功的基礎(chǔ)。MBSA提供兩種方法：

　　方法1：在“Computer name”文本框中輸入計(jì)算機(jī)名稱，格式為“工作組名\計(jì)算機(jī)名”。

　　默認(rèn)情況下，MBSA會(huì)顯示運(yùn)行MBSA的計(jì)算機(jī)的名稱，如圖2所示，“WORKGROUP”是筆者運(yùn)行MBSA的計(jì)算機(jī)所屬的工作組名稱，“JXNO”是計(jì)算機(jī)名稱。

　　方法2：在“IP aDDRess”文本框中輸入計(jì)算機(jī)的IP地址。

　　在此文本框中允許輸入在同一個(gè)網(wǎng)段中的任意IP地址，但不能輸入跨網(wǎng)段的IP，否則會(huì)提示“Computer not found.”（計(jì)算機(jī)沒有找到）的信息。

　　⑵設(shè)定安全報(bào)告的名稱格式

　　每次掃描成功后，MBSA會(huì)將掃描結(jié)果以“安全報(bào)告”的形式自動(dòng)地保存起來。MBSA允許用戶自行定義安全報(bào)告的文件名格式，只要在“Security report name”文本框中輸入文件格式即可。

　　MBSA提供兩種默認(rèn)的名稱格式：“%D% - %C% (%T%)”（域名-計(jì)算機(jī)名(日期戳)）和“%D% - %IP% (%T%)”（域名-IP地址(日期戳)）。

　　⑶設(shè)定掃描中要檢測的項(xiàng)目

　　MBSA允許檢測包括Office、IIS等在內(nèi)的多種微軟軟件產(chǎn)品的漏洞。在默認(rèn)情況下，無論計(jì)算機(jī)是否安裝了以上軟件，MBSA都要檢測計(jì)算機(jī)上是否存在以上軟件的漏洞。這不但浪費(fèi)掃描時(shí)間，而且影響掃描速度。用戶可以根據(jù)自身情況進(jìn)行選擇，對(duì)于一些沒有安裝的軟件可以不選，例如：若沒有安裝SQL Server，則可不選中“Check for SQL vulnerabilities”復(fù)選項(xiàng)，這樣能縮短掃描時(shí)間，提高掃描速度。

　　基于這點(diǎn)考慮，MBSA提供了讓用戶自主選擇檢測的項(xiàng)目的功能。只要用戶選中（或取消）“Options”中某個(gè)復(fù)選項(xiàng)，就可讓MBSA檢測（或忽略）該項(xiàng)目。

　　不過，允許用戶自主選擇的項(xiàng)目只有“Check for Windows vulnerabilities”（檢查Windows的漏洞）、“Check for weak passwords”（檢查密碼的安全性）、“Check for IIS vulnerabilities”（檢查IIS系統(tǒng)的漏洞）、“Check for SQL vulnerabilities”（檢查SQL Server的漏洞）等四項(xiàng)。

　　至于其它項(xiàng)目（如：Office軟件的漏洞等）MBSA會(huì)強(qiáng)制掃描。

　�、仍O(shè)定安全漏洞清單的下載途徑

　　MBSA的工作原理是：以一份包含了所有已發(fā)現(xiàn)的漏洞的詳細(xì)信息（如：什么軟件隱含漏洞、漏洞存在的具體位置、漏洞的嚴(yán)重級(jí)別等）的安全漏洞清單為藍(lán)本，全面掃描計(jì)算機(jī)，將計(jì)算機(jī)上安裝的所有軟件與安全漏洞清單進(jìn)行對(duì)比。如果發(fā)現(xiàn)某個(gè)漏洞，MBSA就會(huì)將其寫入到安全報(bào)告中。

　　因此，要想讓MBSA準(zhǔn)確地檢測出計(jì)算機(jī)上是否存在漏洞，安全漏洞清單的內(nèi)容是否是最新的就至關(guān)重要了。

　　由于新的漏洞不斷被發(fā)現(xiàn)，所以我們要像更新防病毒軟件的病毒庫一樣，及時(shí)更新安全漏洞清單。MBSA提供了兩種更新方法：

　�、購奈④浌俜骄W(wǎng)站上下載

　　微軟會(huì)在它的官方網(wǎng)站上及時(shí)發(fā)布最新的安全漏洞清單，所以MBSA被默認(rèn)設(shè)置為每一次掃描時(shí)自動(dòng)鏈接到微軟官方網(wǎng)站下載最新的安全漏洞清單。

　　如果用戶已經(jīng)下載了最新的安全漏洞清單，則可取消“Check for security updates”復(fù)選項(xiàng)。否則應(yīng)該選中此復(fù)選項(xiàng)，以確保安全漏洞清單的內(nèi)容是最新的。

　　此方法適用于能連入Internet的計(jì)算機(jī)用戶。

　　②從SUS服務(wù)器上下載

　　有些局域網(wǎng)中架設(shè)了SUS（Software Update Services，軟件升級(jí)服務(wù)）服務(wù)器，所以此類用戶可以選擇此方法下載最新的安全漏洞清單，只要選中“Use SUS Server”復(fù)選框，并在其下的文本框中輸入SUS的地址即可。

　　第二步：用戶根據(jù)自身情況設(shè)置好各項(xiàng)參數(shù)后單擊“Start Scan”菜單，將彈出“Scanning”對(duì)話框（如圖3），MBSA將開始掃描指定的計(jì)算機(jī)。

　　第三步：掃描完成后，MBSA會(huì)將掃描的結(jié)果以安全報(bào)告的形式保存到“X:\Documents and Settings\username\SecurityScans”（X：指Windows的系統(tǒng)分區(qū)符，username：是操作MBSA的用戶名）文件夾中。

　　　第四步：此時(shí)，MBSA還會(huì)自動(dòng)彈出“View security report”對(duì)話窗（如圖4），將剛生成的安全報(bào)告的內(nèi)容顯示出來。

　　用戶可以根據(jù)安全報(bào)告的“Score”列中不同顏色的圖標(biāo)來簡單區(qū)分被掃描的計(jì)算機(jī)上哪些方面存在漏洞，哪些方面需要改進(jìn)，如：

　　●綠色的“√”圖標(biāo)表示該項(xiàng)目已經(jīng)通過檢測。
　 ●紅色（或黃色）的“×”圖標(biāo)表示該項(xiàng)目沒有通過檢測，即存在漏洞或安全隱患。
　 ●藍(lán)色的“*”圖標(biāo)表示該項(xiàng)目雖然通過了檢測但可以進(jìn)行優(yōu)化，或者是由于某種原因MBSA跳過了其中的某項(xiàng)檢測。
　 ●白色的“i”圖標(biāo)表示該項(xiàng)目雖然沒有通過檢測，但問題不很嚴(yán)重，只要進(jìn)行簡單的修改即可。
　
　 但是這種判斷方法很不準(zhǔn)確，正確的方法是查看檢測項(xiàng)目的“Result”列中是否含有“How to correct this”（如何修正它）選項(xiàng)。只要有項(xiàng)目存在，用戶就應(yīng)該單擊“How to correct this”選項(xiàng)。然后根據(jù)提供的解決方法，或是下載相應(yīng)的補(bǔ)丁程序，或是修改相關(guān)的設(shè)置，就可修正存在的問題。

　　例如：安全報(bào)告提示“IE Zones”（IE區(qū)域設(shè)置）項(xiàng)目沒有通過檢測，單擊“How to correct this”選項(xiàng)后都將彈出信息提示窗（如圖5），根據(jù)“Solution”（解決方法）處的文字信息得知，只要按照“Instructions”（提示信息）中的步驟更改IE的區(qū)域設(shè)置值即可解決。

　　（二）掃描多臺(tái)計(jì)算機(jī)

　　此項(xiàng)功能是“掃描一臺(tái)計(jì)算機(jī)”功能的延伸，只是將掃描對(duì)象擴(kuò)大到網(wǎng)絡(luò)中的一個(gè)域或IP地址段，它的工作原理與“掃描一臺(tái)計(jì)算機(jī)”功能的相同，即：以安全漏洞清單為藍(lán)本，對(duì)指定域（或IP地址段）中的所有計(jì)算機(jī)逐一進(jìn)行掃描。

　　注意：MBSA只能掃描網(wǎng)絡(luò)中安裝了Windows NT 4.0?2000?XP?Server 2003操作系統(tǒng)的計(jì)算機(jī)，而不能掃描Windows 9X?Me系統(tǒng)的計(jì)算機(jī)。

　　具體的操作步驟如下：

　　第一步：單擊MBSA主窗口中的“Scan more than one computer”（或“Pick multiple computer to scan”）菜單，將彈出“Pick multiple computer to scan”對(duì)話框（如圖6）。

　　在此對(duì)話框中也要進(jìn)行必要的、準(zhǔn)確的設(shè)置。但由于此功能是“掃描一臺(tái)計(jì)算機(jī)（Scan a computer）”功能的擴(kuò)展，所以“Security report name”和“Options”處的設(shè)置用戶可以參照操作。

　　不同的是“指定要掃描的對(duì)象”方面：用戶只要在“Domain name”文本框中輸入要被掃描的域的名稱，或在“IP address range”文本框中輸入要被掃描的IP地址范圍，就能讓MBSA掃描某個(gè)域（或IP地址段）中的所有計(jì)算機(jī)。

　　注意，無論域（或IP地址段）中的所有計(jì)算機(jī)安裝的軟件是否相同，MBSA都將依據(jù)“Options”處的設(shè)置“一視同仁”地掃描每臺(tái)計(jì)算機(jī)。

　　 第二步：設(shè)定好各項(xiàng)參數(shù)后單擊“Start Scan”菜單，將彈出“Scanning”對(duì)話框（如圖7），MBSA將依次掃描域（或IP地址段）中的每臺(tái)計(jì)算機(jī)。完成掃描所需的時(shí)間與被掃描的計(jì)算機(jī)數(shù)量和設(shè)置的掃描項(xiàng)目有關(guān)。

　　第三步：與“掃描一臺(tái)計(jì)算機(jī)”功能不同的是，掃描結(jié)束后，將彈出“Unable to scan all computers”對(duì)話窗（如圖8）。在此對(duì)話窗中，將列舉沒有掃描成功的計(jì)算機(jī)名（或IP地址）及原因。掃描失敗的原因有兩種：

　�、拧癠ser is not an administrator on the scanned machine.”：被掃描的計(jì)算機(jī)上的用戶不是系統(tǒng)管理員。

　　造成這種情況出現(xiàn)的原因主要有：用戶沒有以“Administrator”的用戶名登錄操作MBSA的計(jì)算機(jī)上；或者，被掃描的計(jì)算機(jī)設(shè)置了登錄密碼。

　�、啤癟his is not a Windows NT/200/XP/2003 Server or Workstation.”：被掃描的計(jì)算機(jī)不是Windows NT 4.0?2000?XP?Server 2003系統(tǒng)，或者不是工作站。

　　造成這種情況出現(xiàn)的原因是：被掃描的計(jì)算機(jī)沒有安裝Windows NT 4.0?2000?XP?Server 2003操作系統(tǒng)，可能安裝了Windows 9X/Me系統(tǒng)，或者安裝了非Windows操作系統(tǒng)，如：Linux等；或者，被掃描的根本就不是計(jì)算機(jī)，可能是其它網(wǎng)絡(luò)設(shè)備，如路由器等。

　　 第四步：在“Unable to scan all computers”對(duì)話窗的底部還會(huì)顯示以下菜單之一，以引導(dǎo)用戶進(jìn)行下一步操作：

　�、湃麸@示“Continue”菜單：說明此次掃描中沒有一臺(tái)計(jì)算機(jī)掃描成功。單擊此菜單后將返回到MBSA的主窗口。

　　⑵若顯示“Pick a security report to view”菜單：說明此次掃描中至少有一臺(tái)計(jì)算機(jī)成功的完成掃描并生成了安全報(bào)告。單擊此菜單后將彈出“Pick a security report to view”對(duì)話窗。此時(shí)，MBSA將顯示所有掃描成功的計(jì)算機(jī)的安全報(bào)告，供用戶選擇查看其詳細(xì)內(nèi)容

　　說明：此時(shí)無論掃描成功的計(jì)算機(jī)是幾臺(tái)，MBSA都不會(huì)生成綜合性的安全報(bào)告，而是為每一臺(tái)計(jì)算機(jī)生成各自單獨(dú)的安全報(bào)告。

　　（三）選擇?查看安全報(bào)告

　　單擊MBSA主窗口中的“Pick a security report to view”（或“View existing security reports”）菜單，將彈出“Pick a security report to view”窗口（如圖9）。在此窗口中，MBSA將列出已有的所有安全報(bào)告清單（包括安全報(bào)告名、生成日期等信息），雙擊安全報(bào)告名就可查看其詳細(xì)內(nèi)容。

　　安全報(bào)告的具體內(nèi)容、格式、操作方法與“掃描一臺(tái)計(jì)算機(jī)”部分的第三步和第四步大同小異，用戶可以參照操作。

　　命令行用法

　　MBSA不但能以GUI界面運(yùn)行，還能在命令提示符下運(yùn)行，執(zhí)行其安裝目錄下的mbsacli.exe文件就能實(shí)現(xiàn)。mbsacli.exe文件不僅提供了豐富、靈活的參數(shù)，而且還支持二種語法結(jié)構(gòu)：

　�、乓环N是MBSA標(biāo)準(zhǔn)的命令行語法結(jié)構(gòu)，即“mbsacli 參數(shù)”格式。在命令提示符下運(yùn)行“mbsacli /？”（僅雙引號(hào)內(nèi)的文字）命令可以顯示詳細(xì)的語法信息。

　　 ⑵另一種是模擬補(bǔ)丁檢查工具HFNetChk的命令行語法結(jié)構(gòu)，即“mbsacli /hf 參數(shù)”格式。運(yùn)行“mbsacli /hf /？”（僅雙引號(hào)內(nèi)的文字）命令可以顯示詳細(xì)的語法信息。

　　mbsacli.exe還能用于各種腳本環(huán)境中，如：命令腳本（.bat或.cmd文件）、WSH腳本（.vbs或.js文件）等。通過這些腳本的調(diào)用，結(jié)合Windows系統(tǒng)的其它功能（如：“計(jì)劃任務(wù)”功能）就能實(shí)現(xiàn)對(duì)計(jì)算機(jī)的靈活掃描。

　　此外，在MBSA的安裝目錄下還有兩個(gè)文本文件，編輯它們能定制MBSA的掃描過程和方式：

　　 ⑴services.txt文件：包含了MBSA要掃描的服務(wù)（如圖10），默認(rèn)值為MSFTPSVC、TlntSvr、W3SVC和SMTPSVC服務(wù)。添加（或刪除）服務(wù)名可以讓MBSA掃描（或忽略）對(duì)該服務(wù)的檢測。

　�、苙oexpireok.txt文件：包含了MBSA不掃描的賬戶名（如圖11），如：IUSR_*、IWAM_*、SUPPORT_*、SQLDebugger等。刪除（或添加）賬戶名可以讓MBSA增加（或忽略）對(duì)該賬戶的檢測。

　　注意事項(xiàng)

　　MBSA雖然好用，但是在使用過程中還需注意以下事項(xiàng)：
　　 1、MBSA對(duì)Windows、Office、IIS等軟件進(jìn)行的掃描包括兩種：
　　 ⑴“安全掃描”是指掃描以上軟件是否進(jìn)行了安全的配置，如：IIS鎖定工具是否已運(yùn)行，文件系統(tǒng)的類型是否都采用了NTFS格式等。
　　 ⑵“更新掃描”是指掃描以上軟件是否安裝了最新的補(bǔ)丁程序。

　　2、MBSA執(zhí)行的是微軟所謂的“基準(zhǔn)掃描”，即只掃描和報(bào)告Windows Update定義的“關(guān)鍵更新”，而不是掃描和報(bào)告所有的更新。而且MBSA不會(huì)自動(dòng)安裝更新，需用戶另行操作完成。否則，漏洞依然存在。

　　3、MBSA是基于IE頁面開發(fā)的，所以要運(yùn)行MBSA需要 Internet Explorer 5.01 以上才行，而且IE的所有設(shè)置項(xiàng)都會(huì)影響MBSA的運(yùn)行。

　　4、每次掃描后生成的安全報(bào)告是以明碼格式保存到固定的文件夾中。因此，容易被黑客利用從而找出計(jì)算機(jī)的漏洞所在。所以建議：對(duì)安全報(bào)告應(yīng)進(jìn)行另行處理（如：打印、備份到其它目錄等），然后徹底刪除“SecurityScans”文件夾中的所有文件，以防被他人利用。

　　結(jié)束語

　　總之，為了確保計(jì)算機(jī)系統(tǒng)的安全，除了安裝安全防護(hù)軟件（如：殺毒軟件、防火墻等）外，及時(shí)安裝漏洞補(bǔ)丁程序是非常重要的。但怎么才能知道哪些補(bǔ)丁程序還沒有安裝呢？使用了MBSA就可以知道地一清二楚。而且MBSA具有其它同類軟件無法比擬的優(yōu)點(diǎn)：除了能檢查Windows的漏洞，還能檢測Office、IIS等微軟產(chǎn)品的漏洞。故建議Windows 2000?XP?2003的用戶下載該軟件，用它檢測出計(jì)算機(jī)中隱含的漏洞和安全隱患，盡早修補(bǔ)，以增強(qiáng)計(jì)算機(jī)的安全性。

　　當(dāng)然，除了MBSA之外，還有很多免費(fèi)或共享漏洞掃描工具（如：HFNetChk、LANguard Network Security Scanner等），它們的功能也很實(shí)用，有興趣的用戶可以一試。