安全设置

关注公众号 jb51net

关闭
网络安全 > 安全设置 >

Windows安全攻略:完全修复系统漏洞的方法介绍

脚本之家

目前互联网上的病毒集团越来越猖狂,对用户的危害也愈演愈烈,大家要懂得保护自己的电脑不受侵犯,隐私不被盗取。记得前段时间一个网友咨询我,抱怨在用360打完补丁后,又安装迅雷软件,这时不厌其烦的提醒你系统还有多少补丁没有打,后来经过研究市面上好多软件都这样例如鲁大师、金山,卡卡等照样会不厌其烦的提醒你系统没有打的补丁。对普通用户而言都晕了,到底打那个,听从那家的软件呢?回忆一下微软的漏洞修补从Windows98就开始了,到了Windows XP及后续的操作系统里,这成为一项默认的安全设置,而且微软还针对桌面端和服务器端的MBSA,SUS,WSUS等软件。
  一、什么是Windows系统漏洞
  系统漏洞这里是特指您的Windows操作系统在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取您电脑中的重要资料和信息并破坏您的系统。Windows系统漏洞问题是与时间紧密相关的。

  一个Windows系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,这些早先被发现的漏洞也会不断被系统供应商:微软公司发布的补丁软件修补,或在以后发布的新版系统中得以纠正。
  而在新版系统纠正了旧版本中具有漏洞的同时,也会引入一些新的漏洞和错误。例如以前流行过的鼠标>漏洞,就是由于利用了Windows系统对鼠标图标处理的缺陷,木马作者制造畸形图标文件从而溢出,木马就可以在用户毫不知情的情况下执行恶意代码。
  二、打补丁是越多越好吗
  打补丁是越多越好吗?普通用户会觉得打补丁是越多越好,一口气把所有补丁全打上,以为自己的电脑被找出漏洞攻击的几率就越小,其实不然,我们细细分析一下,以前在没有第三方打补丁软件时候,我们都是用Windows Update来修复系统,那样很少出现问题因为微软已把补丁顺序都已排好了,大家也需会有个疑问,为什么还有顺序呢?因为上一个重要补丁是为下一个补丁作铺垫的,如果打反了,轻则打不上补丁,重则系统出错无法关机、无法开机甚至直接崩溃需要重新安装!就像穿衣服一样,一般都应该先穿内衣,再穿外套,打补丁也一样。而很多第三方打补丁的软件(一些个人做的批量安装补丁程序)并非如此,为了节省时间,几个补丁一起下载,哪个先下载完成打哪个,就像穿衣服的时候拿到外套就先穿外套,然后再把内裤套外边,您电脑的系统可不是“超人”, 这样穿衣服怎么可能不出问题呢?
\
  现在新系统都有UAC(用户帐户控制),第三方软件权限不可能高于Windows Update,就算一个个修复,会有某个补丁因为权限问题修补不了或者修复不全!补丁程序有两个时间,一个是发布时间,一个是最后更新时间,如果按发布时间为准进行安装,那么显然这个补丁程序就是最新的。
  对于重要的补丁需要立即修复,对于功能性更新补丁用于更新系统或软件的功能,比如Office的一些更新补Windows系统安全更新程序Outlook更新补丁,可以暂缓修复。
  三、安装补丁后为何要重启计算机
  补丁安装过程中由于系统正在运行,文件无法修改,所以要在登录系统之前进行更新。通常情况下Office的补丁直接即可安装,漏洞补丁往往要安装后重启才能生效。
  因为系统运行中一些系统必须进程和文件无法被替换,所以需要重启。
四、Windows系统常用漏洞修补工具介绍
  1. Windows Update
  它是微软提供的一种自动更新工具,通常提供漏洞、驱动、软件的升级。Windows Update是我们用来升级系统的组件,通过它来更新我们的系统,能够扩展系统的功能,让系统支持更多的软、硬件,解决各种兼容性问题,让系统更安全、更稳定。Windows更新比较快每周或每月发布一次。但是,如果出现严重安全威胁(例如影响基于 Windows操作系统的计算机的、广泛传播的病毒),Microsoft 则会在第一时间发布相应的更新程序。


  安全更新支持以下安装开关

. Sus和Wsus
  从上面Windows Update的内容,大家可以了解到Windows Update自动更新程序能够方便用户检测和安装修补程序,但它不利于管理员对修补程序进行集中管理。同时,它还有一个很大的缺陷,在50台机器以上的局域网中,如果管理员用组策略指派了所有的客户机在同一时间内访问Windows Update,以进行检查更新,这个局域网中的代理服务器可能会在此时不堪重负。而SUS就可以非常容易地实现这些Windows Update无法实现的功能。SUS最大的特点就是简单易用。它能够自动地为管理员完成修补程序管理的工作,但不能对Windows 9X等老版本系统提供服务支持。

  Wsus功能比起sus更强大它必须与互联网相联才能更新,从微软官方的更新服务器中获得更新数据。然后根据用户的设置下载相关更新包来分发补丁,同时,在内部各机器上还要作好设置,可以通过策略编辑器将客户机的更新指向该服务器IP即可。WSUS下载来更新包与360等软件下载的更新包是不一样的,他也适合中型企业部署补丁使用。出于安全考虑建议将补丁先安装在虚拟机上测试通过后方可使用。
  注意事项:
  1.Wsus需要您的局域网有企业域环境(AD)。
  2.如果您网络边缘部署防火墙请及时打开80、443、445、8530端口,避免出现阻塞问题。
  3.如果您在大型企业网中部署有时会出现半天都不更新的情况,如果您部署和配置都没有问题,请耐心等待,有时过一晚上第二天就好了。
  3. MBSA
  MBSA(下载)可以检查操作系统和 SQL Server 更新。MBSA 还可以扫描计算机上的不安全配置。检查 Windows 服务包和修补程序时,它将 Windows 组件(如 Internet 信息服务 (IIS) 和 COM+)也包括在内您还可以MBSA(目前尚无中文版)工具来检测您的机器是否安全,在防火墙或路由器将两个网络分开的多域环境中(两个单独的Active Directory域),TCP的139端口和445端口以及UDP的137端口和138端口必须开放,以便MBSA连接和验证所要扫描的远程网络主机。



4. 第三方工具,例如360卫士、金山卫士、鲁大师、卡巴、瑞星等
 
 
6. Zoho ManageEngine Security Manager Plus
  Security Manager Plus 是一种网路安全扫瞄仪,它可以主动报告网路漏洞,帮助修补漏洞以及确保相容性。由於具有漏洞扫瞄、开放埠检测、修补程序管理和漏洞报告功能,Security Manager Plus 是一款完全可以满足用户保护网路免遭安全威胁和恶意攻击的软体。


  红色表示警告有高危风险:
Security Manager Plus
  下图生成详细的报告 通过以上介绍的这些漏洞修复工具,就能让普通用户轻松修补windows系统的漏洞,保证系统的稳定运行。
Security Manager Plus
  (建议:不要在盗版的Window系统中做漏洞修复,那样有可能造成系统故障,甚至是蓝屏或无法启动)
 
 



5. GFI LANguard
  GFI LANguard Network Security Scanner采用黑客可能使用的各种方式来检查你的网络。通过分析你的系统和在你的网络上执行的程序,它可以帮你找出可能的安全漏洞,这样,你可以在黑客发现之前,来采取有效的行动进行弥补。可以检查整个网络,每个IP,并提供有关信息(是否少装文件,哪个口是打开的,等等),产生HTML的报告。