之前的文章:Microsoft Baseline Security Analyzer(MBSA)有介紹到如何掃描線上(online)與離線(offline)本機電腦的安全性狀態,而今天會介紹如何使用MBSA來掃描遠端電腦,這樣的好處是只要有一台主機安裝MBSA軟體,就可以掃描整個環境中的電腦,不需要一台一台的安裝MBSA軟體來檢測。
1.防火牆未開通
可以輸入FQDN或IP address
掃描結果竟然出現 Result: Cannot contact Windows Update Agent on target computer, possibly due to firewall settings.,如紅框部分,意思是MBSA無法連接到Windows Update Agent,可能是防火牆設定的問題。查了一下發現除了要開啟135,137,138,445 Port之外還要開啟1024-65535的Port 才可以讓MBSA連到目標主機的Windows Update Agent,這邊大家會發現這樣幾乎把所有的Port全都開放了,有資安概念的朋友應該會覺得這樣開有一定的危險性,所以在設定時切記要綁定來源IP。
開啟掃描標地防火牆Policy
控制台->防火牆->進階設定->輸入規則->新增規則
填入135,137,138,445,1024-65535
為了達到更嚴謹的資安需求,剛剛所開的Port只允許MBSA主機做使用,故請將紅框的部分填入MBSA主機IP。
在掃描一次後剛剛的錯誤訊息就不存在了。
2.權限不足
如果您的環境有Active Directory,比較不會有這類的問題。但如果您要掃描的是獨立Workgroup主機,就有可能會出現以下的錯誤訊息。
錯誤訊息: Logon failure: unknown user name or bad password.
解決方法:在目標主機裡新增一筆Administrator帳號,這個帳號密碼要與MBSA登入的帳號密碼一樣。
目前Chris遇到最多的問題就是這兩個,不過每家公司的環境都不同,如果有遇到其他不同的問題,歡迎留言討論嘍。
沒有留言:
張貼留言
如您對本文有任何建議或意見,歡迎您留下您寶貴的意見!