单元1 操作系统安全配置与测试

单元1 操作系统安全配置与测试 [单元学习目标]知识目标1．了解Windows服务器操作系统的安全策略2．掌握Windows服务器操作系统安
全策略的配置方法3．掌握安全配置Web服务器的方法4．掌握服务和端口安全5．了解系统漏洞的概念6．掌握使用MBSA检测系统漏洞的方
法7．掌握企业操作系统补丁更新的方法 [单元学习目标]能力目标1．具备对Windows服务器操作系统进行安全策略配置的能力2．具备
对Windows服务器进行端口和服务安全加固的能力3．具备安全配置Web服务器的能力4．具备利用MBSA扫描系统漏洞并查看报告的能
力5．具备利用微软WSUS服务器为客户端分发和安装系统补丁的能力情感态度价值观1．培养认真细致的工作态度2．逐步形成网络安全的主动
防御意识[单元学习内容]计算机系统安全是网络安全的基础。目前，Windows操作系统是应用最多的计算机操作系统之一，市场占有率始终
维持在90%左右。常用的Windows服务器操作系统包括Windows 2003和Windows Server 2008。任何安全
措施都无法保证万无一失，而强有力的安全措施可以增加入侵的难度，从一定程度上提升系统的安全性。通常情况下，用户安装操作系统后便投入使
用是非常危险的。要想使服务器在复杂的环境下平稳运行，必须进行安全加固。本章将以Windows 2003系统为例进行安全加固，保证系
统安全运行。任务1 Windows系统基本安全设置 活动1 设置本地安全策略【任务描述】齐威公司新购置了几台计算机准备作为服
务器，小齐给它们安装了比较流行的Windows 2003服务器操作系统，而且安装的时候选择的是默认安装。但由于是服务器，对公司来说
非常重要，来不得半点马虎，于是在默认安装结束后，小齐决定对系统进行安全加固。【任务分析】小齐利用网络查找资料了解到，利用Windo
ws Server 2003的安全配置工具来配置安全策略，微软提供了一套基于管理控制台的安全配置和分析工具，可以配置服务器的安全策
略，在管理工具中可以找到“本地安全设置”配置5类安全策略：账户策略、本地策略、公钥策略、软件限制策略和IP安全策略。小齐决定先进行
账户策略的设置。任务1 Windows系统基本安全设置 活动1 设置本地安全策略【任务实战】（1）选择“开始”→“所有程序”
→“管理 工具”→“本地安全策略”，显示“本地安全 设置”窗口。（2）开启账户策略。开启账户策略就可以有效防止字典式攻击，设置如下
。① 单击“账户策略”左边的 ，展开“账户策略”项， 看到“密码策略”与“账户锁定策略”两项。② 选择“账户锁定策略”，在窗口的右
边将出现“复位账户锁定计数器”、“账户锁定时间”、“账户锁定阈值”3项。任务1 Windows系统基本安全设置 活动1 设置
本地安全策略③ 选择“账户锁定阈值”， 单击鼠标右键，选择“属性”，打开“账户锁定阈值属性”对话框。④ 在对话框中选择需要设置的登
录次数，超过该次数后就会锁定该登录账户，以防止非授权用户的无限次尝试登录。其余项目设置与此相同。（3）开启密码策略。密码对系统安全
非常重要。本地安全设置中的密码策略在默认情况下都没有开启。① 选择“密码策略”，在窗口右边窗格中显示策略具体项。任务1 Wind
ows系统基本安全设置 活动1 设置本地安全策略② 以“密码长度最小值”的设置为例，说明密码策略的设置。选择“密码长度最小值”
， 单击鼠标右键，选择“属性”，打开“密码长度最小值 属性”对话框。③ 在“密码必须至少是”文本框中选择要规定的字符个数，然后单击
“应用”按钮，再单击“确定”按钮。这样就设置了密码策略的长度项，其余项的设置与此相同。（4）开启审核策略。安全审核是Windows
Server 2003最基本的入侵检测的方法。当有人尝试对系统进行某种方式（如尝试用户密码、改变账户策略和未经许可的文件访问等）
入侵的时候，都会被安全审核记录下来。① 选择“审核策略”，在窗口右边窗格中显示审核策略具体项。任务1 Windows系统基本安全
设置 活动1 设置本地安全策略② 以“审核策略更改”的设置为例说明审核策略的设置。选择“审核策略更改”，并单击鼠标右键，选择“
属性”，打开“审核策略更改属性”对话框。在“审核这些操作”中选中 “成功”和“失败”复选框，单击“应用”和“确定”按钮，审核策略更
改成功。（5）不显示上次登录名。默认情况下，终端服务接入服务器时候，登录对话框中会显示上次登录的账户名，本地的登录对话框也是一样。
黑客们可以得到系统的一些用户，进而猜测密码。通过修改注册表可以禁止显示上次登录名，方法是在HKEY_LOCAL_MACHINE主键
下修改子键SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon\DontDi
splayLastUserName，将键值修改为“1”。（6）禁止建立空连接。默认情况下，任何用户可以通过空连接进入服务器，进而枚
举出账号，猜测密码。可以通过修改注册表来禁止建立空连接，方法是在HKEY_LOCAL_MACHINE主键下修改子键System\C
urrentControlSet\Control\ LSA\RestrictAnonymous，将键值改为“1”。任务1 Win
dows系统基本安全设置 活动2 关闭不必要的服务和端口【任务描述】小齐已经把服务器进行了密码策略的加固，而且安装上了杀毒软件
，小齐得意地认为这样就可以万无一失了。可是服务器运行一段时间后，小齐发现服务器还是遭受到了多次的黑客入侵和网络病毒的侵袭，这是怎么
回事呢？【任务分析】小齐通过访问微软的官方网站了解到，黑客的入侵和网络病毒的感染都是通过服务器的端口进行的，而Windows系统在
默认情况下，有些没有用的端口和服务是开启的，这就给黑客和病毒有了可乘之机，小齐决定现在就把那些没有用的端口和服务关闭。任务1 W
indows系统基本安全设置 活动2 关闭不必要的服务和端口【任务实战】1．关闭不必要的端口（1）查看端口。主要有两种方式：
一种是利用系统内部的命令查看， 另一种是使用第三方软件查看。方法：利用系统内部命令查看。Netstat工具可以显示有关统计信息和当
前TCP/IP网络连接的情况，通过该工具，用户或网络管理人员可以得到非常详细的统计结果，当网络中没有安装特殊的网管软件，但要对整个
网络的使用状况做详细的了解时，Netstat就非常有用。它可以用来获得系统网络连接的信息（使用端口和在使用的协议等）、收到和发出的
数据、被连接的远程系统的端口等。在命令行状态下，输入以下命令并按Enter键：netstat-a。任务1 Windows系统基本
安全设置 活动2 关闭不必要的服务和端口Foreign Address：指连接该端口的远程计算机的名称和端口号；State：表
明当前计算机TCP的连接状态。主要状态有LISTENING、ESTABLISHED、TIME WAIT。其中LISTENING表示
监听状态，表明主机正在对打开的端口进行监听，等待远程计算机的连接，这比较危险，有可能会被病毒或者黑客作为入侵系统的端口；ESTAB
LISHED表示已经建立起的连接，表明两台主机之间正在通过TCP进行通信；TIME WAIT表示这次连接结束，表明端口曾经有过访问
，但现在访问结束。另外，UDP端口不需要监听。-n 这个参数基本上是-a参数的数字形式， 它是用数字的形式显示信息，这个参数用 于
检测自己的IP，也有些人则因为更喜欢 用数字的形式显示主机名而使用该参数。-e参数显示静态的网卡数据统计情况。任务1 Windo
ws系统基本安全设置 活动2 关闭不必要的服务和端口-p参数用来显示特定的协议所在的端口信息， 它的格式为“netstat –
p xxx”。其中xxx可 以是UDP、IP、ICMP或TCP。-s参数显示在默认的情况下每个协议的配置统计，默认情况下包括TCP
、IP、UDP、ICMP等协议。 -s参数显示在默认的情况下每个协议的 配置统计，默认情况下包括TCP、IP、 UDP、ICMP等
协议。任务1 Windows系统基本安全设置 活动2 关闭不必要的服务和端口Netstat的-a、-n两个参数同时使用时，可
以用来查看系统端口状态，列出系统正在开放的端口号及其状态。Netstat的-a、-n、-b 3个参数同时使用时，可用来查看系统端口
状态，显示每个连接是由哪些程序创建的。任务1 Windows系统基本安全设置 活动2 关闭不必要的服务和端口（2）关闭端口。
步骤1 选择“开始”→ “设置”→“控制面板” →“管理工具”，双击打开“本地安全策略”，选择“IP安全策略，在本地计算机”。在
右边窗格的空白位置右击，弹出快捷菜单，选择“创建 IP 安全策略”，于是弹 出一个向导。在向导中单击“下 一步”按钮。为新的安全策
略命 名为“关闭端口”。 单击“下一步”按钮，则打开“安 全通信请求”对话框，在对话框上 取消选中“激活默认相应规则”， 单击“完
成”按钮就创建了一个新 的IP安全策略。任务1 Windows系统基本安全设置 活动2 关闭不必要的服务和端口步骤2 右击
该IP安全策略，选择“属性”在打开的“关闭端口属性”对话框中，取消选中“使用添加向导”，然后单击“添加”按钮添加新的规则，随后弹出
“新规则属性”对话框，其中显示“IP筛选器列表”选项卡。单击“添加”按钮，弹出“IP筛选器列表”对话框。在列表中，首先取消选中“使
用添加向导”，然后再单击右边的“添加”按钮添加新的筛选器。任务1 Windows系统基本安全设置 活动2 关闭不必要的服务和
端口步骤3 进入“筛选器属性”对话框，首先看到的是“地址”选项卡，源地址选择“任何IP 地址”，目标地址选择“我的IP地址”。选
择“协议”选项卡，在“选择协议类型”下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，单击“确定”按钮。这样
就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口进入你的计算机。单击“确定”按钮后回到筛选器列
表的对话框，可以看到已经添加了一条策略。重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、13
9、445 端口，为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略
，建立好上述端口的筛选器，最后单击“确定”按钮。任务1 Windows系统基本安全设置 活动2 关闭不必要的服务和端口步骤4
在“编辑规则属性”对话框中，选择“新IP筛选器列表”，然后选中其左边单选按钮，表示已经激活，最后选择“筛选器操作”选项卡。在“
筛选器操作”选项卡中，取消选中“使用添加向导”，单击“添加”按钮添加“阻止”操作：在打开的“需要安全属，性”对话框的“安全措施”选
项卡中，选择“阻止”，然后单击“确定”按钮。任务1 Windows系统基本安全设置 活动2 关闭不必要的服务和端口步骤5
进入“新规则属性”对话框，选择“新筛选器操作列表”，其左边的圆圈会加了一个点，表示已经激活，单击“关闭”按钮，关闭对话框；最后回到
“新规则属性”对话框，选中“新IP筛选器列表” 左边的单选按钮，激活选项，单击“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠
标右击新添加的IP安全策略，然后选择“指派”。重新启动后，计算机中上述网络端口就被关闭了 ，病毒和黑客再也不能连上这些端口。任务1
Windows系统基本安全设置 活动2 关闭不必要的服务和端口2．关闭不必要的服务在Windows操作系统中，默认开启的服
务很多，但是并非所有的服务都是操作系统运行必须的，而禁止所有不必要的服务可以节省内存和大量系统资源，更重要的是提升系统的安全性。（
1）查看服务。单击“开始”菜单，展开“管理工具”，选择“服务”，打开“服务”窗口。任务1 Windows系统基本安全设置 活动
2 关闭不必要的服务和端口（2）关闭服务。下面以“程序在指定时间运行”服务为例说明如何关闭服务。“程序在指定时间运行”的服务名称
为“Task Schedule”，它就是计划任务的服务，可以让有权限的用户，制定一个计划让某个程序在未来某个时间自动运行。这个服务
很容易被黑客利用，让木马自动在某个时间运行，因此如果不使用这项功能，建议停止这项服务。在系统服务中找到Task Schedule服
务，单击鼠标右键，选择“属性”。然后选择启动类型为“禁用”。单击“服务状态”下的“停止”按钮，弹出如图所示的对话框，则该服务就被关
闭了。任务1 Windows系统基本安全设置 活动2 关闭不必要的服务和端口【任务拓展】一、理论题1．请说明Windows系
统自身安全的重要性。2．请列举出你所了解的Windows安全的配置方法。3．Windows Server 2003用户“密码策略”
设置中，“密码必须符合复杂性要求”策略启用，用户设置密码必须满足什么要求？4．查看端口的命令是什么？任务1 Windows系统基
本安全设置 活动2 关闭不必要的服务和端口二、实训1．自动播放功能不仅对光驱起作用，而且对其他驱动器也起作用，这样很容易被黑客
用来执行黑客程序。为了系统安全起见，建议关闭自动播放功能，请写出工作流程并截图。2．除了系统自带的端口查看工具Netstat外，互
联网上还有很多第三方的查看工具，操作简单，界面友好，如Tcpview等。请从互联网上找到一款端口查看软件，并熟悉其使用方法，给大家
讲解一下。任务2 网络服务安全配置 活动1 Web服务安全设置【任务描述】齐威公司准备在刚刚配置好的Windows 2003
上安装一台Web服务器，发布公司的网站。通过网络学习，网管员小齐了解到可以用微软提供的IIS6.0组件，并可以通过安全设置打造一个
安全的Web服务器。【任务分析】小齐通过查看微软中国的官方在线帮助网站了解，IIS6.0并没有作为默认组件安装，需要先安装，然后再
进行安全配置。任务2 网络服务安全配置 活动1 Web服务安全设置【任务实战】1．IIS的安装步骤1 运行“控制面板”中的
“添加删除程序”，选择“添加/删除Windows组件”，进入“Windows组件向导”对话框，选中“应用程序服务器”复选框，单击“
详细信息”按钮。步骤2 单击“下一步”按钮，进入“正在配置组件”对话框。步骤3 将Windows Server 2003的光盘
放入光驱中，单击“确定”按钮，完成组件的安装。任务2 网络服务安全配置 活动1 Web服务安全设置2．设置IIS安全（1）I
P地址限制。通过IP地址及域名限制，用户可禁止某些特定的计算机或者某些区域中的主机对自己的Web和FTP站点及SMTP虚拟服务器的
访问。当有大量的攻击和破坏来自于某些地址或者某个子网时，使用这种限制机制是非常有用的。不过，进行IP地址及域名限制的首要条件是用户
必须知道网络黑客的计算机使用哪些IP地址或属于哪些网络区域，否则无法进行限制。对基于Internet的信息服务器，站点接受来自于各
方的访问，用户很难进行地址限制。一般来说，只有基于企业内部网络的信息服务器才使用IP地址及域名进行安全保护。步骤1 选择Web站
点，单击鼠标右键，选择“属性”，打开“站点属性”对话框，选择“目录安全性”选项卡，打开如图所示的对话框。任务2 网络服务安全配置
活动1 Web服务安全设置步骤2 单击“IP地址和域名限制”选择区域的“编辑”按钮，打开如图所示的“IP地址和域名限制”对
话框。步骤3 选中“授权访问”单选按钮，单击“添加”按钮，打开“拒绝访问”对话框。可通过以下3种类型的选择来拒绝访问。 ① 一台
计算机：IP为所填地址的计算机被拒绝访问Web站点。 ② 一组计算机：用“网络标识”和“子网掩码”来规定某个网段的所有计算机被拒绝
访问Web站点。 ③ 域名：以域名标识的某台计算机被拒绝访问Web站点。任务2 网络服务安全配置 活动1 Web服务安全设置
通过这些方式限定的计算机都会在“IP地址和域名限制”对话框中的空白处显示，所选择的“授权访问”的含义是除了在空白处显示的这些计算机
外，其余计算机被授权访问Web站点，即在空白处显示的计算机是不能访问站点的。 相反，“拒绝访问”就是除了空白处显示的计算可以访问以
外，其余的计算机都不能访问。“拒绝访问”项的设置方式和内容与“授权访问”相同。（2）端口限制。网络访问的各种服务基本上都可以通过
端口的方式发送接收请求，如FTP常用的端口是21，Web 常用的是80等，因此可以通过修改默认的端口号来提高服 务的安全性。 具体
操作步骤是选择“网站属性”对话框的“网站”选项卡。 将“TCP端口”项的默认端口80修改成其他的端口就可以了。任务2 网络服务安
全配置 活动1 Web服务安全设置（3）访问权限。① Web目录访问权限控制。打开IIS管理器，选择建立的网站，单击鼠标右键，
选择“属性”，弹出“网站属性”对话框。选择“主目录”选项卡，一般情况下只选中“记录访问”、“读取”复选框。在下面的“应用程序设置”
区域进行以下设置：应用程序名设置为“默认应用程序”；执行权限设置为“纯脚本”；应用程序池设置为“共用的”。② 文件和文件夹的访问权
限控制。步骤1 选择要访问的文件或文件夹，单击鼠标右键，选择“属性”打开“文件夹属性”对话框，选择“安全”选项卡。任务2 网络
服务安全配置 活动1 Web服务安全设置步骤2 在“组或用户名称”列表框中选择访问该 文件或文件夹的用户，然后在“用户权限”
列表 框中设置该用户的权限。另外可以通过NTFS分区 格式的审核功能来实现访问控制。即在“文件夹 属性”对话框中，单击“高级”按钮
，打开如图 所示的对话框，然后选择“审核”选项卡。在 “审核”选项卡中，单击“添加”按钮，打开 “选择用户或组”对话框。步骤3
单击“选择用户或组”对话框中的“高级”按钮，弹出“审核项目”对话框，在该对话框中设置相应的权限。设置好后单击“确定”按钮，就会在“
选择用户或组”对话框中的“输入要选择的对象名称”列表框里显示审核的项目，然后单击“确定”按钮。该审核项目便会在“文件夹的高级安全设
置”对话框的“审核项目”中出现，然后单击该对话框中的“确定”按钮，则特定用户和组的审核功能就设置成功了。任务2 网络服务安全配置
活动2 Web浏览器安全设置【任务描述】现在无论是公司办公，还是日常生活，人们都无法离开网络了。网上购物、收发邮件、在线视频
等使人们更加地离不开浏览器了，因此浏览器的安全对人们的生活和工作至关重要。【任务分析】为了提升浏览器的安全性，可以直接对浏览器进行
设置，也可以通过第三方软件进行设置，本任务以IE8.0浏览器为例进行设置。任务2 网络服务安全配置 活动2 Web浏览器安全
设置【任务实战】1．了解浏览器的安全级别IE8.0浏览器安全级别的高低是以用户通过浏览器发送数据和访问本地客户资源的能力高低来进行
区分的，通常定义了3个级别，分别是高、中高、中，并提供了4类访问对象分别是Internet、本地Intranet、可信站点和受限站
点。另外用户可根据自己的需要进行添加。打开IE浏览器，单击“工具”菜单，选择“Internet选项”，弹出如图所示的“Intern
et选项”对话框，选择“安全”选项卡，安全级别和访问对象设置如图所示。任务2 网络服务安全配置 活动2 Web浏览器安全设置
2．用户自定义安全级别如果用户想自己设置安全级别，可单击“自定义级别”按钮，弹出如图所示的“安全设置”对话框。在“重置自定义设置”
区域中“重置为”下拉列表中选择需要更改的安全级别。任务2 网络服务安全配置 活动2 Web浏览器安全设置3．SmartScr
een筛选器设置 Smartscreen筛选器是Internet Explorer 8中的一个功能，可帮助在浏览网页时防范社会工程
学钓鱼网站，以及网络诈骗。 步骤1 选择浏览器“工具”菜单中的“SmartScreen筛选器”，打开SmartSrceen筛选器
。 步骤2 在弹出的对话框中选中“打开SmartScreen 筛选器（推荐）”单选按钮。任务2 网络服务安全配置 活动2
Web浏览器安全设置4．删除浏览的历史记录为了加快浏览速度和保护用户的隐私数据，用户应该养成定期删除浏览的历史记录的习惯。方法是选
择“工具”菜单中的“删除浏览的历史记录”。【任务拓展】一、理论题 1．请分析在安装IIS时为什么最好不要安装Internet服务管
理器（HTML）、SMTPService和NNTPService、脚本组件？ 2．请简单叙述一下从哪几方面对IIS进行安全加固？二
、实训 1．设置IE浏览器来禁止病毒通过浏览器进入系统。 2．利用如“360安全卫士”等第三方工具来保护IE浏览器。任务3 检查
与防护漏洞 活动1 利用MBSA检查常见的漏洞【任务描述】小齐的安全防范意识很强，给服务器安装了杀毒软件和防火墙等防护措施，但
是他忽略了一个重要环节：不管什么操作系统或者软件产品都是存在设计缺陷和漏洞的，随时都有可能被黑客利用。【任务分析】因此定期地对操作
系统进行体检是非常必要的，对于Windows操作系统可以使用微软公司提供的一款名为“系统漏洞检测工具（MBSA）”的小软件对系统进
行扫描，可以找出系统存在的漏洞并给出分析报告，指导我们修补漏洞任务3 检查与防护漏洞 活动1 利用MBSA检查常见的漏洞【任
务实战】1．工具的获取及安装步骤1 到微软的官方网站http://technet.microsoft. com/zh-cn/se
curity/cc184923下载该软件。 步骤2 按照“安装向导”的提示完成安装。步骤3 软件安装完成后，在“程序”菜单中
显示 ，表示MBSA成功安装。步骤4 打开MBSA工具
主页面。 安装完成后，依次选择“开始”→“程序”→ “Microsoft Baseline Security Analyzer 2
.2”， 或双击桌面图标，即可弹出MBSA的主页面任务3 检查与防护漏洞 活动1 利用MBSA检查常见的漏洞步骤5 参数设
置，单击MBSA主界面中的“Scan a computer”菜单，弹出“Which computer do you want to
scan”对话框。以使用该工具扫描一台计算机为例介绍该工具的使用方法和过程。要想让MBSA成功扫描计算机，需在此对话框中进行正确
地参数设置：① 设定要扫描的对象。告诉MBSA要扫描的计算机是扫描成功的基础。MBSA提供以下两种方法。方法1：在“Compute
r name”文本框中输入计算机名称，格式为“工作组名\计算机名”。默认情况下，MBSA会显示运行MBSA的计算机的名称。任务3
检查与防护漏洞 活动1 利用MBSA检查常见的漏洞方法2：在“IP address”文本框中输入计算机的IP地址。 在此文本
框中允许输入在同一个网段中的任意IP地址，但不能输入跨网段的IP，否则会提示“Computer not found（计算机没有找到
）”的信息。② 设定安全报告的名称格式。 每次扫描成功后，MBSA会将扫描结果以“安全报告”的形式自动地保存起来。MBSA允许用户
自行定义安全报告的文件名格式，只要在“Security report name”文本框中输入文件格式即可。③ 设定扫描中要检测的项
目。 MBSA允许检测包括Office、IIS等在内的多种微软软件产品的漏洞。在默认情况下，无论计算机是否安装了以上软件，MBSA
都要检测计算机上是否存在以上软件的漏洞。这不但浪费扫描时间，而且影响扫描速度。用户可以根据自身情况进行选择，对于一些没有安装的软件
可以不选，这样能缩短扫描时间，提高扫描速度。基于这点考虑，MBSA提供了让用户自主选择检测项目的功能。只要用户选中（或取消）“Op
tions”中某个复选框，就可让MBSA检测（或忽略）该项目。任务3 检查与防护漏洞 活动1 利用MBSA检查常见的漏洞④
设定安全漏洞清单的下载途径。MBSA的工作原理：以一份包含了所有已发现的漏洞的详细信息（如什么软件隐含漏洞、漏洞存在的具体位置、漏
洞的严重级别等）的安全漏洞清单为蓝本，全面扫描计算机，将计算机上安装的所有软件与安全漏洞清单进行对比。如果发现某个漏洞，MBSA就
会将其写入到安全报告中。因此，要想让MBSA准确地检测出计算机上是否存在漏洞，安全漏洞清单的内容是否是最新的就至关重要了。由于新的
漏洞不断被发现，所以我们要像更新防病毒软件的病毒库一样，及时更新安全漏洞清单。MBSA提供了以下两种更新方法。方法1：从微软官方网
站上下载。微软会在它的官方网站上及时发布最新的安全漏洞清单，所以MBSA被默认设置为每一次扫描时自动链接到微软官方网站下载最新的安
全漏洞清单。此方法适用于能连入Internet的计算机用户。任务3 检查与防护漏洞 活动1 利用MBSA检查常见的漏洞方法2
：从SUS服务器上下载。有些局域网中架设了SUS（Software Update Services，软件升级服务）服务器，所以此类
用户可以选择此方法下载最新的安全漏洞清单，只要选中“Use SUS Server”复选框，并在其下的文本框中输入SUS的地址即可。
步骤6 用户根据自身情况设置好各项参数后单击“Start Scan”菜单，将弹出“Scanning”对话框，MBSA将开始扫描指
定的计算机，并经过一段时间后弹出扫描结果，并根据报告的扫描结果进行漏洞修复。任务3 检查与防护漏洞 活动1 利用MBSA检查
常见的漏洞步骤7 查看扫描结果的漏洞修补提示。以笔者的计算机为例，第2个红色图标提示。File System：为文件系统问题，后
面给出了具体解释为“并不是所有的分区都是NTFS分区格式” 。单击“Result details”链接弹出具体的结果细节，可知本台
计算机的D盘是FAT32的文件结构。单击“How to correct this”链接弹出一个具体解决这个漏洞的办法的页面。任务3
检查与防护漏洞 活动2 防护系统漏洞【任务描述】虽然MBSA能帮人们检测出系统的漏洞，但是不能帮人们修复漏洞，有没有好的办
法修复漏洞呢？【任务分析】对于服务器操作系统如Windows 2003、Windows 2008，人们可以利用系统自带的自动更新功
能修复漏洞。对于Windows XP、Windows Vista等个人版操作系统，既可以采用系统自带的自动更新功能，也可以采用更为
人性化和方便的第三方漏洞修复软件，如360安全卫士。任务3 检查与防护漏洞 活动2 防护系统漏洞【任务实战】方法1：使用操作
系统自动更新修复漏洞。一般情况下，比较著名的系统软件都会不定期地发布 补丁。对于Windows操作系统，由于它们具备自动 更新的功
能，因此只要微软发布补丁程序，而且操作 系统的自动更新设置为开启状态并连接上了Internet， 则操作系统会及时下载补丁程序，修
补漏洞。以Windows XP操作系统为例，进行自动更新配置，具体步骤如下。打开“开始”菜单，选择“设置”→“控制面板”，在新开启
的窗口中双击“自动更新”，打开如图所示的对话框，查看当前计算机的自动更新配置。任务3 检查与防护漏洞 活动2 防护系统漏洞方
法2：使用第三方软件进行更新（以360安全卫士为例）。通过网络下载360安全卫士，按步骤安装完成后，选择“修复漏洞”选项卡，360
安全卫士会对系统的漏洞情况进行扫描。安全卫士并不是把所有的补丁都让用户下载，而是把补丁划分为高危补丁和功能性更新补丁，高危补丁是3
60安全卫士强烈建议用户必须打的，而功能性补丁是360安全卫士建议可以不打的，而且使用360安全卫士打补丁比从微软官方网站下载有一
个优势，即360安全卫士的服务器先要测试这些补丁，这些补丁没有问题，才让用户去安全地打补丁。任务3 检查与防护漏洞 活动2
防护系统漏洞【任务拓展】一、理论题1．什么是系统漏洞？2．系统漏洞有哪些危害？二、实训利用MBSA对远程单台主机进行扫描（操作提示
：① 在目标计算机上以Administrator账户或Administrators组中的成员登录系统，并开启Guest账户；② 将
Guest账户添加到Administrators组中；③ 修改目标计算机组策略，使Guest账户拥有远程访问权限）。任务4 操作
系统补丁更新服务器配置 活动1 WSUS的部署【任务描述】鉴于公司补丁管理的无效状态，小齐决定看看有没有什么好的办法给公司内部
的计算机打补丁，并进行补丁管理。【任务分析】由于公司都是Windows操作系统，小齐访问了微软中国网站了解到微软正好有这么一款软件
WSUS，用来进行补丁的分发和管理，小齐决定就用它了。【任务实战】步骤1 登录微软网站下载WSUS3.0 sp2。WSUS3.0
sp2是免费软件，因此可以去微软的官网直接下载，也可以去各大软件下载网站下载。任务4 操作系统补丁更新服务器配置 活动1
WSUS的部署步骤2 准备WSUS3.0的安装。安装WSUS 3.0之前，需要在你的机器上安装以下组件。当这些组件安装完成后需要
重新启动机器。WSUS3.0可以在Windows Server 2003家族操作系统上安装。以下是需要安装的组件：① Intern
et 信息服务（IIS）6.0。② 后台智能传送服务（BITS）2.0。③ Microsoft .NET Framework 2.
0。④ 管理控制台（MMC）3.0。⑤ Microsoft Report Viewer。以上组件都可以去微软的官方网站直接下载安装
。任务4 操作系统补丁更新服务器配置 活动1 WSUS的部署步骤3 WSUS服务器的安装。（1）做好安装前的准备工作后我们
就可以进行WSUS3.0的安装了，启动WSUS 3.0的安装程序后出现了安装向导。（2）安装模式选择，选择“包括管理控制台的完整服
务器安装”，这样才能在此计算机上安装WSUS服务器。（3）选择安装模式后，单击“下一步”按钮。任务4 操作系统补丁更新服务器配置
活动1 WSUS的部署（4）选择更新源，在安装向导的“选择更新源”对话框中，可以指定客户端获得更新的位置。如果选中“本地存储
更新”复选框，则会更新存储在WSUS 3.0服务器上，需要在文件系统中选择一个用于存储更新的位置。如果不在本地存储更新，客户端计算
机将连接到Microsoft Update以获取已审批的更新。请将存储位置放到系统盘以外的分区上存放，同时该分区容量推荐不要少于2
0GB，然后单击“下一步”按钮。（5）选择WSUS的数据库，本例WSUS后台数据库选用自带的WMSDE，设置数据库的存储目录为E:
\update。也可以选择本地或远程的SQL Server数据库，只需要选择第二项或第三项并填写数据库服务器的地址。任务4 操作
系统补丁更新服务器配置 活动1 WSUS的部署步骤4 WSUS服务器的配置及应用。在完成了WSUS的安装后，安装程序会自动跳
转到“WSUS的配置向导”，根据此向导，就可以完成WSUS的配置了。 （1）询问服务器防火墙是否允许客户端访问服务器，能够将服务器
连接到上游服务器，用户是否具有代理服务器凭证。 （2）询问是否加入Microsoft Update改善计划。 （3）选择上游服务器
，此处有两个选项。第一项是 “从Microsoft Update进行同步”，就是从微软的 更新网站进行下载补丁并保持同步更新，当公
司的内 网中只有一台WSUS服务器的时候我们选择这个选项， 当公司有两台以上WSUS服务器部署的时候，可以让 第一台指向微软的更新
站点，而其他的WSUS服务器 选择第二项，指向第一台WSUS服务器，这样就加快 了更新速度。任务4 操作系统补丁更新服务器配置
活动1 WSUS的部署（4）设置代理服务器。没有代理服务器就不设置，然后就可以开始连接微软的Update服务器进行连接了。（5
）连接到上游服务器，从Windows Update中下载更新信息，连接时间视网速、时间段而定，这里只能耐心等待连接完成了。（6）连
接完成后，出现选择更新文件的语种，选择“中文（简体）”。任务4 操作系统补丁更新服务器配置 活动1 WSUS的部署（7）选择
更新的产品，根据实际需要选择公司内部的微软产品，小齐从来没有接触过WSUS服务器，因此为了稳妥起见，只选择Windows XP操作
系统的更新，如图所示的产品列表中包括了微软所有的产品，从操作系统到应用软件都可以选择。（8）选择更新的分类，小齐根据公司的网络环境
和实际需要进行选择。（9）设置同步计划，小齐选择手动，第一次选择手动为好，选择手动一会就可以直接更新，当服务器测试稳定后，就可以修
改同步计划，让服务器自动在某个时间段自动进行同步更新。任务4 操作系统补丁更新服务器配置 活动1 WSUS的部署（10）现在
已基本完成了WSUS 3.0的初始配置，这里有两个选项，默认就是选上的，不用做任何的更改，单击“完成”按钮。（11）自动运行WSU
S的管理控制台，并自动进行同步更新，根据网速和时间段时间不定。任务4 操作系统补丁更新服务器配置 活动2 利用WSUS进行补
丁分发【任务描述】小齐已经顺利地完成了WSUS补丁服务器的安装，并且完成了更新的同步，那么如何给客户端打补丁呢？【任务分析】要想成
功地给客户端打补丁，首先要设置客户端的组策略，然后用WSUS对计算机进行分组管理，最后进行WSUS的更新审批。任务4 操作系统补
丁更新服务器配置 活动2 利用WSUS进行补丁分发【任务实战】步骤1 配置本地策略成为WSUS客户端。如何让客户端知道谁是它
的补丁服务器呢？在工作组环境 下可以通过修改计算机的本地策略使其成为WSUS的客户 端。小齐一想每台都要设置很麻烦，但是又想到这样
以后 自己的工作就轻松多了，他决定还是完成这个工作，小齐 先找了一台身边的Windows XP系统的机器试一试。（1）选择“开始”
→“运行”，输入“gpedit.msc”，打开组策略窗口。（2）选择“计算机配置”→“管理模板”→“Windows 组件”→“Wi
ndows Update”，并选择“配置自动更新”。任务4 操作系统补丁更新服务器配置 活动2 利用WSUS进行补丁分发（3
）在“配置自动更新属性”窗口中，选择“已启用”，并单击“确定”按钮。（4）在“指定Intranet Microsoft更新服务器位
置属性”窗口中，选择“启用”，并在“设置检测更新的Intranet更新服务：”文本框中输入“http://192.168.1.21
”，在“设置Intranet统计服务器：”文本框中输入“http://192.168.1. 21”，并单击“确定”按钮。（5）关闭
组策略窗口。（6）选择“开始”→“运行”，输入 wuauclt.exe /detectnow 命令，立即启动WSUS服务。任务4
操作系统补丁更新服务器配置 活动2 利用WSUS进行补丁分发步骤2 用WSUS对计算机进行分组管理。分组管理可以把WSUS客户机放入不同的组中进行管理，每个组可以有不同的补丁管理策略，这些对于管理工作的细化很有好处。WSUS安装时默认创建了两个组，一个是“所有计算机”组，一个是“未分配的计算机”组。默认情况下每个WSUS的客户机都会属于这两个组。（1）右键单击 “所有计算机”，选择 “添加计算机组”弹出对话框要求输入 组名，为计算机组命名为“common”。 这样就创建出一个计算机组，然后用同 样的方法再创建一个名为“server”的 计算机组。common组代表普通的客户 机，而server组代表服务器。任务4 操作系统补丁更新服务器配置 活动2 利用WSUS进行补丁分发（2）在创建完计算机组后，如何把刚才加入的客户机放入刚才创建的两个组中呢，在需要的计算机名字上右击选择“更改计算机成员身份”，就会出现如图一样的对话框。这样就完成了计算机的分组。步骤3 WSUS更新审批。选中需要安装的补丁，单击鼠标右键选择“审批”，在打开的“审批更新”对话框中选择需要更新的计算机组，右击选择“已审批进行安装”，单击“确定”按钮进行程序的安装，这样就完成了补丁文件的审批工作任务4 操作系统补丁更新服务器配置 活动2 利用WSUS进行补丁分发任务4 操作系统补丁更新服务器配置 活动2 利用WSUS进行补丁分发步骤4 客户端测试。首先在客户机上可以运行gpupdate /force命令来加速组策略的生效，否则域成员服务器或工作站等候组策略生效可能最多需要90min。然后可以运行wuauclt /detectnow命令，这样客户机可以立即连接到WSUS服务器而不需要等待20min的延时。 做完以上的操作以后耐心地等待一段时间，客户机的右下角就会出现提示，告诉我们有新的更新需要安装，至此，我们就完成了WSUS服务器的补丁分发。任务4 操作系统补丁更新服务器配置 活动2 利用WSUS进行补丁分发【任务拓展】一、理论题1．什么是WSUS？2．WSUS有哪些作用？3．安装WSUS需要哪些准备工作？任务4 操作系统补丁更新服务器配置 活动2 利用WSUS进行补丁分发二、实训1．在工作组下安装并配置WSUS服务器。2．在工作组下完成客户端的补丁分发。3．在域模式下安装并配置WSUS服务器。4．在域模式下完成对客户端的补丁分发（提示：在域模式的安装和补丁分发，比在工作组下更具有优势，详细步骤请通过网络搜索，自行设计实验）。5．尝试使用WSUS的报表功能。