Windows安全攻略:教你完全修复系统漏洞

Windows安全攻略:教你完全修复系统漏洞

首发：http://safe.it168.com/a2012/0709/1369/000001369740.shtml

目前互联网上的病毒集团越来越猖狂，对用户的危害也愈演愈烈，大家要懂得保护自己的电脑不受侵犯，隐私不被盗取。记得前段时间一个网友咨询我，抱怨在用360打完补丁后，又安装迅雷软件，这时不厌其烦的提醒你系统还有多少补丁没有打，后来经过研究市面上好多软件都这样例如鲁大师、金山，卡卡等照样会不厌其烦的提醒你系统没有打的补丁。对普通用户而言都晕了，到底打那个，听从那家的软件呢?回忆一下微软的漏洞修补从Windows98就开始了，到了Windows XP及后续的操作系统里，这成为一项默认的安全设置，而且微软还针对桌面端和服务器端的MBSA,SUS,WSUS等软件。

　　一、什么是Windows系统漏洞

　　系统漏洞这里是特指您的Windows操作系统在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个电脑，从而窃取您电脑中的重要资料和信息并破坏您的系统。Windows系统漏洞问题是与时间紧密相关的。

　　一个Windows系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商：微软公司发布的补丁软件修补，或在以后发布的新版系统中得以纠正。

　　而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。例如以前流行过的鼠标漏洞，就是由于利用了Windows系统对鼠标图标处理的缺陷，木马作者制造畸形图标文件从而溢出，木马就可以在用户毫不知情的情况下执行恶意代码。

　　二、打补丁是越多越好吗

　　打补丁是越多越好吗?普通用户会觉得打补丁是越多越好,一口气把所有补丁全打上,以为自己的电脑被找出漏洞攻击的几率就越小,其实不然,我们细细分析一下,以前在没有第三方打补丁软件时候,我们都是用Windows Update来修复系统,那样很少出现问题因为微软已把补丁顺序都已排好了，大家也需会有个疑问，为什么还有顺序呢?因为上一个重要补丁是为下一个补丁作铺垫的，如果打反了，轻则打不上补丁，重则系统出错无法关机、无法开机甚至直接崩溃需要重新安装!就像穿衣服一样，一般都应该先穿内衣，再穿外套，打补丁也一样。而很多第三方打补丁的软件(一些个人做的批量安装补丁程序)并非如此，为了节省时间，几个补丁一起下载，哪个先下载完成打哪个，就像穿衣服的时候拿到外套就先穿外套，然后再把内裤套外边,您电脑的系统可不是“超人”, 这样穿衣服怎么可能不出问题呢?

　　现在新系统都有UAC(用户帐户控制)，第三方软件权限不可能高于Windows Update，就算一个个修复，会有某个补丁因为权限问题修补不了或者修复不全!补丁程序有两个时间，一个是发布时间，一个是最后更新时间，如果按发布时间为准进行安装，那么显然这个补丁程序就是最新的。

　　对于重要的补丁需要立即修复，对于功能性更新补丁用于更新系统或软件的功能，比如Office的一些更新补Windows系统安全更新程序Outlook更新补丁，可以暂缓修复。

　　三、安装补丁后为何要重启计算机

　　补丁安装过程中由于系统正在运行，文件无法修改，所以要在登录系统之前进行更新。通常情况下Office的补丁直接即可安装，漏洞补丁往往要安装后重启才能生效。

　　因为系统运行中一些系统必须进程和文件无法被替换,所以需要重启。

四、Windows系统常用漏洞修补工具介绍

　　1. Windows Update

　　它是微软提供的一种自动更新工具，通常提供漏洞、驱动、软件的升级。Windows Update是我们用来升级系统的组件，通过它来更新我们的系统，能够扩展系统的功能，让系统支持更多的软、硬件，解决各种兼容性问题，让系统更安全、更稳定。Windows更新比较快每周或每月发布一次。但是，如果出现严重安全威胁(例如影响基于 Windows 操作系统的计算机的、广泛传播的病毒)，Microsoft 则会在第一时间发布相应的更新程序。

　　安全更新支持以下安装开关

. Sus和Wsus

　　从上面Windows Update的内容，大家可以了解到Windows Update自动更新程序能够方便用户检测和安装修补程序，但它不利于管理员对修补程序进行集中管理。同时，它还有一个很大的缺陷，在50台机器以上的局域网中，如果管理员用组策略指派了所有的客户机在同一时间内访问Windows Update，以进行检查更新，这个局域网中的代理服务器可能会在此时不堪重负。而SUS就可以非常容易地实现这些Windows Update无法实现的功能。SUS最大的特点就是简单易用。它能够自动地为管理员完成修补程序管理的工作，但不能对Windows 9X等老版本系统提供服务支持。

　　Wsus功能比起sus更强大它必须与互联网相联才能更新，从微软官方的更新服务器中获得更新数据。然后根据用户的设置下载相关更新包来分发补丁，同时，在内部各机器上还要作好设置，可以通过策略编辑器将客户机的更新指向该服务器IP即可。WSUS下载来更新包与360等软件下载的更新包是不一样的，他也适合中型企业部署补丁使用。出于安全考虑建议将补丁先安装在虚拟机上测试通过后方可使用。

　　注意事项：

　　1.Wsus需要您的局域网有企业域环境(AD)。

　　2.如果您网络边缘部署防火墙请及时打开80、443、445、8530端口，避免出现阻塞问题。

　　3.如果您在大型企业网中部署有时会出现半天都不更新的情况，如果您部署和配置都没有问题，请耐心等待，有时过一晚上第二天就好了。

　　3. MBSA

　　MBSA（下载）可以检查操作系统和 SQL Server 更新。MBSA 还可以扫描计算机上的不安全配置。检查 Windows 服务包和修补程序时，它将 Windows 组件(如 Internet 信息服务 (IIS) 和 COM+)也包括在内您还可以MBSA(目前尚无中文版)工具来检测您的机器是否安全，在防火墙或路由器将两个网络分开的多域环境中(两个单独的Active Directory域)，TCP的139端口和445端口以及UDP的137端口和138端口必须开放，以便MBSA连接和验证所要扫描的远程网络主机。

4. 第三方工具，例如360卫士、金山卫士、鲁大师、卡巴、瑞星等

6. Zoho ManageEngine Security Manager Plus

　　Security Manager Plus 是一种网路安全扫瞄仪，它可以主动报告网路漏洞，帮助修补漏洞以及确保相容性。由於具有漏洞扫瞄、开放埠检测、修补程序管理和漏洞报告功能，Security Manager Plus 是一款完全可以满足用户保护网路免遭安全威胁和恶意攻击的软体。

　　红色表示警告有高危风险：

　　下图生成详细的报告 通过以上介绍的这些漏洞修复工具，就能让普通用户轻松修补windows系统的漏洞，保证系统的稳定运行。

　　(建议：不要在盗版的Window系统中做漏洞修复，那样有可能造成系统故障，甚至是蓝屏或无法启动)

5. GFI LANguard

　　GFI LANguard Network Security Scanner采用黑客可能使用的各种方式来检查你的网络。通过分析你的系统和在你的网络上执行的程序，它可以帮你找出可能的安全漏洞，这样，你可以在黑客发现之前，来采取有效的行动进行弥补。可以检查整个网络，每个IP，并提供有关信息(是否少装文件，哪个口是打开的，等等)，产生HTML的报告。

本文出自 “李晨光原创技术博客” 博客，请务必保留此出处http://chenguang.blog.51cto.com/350944/932260

版权声明：本文为博主原创文章，未经博主允许不得转载。