第3章 Windows系统漏洞安全

在计算机网络安全领域，系统漏洞是指系统中存在的弱点或者缺点，可能会降低系统对来自外界的入侵或攻击的敏感性，从而影响到系统的安全性。对于Windows这样一个庞大的系统而言，漏洞的存在是不可避免的，并因此给系统安全造成了难以估量的危险。近几年，微软公司已经意识到Windows系统漏洞的严重性，几乎每天都要发布各种系统更新补丁，尽量抢在第一时间弥补系统漏洞，降低用户损失。

3.1 漏洞概述

硬件设备、应用程序、网络协议等都可能存在漏洞，攻击者借助这些漏洞，能够在未得到授权的情况下访问或破坏系统。客观地讲，系统漏洞是无法避免的，对于Windows操作系统而言，在新版操作系统弥补旧版本中漏洞的同时，还会引入一些新的漏洞。应对系统漏洞最有效的方法就是指定详细的修补策略，及时发现并弥补漏洞。

3.1.1 系统漏洞的特性

大多数用户对系统漏洞的概念都有一定的了解，但这些了解只局限于各大厂商公布的漏洞，以及一些权威机构发布的漏洞公告。从信息安全的角度看，是先有漏洞和对漏洞的攻击的可能性，然后才会有补丁。漏洞是攻击者所要攻击的目标，而安装补丁是对漏洞的修补过程。漏洞是广泛存在的，不同的设备、操作系统、应用系统都存在安全漏洞。

1.漏洞的时间局限性

任何系统漏洞都是在用户不断使用的过程中被发现的，以后系统供应商采取新版本替代或者发布补丁程序等方式弥补漏洞。但随着旧漏洞的消失，新环境下的新漏洞也将随时产生。因此，系统漏洞只存在于特定的时间和环境，即只针对目标系统的系统版本、其上运行的软件版本，以及服务运行设置等实际环境存在的。

2.漏洞的广泛性

漏洞会影响到很大范围的软、硬件设备，包括操作系统本身及其支撑软件平台、网络客户端和服务器软件、网络路由器和安全防火墙等。换言之，在这些不同的软硬件设备中，都可能存在不同的系统漏洞问题。例如，在不同种类的软、硬件设备之间，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞。

3.漏洞的隐蔽性

安全漏洞是最常见的系统漏洞类型之一。入侵者借助这些漏洞，可以绕过系统中的许多安全配置，从而实现入侵系统的目的。安全漏洞的出现，是因为在对安全协议的具体实现中发生了错误，是意外出现的非正常情况。而在实际的系统中，都会不同程度地存在各种潜在错误。因而所有系统中都存在安全漏洞，无论这些漏洞是否已被发现，也无论该系统的安全级别如何。在一定程度上，安全漏洞问题是独立于系统本身的理论安全级别而存在的。也就是说，并不是系统所属的安全级别越高，系统中所存在的漏洞就越少。

4.漏洞的被发现性

漏洞是特定环境和时间内的必然产物，但必须在发现后才会被用来入侵系统或被弥补。在实际使用中，用户会发现系统中存在错误。入侵者会有意利用其中的某些错误，并使其成为威胁系统安全的工具，这时用户才会认识到这个错误是一个系统安全漏洞。系统供应商会尽快发布针对这个漏洞的补丁程序，纠正这个错误。这就是系统安全漏洞从被发现到被纠正的一般过程。

3.1.2 漏洞生命周期

漏洞所造成的安全问题具备一定的时效性，也就是说，每一个漏洞都存在一个和产品类似的生命周期的概念。只有对漏洞生命周期的概念进行研究并且分析出一定的规律，才能达到真正解决漏洞危害的目的。

漏洞生命周期的定义：漏洞从客观存在到被发现、利用，到大规模危害和逐渐消失，这期间存在一个生命周期，该周期被称为漏洞生命周期。

下面以“冲击波（MSBlaster）”蠕虫病毒为例，说明漏洞的生命周期包括如下五个基本阶段。

第一阶段：发现漏洞

2003年7月16日，微软公司公布了MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞，该漏洞影响Windows 2000、Windows XP、Windows Server 2003系统。

第二阶段：弥补漏洞

2003年7月16日，微软公司公布了MS03-026补丁用于修补该漏洞。随后，在微软发布该漏洞后，网络上有零星的恶意攻击者利用该漏洞进行了入侵。

第三阶段：利用漏洞的病毒大肆爆发

2003年8月11日，爆发了利用上述Windows漏洞的“冲击波”蠕虫病毒。

第四阶段：病毒出现变种

2003年8月18日，出现了一个利用同样原理进行蔓延的“冲击波清除者”病毒，该蠕虫专门清除原来的冲击波病毒，然而这个病毒却消耗了大量的Internet带宽，导致互联网连续3个月的性能显著下降。从蠕虫爆发后全球Windows用户开始安装MS03-026补丁修补该漏洞，网络运营商开始设法阻止蠕虫蔓延，计算机防病毒厂商加入蠕虫特征进行查杀。

第五阶段：逐渐消失

2004年1月，蠕虫传播开始明显被遏制，微软公司估计全球有1000万台主机受到感染。从整个事件开始到结束，漏洞生命周期的五个阶段，如表3-1所示。

3.1.3 漏洞管理流程

防火墙产品的访问控制功能和入侵检测功能，并不能对系统存在的漏洞进行任何防御和阻止；杀毒软件更是如此，只有当借助漏洞入侵的病毒发生时，才会有所反应，因此只能作为网络管理员的一种辅助手段。要从根本上解决利用漏洞进行攻击的问题，就需要对漏洞产生的原因、漏洞的生命周期进行研究，同时配合人为的管理模式，建立一套行之有效的管理机制，并通过漏洞管理类的产品辅助执行漏洞管理，漏洞管理的流程通常包括以下几个方面。

1.安全策略

安全策略是指确保服务器、网络设备、客户端计算机、网络安全设备，能够正常工作的安全配置。大多数网络设备都可以提供丰富的安全功能，并且部分功能已经默认启用，管理员也可以根据实际需要，制定更加详细的安全策略。

2.漏洞预警

漏洞预警工作通常由产品供应商完成，即确保在发现漏洞后的第一时间告知用户，如果没有相应的补丁程序，还应给出临时的解决方案等。这就要求漏洞管理产品的厂商应该有基础的漏洞研究、跟踪、以及提供临时解决方案的能力。

3.漏洞检测

执行检测工作之前需要对网络的资产进行发现和跟踪，以便快速、准确地确定产生漏洞的计算机或网络设备。作为网络管理员，必须周期性地对网络中的网络资产进行检测，要求漏洞管理工具在保证一定效率的前提下，具有较高的准确性。需要注意的是，并不是检测到的漏洞越多越好，而是要对检测的有效性进行验证和分析。

4.漏洞统计分析

在漏洞检测完成之后，需要通过具体的报告和数据来对资产的风险进行评估、分析，清楚地显示漏洞分布状况、详细描述、以及相应解决方案。需要注意的是，要对网络中的资产风险进行分类，以便于对后续的漏洞修补工作进行优先级区分。这一过程也可以通过购买专业的漏洞管理设备或者安全服务来完成。

5.漏洞修补

通过统计分析的结果指定切实可行的漏洞修补方案，并以合理的方式通知用户，例如可以通过自动更新服务器来提供最新的漏洞修补程序，用户可以按需下载也可以由服务器自动分发完成。需要注意的是，要注意补丁来源的合法性以及补丁的安全性。通常情况下，必须对补丁程序进行小范围内安全性测试、兼容性测试后，确保补丁不会影响到业务系统的正常运行，才可以大范围分发。

6.漏洞审计、跟踪

必须在网络中部署完善的漏洞审计机制，即对于新接入或启用的计算机或网络设备，进行补丁状态检测，如果不能满足安全要求，则拒绝继续访问或通过其他措施使其可以获得所需的安全补丁。这个过程可以通过操作系统厂商、第三方的补丁管理软件或者专业的安全服务完成。

7.其他问题

一个完善的漏洞管理机制能够有效地保证人为的管理疏漏不被攻击者利用，对于大多数利用漏洞的攻击会十分有效。网络管理人员在制定漏洞管理流程的时候要根据实际情况进行细化或者裁减，确保漏洞管理的高效、灵活、实用。漏洞管理流程应该注意的其他问题包括：

工作流程标准化；

尽量使用专业的、自动化的漏洞管理工具，尽量避免人为操作；

尽量不要中断企业的业务流程，保证业务的正常运行；

漏洞修补尽量安排在晚上或者业务不繁忙的时候进行；

在测试环境中模拟测试通过，在确保不影响当前业务的状态下，实施漏洞修补工作流程；

针对不同的操作系统要准备不同的版本。

3.1.4 漏洞修补策略

大多数蠕虫病毒都是依靠系统漏洞进行传播的，同时网络扫描和利用系统漏洞也是“黑客”最常用的攻击手段之一。因此，要做好网络的安全保障，必须要做好漏洞补丁的安装管理工作。对于个人用户而言，系统漏洞修补无非就是安装官方网站发布的补丁而已，但是服务器或者网络中大规模部署补丁通常是一项非常重要的工作。安装之前，必须先在实验环境中进行测试和分析，然后才可以在网络中大规模部署。

1.环境分析

知己知彼，百战不殆。只有真正了解网络内部状况，才能有效地实施漏洞修补。例如，及时掌握网络资产情况、设备运行状态，包括网络中运行的设备型号、厂商、操作系统种类、版本等。同时还要了解企业的主要业务系统及重要的数据，根据需要划分安全等级，以确定补丁的紧急程度和修补时间。

2.补丁分析

用户计算机系统信息、硬件等变化，都可能导致无法正确安装官方发布的系统漏洞补丁，甚至安装后还会导致一系列的问题。因此，部署之前一定要针对用户系统环境进行测试，切不可盲目地安装补丁，否则将带来许多意想不到的问题，其中包括：

导致系统兼容性出现问题，甚至不能使用；

系统崩溃，无法正常工作；

部分功能无法使用。

在得到补丁以后，正确的做法应该是：

在测试环境中，测试对业务系统的影响以及兼容性；

了解补丁自身的稳定性；

查看补丁是否还存在漏洞；

在大规模部署之前，进行小范围的短时间的联机测试。

在测试的过程中，应做好详细的测试记录，了解补丁程序和与其相关的组件对象之间的兼容性，对原有系统功能的影响，是否可以卸载，是否可以“回滚”等。

3.分发安装

对于网络用户而言，管理员可以通过组策略、SMS、WSUS等多种方法，将已获得的系统补丁分发到客户端。其中，WSUS为微软公司提供的专用于补丁更新的服务组件，可以根据客户端实际情况，自动将补丁程序分发到用户或计算机，建议使用这种方法。详细情况，请参考本书“第14章Windows系统更新服务”中的相关内容。

3.2 漏洞扫描

漏洞扫描是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的安全漏洞进行逐项检查。其目标是工作站、服务器、交换机、数据库应用等各种应用设备，然后根据扫描结果向系统管理员提供周密可靠的安全性评估分析报告，从而为提高网络安全整体水平产生重要依据。

3.2.1 漏洞扫描概述

在网络安全体系的建设中，安全扫描是一种花费低、效果好、见效快、安装运行简单的实用工具，有利于保持全网安全的统一和稳定。目前，市场上有很多漏洞扫描工具，使用的扫描技术包括基于网络、基于主机、基于代理、基于Client/Server模式、漏洞特征、漏洞报告方法等，同时监听模式也有很多种。不同的产品之间，漏洞检测的准确性差别较大，这就决定了生成的报告的有效性也有很大区别。

1.漏洞扫描的必要性

通常情况下，防火墙是不同网络或网络安全边界之间信息的唯一通道，可以根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。防火墙是提供信息安全服务、实现网络和信息安全的基础设施，但也存在着一定的局限性。例如，“外紧内松”是一般局域网络的特点，一道严密防守的防火墙其内部的网络也可能是一片混乱。防火墙的局限性包括：

不能防范不经过防火墙的攻击；

不能解决来自内部网络的攻击和安全问题；

不能防止最新的未设置策略或错误配置引起的安全威胁；

不能防止可接触的人为或自然的破坏，防火墙是一个安全设备，但防火墙本身必须放在一个不安全的地方；

无法解决TCP/IP等协议的漏洞；

对服务器合法开放端口的攻击大部分都无法阻止；

不能防止受病毒感染的文件的传输；

不能防止数据驱动式的攻击；

不能防止内部的泄密行为；

不能防止本身安全漏洞的威胁。

2.扫描工具的技术性能

不同的漏洞扫描工具采取的扫描技术和监听模式也不完全相同，选择一款适合自己网络环境和操作习惯的扫描工具，可以为日后的安全管理工作减少许多不必要的麻烦。选择扫描工具时应注意如下几点：

底层技术。比如，是被动扫描还是主动扫描，是基于主机扫描还是基于网络扫描；

漏洞库中的漏洞数量；

工具的易用性；

生成的报告的特性。内容是否全面、是否可配置、是否可定制、报告的格式、输出方式等；

对于漏洞修复行为的分析和建议。是否只报告存在哪些问题、是否会告诉应该如何修补这些漏洞；

安全性。由于有些扫描工具不仅仅只是发现漏洞，而且还进一步自动利用这些漏洞，扫描工具自身是否会带来安全风险；

工具性能。扫描对象产品类型包括哪些；

工具价格。是否免费提供，收费方式如何。

3.2.2 漏洞扫描工具MBSA

MBSA全称Microsoft Baseline Security Analyzer，此工具允许用户扫描一台或多台基于Windows系统的计算机，以及发现常见安全方面的配置错误，并检查操作系统和已安装的其他组件，及时通过推荐的安全更新进行修补。MBSA支持的系统平台包括Windows NT/2000/XP/2003/2008，支持的产品类型包括Windows操作系统、Internet Explorer、Windows Media Player、IIS、SQL Server、Exchange、Microsoft Office、Microsoft Data Access Components、Microsoft Virtual Machine、MSXML、BizTalk Server、Commerce Server、Content Management Server和Host Integration Server等。

1.扫描模式

MBSA允许扫描一台或者多台计算机：

单台计算机。MBSA最简单的运行模式是扫描单台计算机。默认情况下，将扫描本地计算机，管理员也可以通过指定计算机名或IP地址方式，使其扫描其他计算机。

多台计算机。如果选择“选取多台计算机进行扫描”时，可以选择通过输入域名扫描整个域，或指定一个IP地址范围并扫描该范围内所有基于Windows的计算机。

2.扫描类型

MBSA支持两种类型的扫描模式：

MBSA典型扫描。MBSA典型扫描将执行扫描并且将结果保存在单独的XML文件中，这样就可以在MBSA查看器中进行查看；

HFNetChk典型扫描。HFNetChk典型扫描将只检查缺少的安全更新，并以文本的形式将扫描结果显示在命令行窗口中。

3.查看安全报表

每次执行MBSA典型扫描时，都会为每一台接受扫描的计算机生成一个安全报表，并保存在正在运行MBSA的主机上。

安全报表默认的文件格式为XML。可以按照计算机名、扫描日期、IP地址或安全评估对这些报告进行排序。

4.网络扫描

MBSA最多可以允许从服务器同时对10000台计算机进行远程漏洞扫描。在防火墙或路由器将两个网络分开的多域环境中（两个单独的Active Directory域），TCP的139端口和445端口以及UDP的137端口和138端口必须开放，以便MBSA连接和验证所要扫描的远程网络主机。

5.操作系统检查

MBSA对在被扫描的计算机中Windows操作系统进行扫描，并检测是否存在以下漏洞。

（1）管理员组成员权限

该项检查将确定并列出属于本地管理员组的用户账户。如果检测出的单个管理员账户数量超过两个，则该工具将列出这些账户名，并将该检查标记为一个潜在的安全漏洞。一般情况下，建议将管理员的数量保持在最低限度，因为管理员对计算机具有完全控制权。

（2）审核

该项检查将确定在被扫描的计算机上是否启用了系统审核功能。Windows系统的审核特性，可跟踪和记录系统上的特定事件，如成功的和失败的登录尝试。通过监视系统的事件日志，可以发现潜在的安全问题和恶意活动。

（3）自动登录

该项检查将确定在被扫描的计算机上是否启用了“自动登录”功能，以及登录密码是否在注册表中以密文方式存储。如果“自动登录”已启用并且登录密码以明文形式存储，则安全报表就会将这种情况作为一个严重的安全漏洞反映出来。如果“自动登录”已启用而且密码以加密形式存储在注册表中，那么安全报表就会将这种情况作为一个潜在的安全漏洞标记出来。

（4）自动更新

该项检查将确定在被扫描的计算机上是否启用自动更新功能，以及详细的配置情况。通常情况下，用户可以通过多种方式获取和安装更新，例如直接访问Windows Update站点、组策略远程部署、架设WSUS服务器等。当用户使用直接下载更新方式之外的其他方式时，扫描结果中可能会出现相关的安全警告信息，提示自动更新没有正确配置，此时不必理会。

（5）域控制器

该项检查将确定正在接受扫描的计算机是否为域控制器，这主要是针对Windows Server 2003和Windows Server 2008系统而言的。在Windows域网络中，域控制器的地位和作用是非常重要的，不仅掌管着所有网络资源的安全访问，而且存储着所有网络用户的身份验证信息，如果存在安全漏洞，则后果不堪设想。基于上述原因，域控制器应该被视为需要加强保护的关键资源。应确认当前网络是否需要将这台计算机作为域控制器，并确认是否采取了相应的步骤来加强这台计算机的访问安全。

（6）文件系统

该项检查将确定在每个分区使用的文件系统类型。NTFS具有访问控制功能，是一个安全的文件系统，因此，服务器所有分区均使用该文件系统，如果使用FAT32文件系统，则扫描结果中将出现警告信息。

（7）来宾账户

该项检查将确定在被扫描的计算机上是否启用了系统内置的来宾账户。来宾账户主要视为临时用户提供的，默认情况下是禁用的。启用之后，任何用户都可以通过此账户访问系统资源，并且该账户是不允许设置密码的。如果在Windows NT/2000/XP计算机上已启用来宾账户，则这种情况将在安全报表中作为一个安全漏洞标记出来。如果在使用简单文件共享的Windows XP计算机上已启用来宾账户，则这种情况将不会作为安全漏洞标记出来，而在Windows Server 2003或Windows Server 2008系统中，这种情况将出现警告信息。

（8）Windows防火墙

该项检查将确定是否在被扫描的计算机上对所有的活动网络连接启用Windows防火墙，这主要是针对Windows XP/2003/2008系统而言的。如果已经启用防火墙，则还将对其开放的入站端口进行检测。如果上述系统的Windows防火墙没有开启，或者开放了存在安全漏洞的端口，则扫描结果中将出现警告信息。

（9）本地账户密码

该项检查将找出使用空白密码或简单密码的所有本地用户账户。Windows 2000/XP/2003系统的管理员账户密码均可以设置为空，因此存在很大的安全隐患。在Windows Server 2008系统中，必须设置符合相应复杂程度的安全密码，才允许启用管理员账户。因此该项扫描只适用于Windows 2000/XP/2003系统，如果本地用户账户密码符合下列条件之一，就会出现警告信息：

密码为空白；

密码与用户账户名相同；

密码与计算机名相同；

密码使用“password”一词；

密码使用“admin”或“administrator”一词。

（10）密码过期

该项检查将确定是否有本地用户账户设置了永不过期的密码。密码应该定期更改，以降低遭到密码攻击的可能性。

（11）限制匿名用户

该项检查将确定被扫描的计算机上是否使用了RestrictAnonymous注册表项来限制匿名连接。允许匿名连接本身就是一个很危险的系统漏洞，何况匿名用户还可以列出某些类型的系统信息，其中包括用户名及其详细信息、账户策略和共享名，因此必须对安全要求严格的服务器限制此项功能，以使匿名用户无法访问。

（12）共享资源

该检查将确定在被扫描的计算机上是否存在共享文件夹。扫描报告将列出在计算机上发现的所有共享内容，其中包括管理共享及其共享级别和NTFS级别的权限。通常情况下，应关闭系统中非必要的共享目录，尤其是服务器更应如此。扫描结果中将列出所有的系统默认共享，和用户后期设置的重要资源共享。

（13）检查是否存在不必要的服务

该检查将确定，被扫描计算机的services.txt文件中是否包含已启用的服务。services.txt文件是一个可配置的服务列表，这些服务都不应该在被扫描的计算机上运行。此文件由MBSA安装并存储在该工具的安装文件夹中。该工具的用户应配置services.txt文件，以便包括在各台被扫描的计算机上所要检查的那些特定服务。默认情况下，与该工具一起安装的services.txt文件包含下列服务：

MSFTPSVC（FTP）；

TlntSvr（Telnet）；

W3SVC（WWW）；

SMTPSVC（SMTP）。

服务是一种程序，只要计算机在运行操作系统，服务程序就在后台运行。服务不要求用户必须进行登录。服务用于执行不依赖于用户的任务，如等待信息传入的传真服务。

6.IIS漏洞检查

如果目标计算机上安装了IIS服务，则MBSA还可以扫描IIS程序或设置上存在的漏洞，包括：

（1）MSADC和脚本虚拟目录

该项检查将确定MSADC（样本数据访问脚本）和脚本虚拟目录，是否已安装在被扫描的计算机上。这些目录通常包含一些非必要的脚本文件，将其删除可缩小计算机受攻击的范围。

（2）SADMPWD虚拟目录

该检查将确定IISADMPWD目录是否已安装在被扫描的计算机上。IIS 4.0能让用户更改他们的Windows密码并通知用户密码即将到期。IISADMPWD虚拟目录包含了此功能所要使用的文件，在IIS 4.0中，IISADMPWD虚拟目录将作为默认Web站点的组成部分进行安装。此功能是作为一组 .htr文件和一个名为Ism.dll的ISAPI扩展加以实现的，.htr文件位于\System32\Inetsrv\Iisadmpwd目录中。

（3）域控制器上的IIS

该检查将确定IIS是否在一个作为域控制器的系统上运行。这种情况将在扫描报告中作为一个严重安全漏洞加以标记，被扫描的计算机是一台小型企业服务器（Small Business Server）除外。

建议不要在域控制器上运行IIS Web服务器。域控制器上有敏感的数据（如用户账户信息）不应该用作另一个角色。如果在一个域控制器上运行Web服务器，则增加了保护服务器安全和防止攻击的复杂性。

（4）IIS锁定工具

该项检查将确定IIS Lockdown工具（Microsoft Security Tool Kit的一部分）是否已经在被扫描的计算机上运行。IIS Lockdown工具的工作原理是，关闭IIS中不必要的功能，从而缩小攻击者可以利用的攻击面。

其实，早在Windows Server 2003的IIS 6.0中，就已经不再需要IIS Lockdown工具，因为已默认锁定了相关功能。对于从IIS 5.0安装升级到IIS 6.0或IIS 7.0的，则应该使用IIS Lockdown来确保仅在服务器上启用了所需的服务。

（5）IIS日志记录

该项检查将确定IIS日志记录功能是否已启用，以及是否已使用了W3C扩展日志文件格式。

Windows的事件日志记录中，没有包括IIS日志记录。IIS日志记录通常包括站点运行状态的详细情况，如哪些用户访问过该站点、浏览内容、时间等。管理员可以根据需要选择对任何站点、虚拟目录或文件进行审核，通过定期复查审核结果，可以检测到服务器或站点中可能遭受攻击或其他安全问题的方面。在启用了日志记录之后，也就对该站点的所有文件夹启用了日志记录，但也可以对特定的目录禁用日志记录。

（6）IIS父路径

该项检查将确定，在被扫描的计算机上是否启用了ASPEnableParentPaths设置。通过在IIS上启用父路径，Active Server Page（ASP）页，就可以使用到当前目录的父目录的相对路径。

（7）IIS样本应用程序

该项检查将确定下列IIS示例文件目录是否安装在计算机上：

\Inetpub\iissamples

\Winnt\help\iishelp

\Program Files\common files\system\msadc

通常与IIS一起安装的样本应用程序会显示动态HTML（DHTML）和Active Server Pages（ASP）脚本，并提供联机文档。

7.SQL检查

MBSA可以对在被扫描计算机中SQL Server和MSDE的所有实例进行扫描，并检测是否存在以下漏洞。

（1）Sysadmin角色的成员

该项检查将确定Sysadmin角色的成员数量，并将结果显示在安全报表中。

SQL Server角色用于将具有相同操作权限的登录账户组合到一起，对于固定的服务器角色，Sysadmin将系统管理员权限提供给其所有成员。

（2）仅将CmdExec权限授予Sysadmin

该项检查将确保CmdExec权限仅被授予Sysadmin，其他所有具有CmdExec权限的账户都将在安全报表中列出。

SQL Server代理是Windows NT/2000/X系统中的一项服务，负责执行作业、监控SQL Server和发送警报。通过SQL Server代理，可以使用脚本化作业步骤来使某些管理任务实现自动化。作业是SQL Server代理按顺序执行的一个指定的操作序列，一项作业可以执行范围广泛的活动，其中包括运行Transact-SQL脚本、命令行应用程序和Microsoft ActiveX脚本。用户可以创建作业，以便运行经常重复或者计划的任务，而作业也可以通过生成警告信息自动将它们的状态通知给用户。

（3）SQL Server本地账户密码

该项检查将确定是否有本地SQL Server账户采用了简单密码。这一检查将枚举所有用户账户并检查是否有账户使用下列密码：

密码为空白；

密码与用户账户名相同；

密码与计算机名相同；

密码使用“password”一词；

密码使用“sa”一词；

密码使用“admin”或“administrator”一词。

（4）SQL Server身份验证模式

该项检查将确定被扫描的SQL Server使用的身份验证模式。Microsoft SQL Server为提高对该服务器进行访问的安全性提供了两种模式：Windows身份验证模式和混合模式。

在Windows身份验证模式下，Microsoft SQL Server只依赖Windows系统对用户进行身份验证。然后，Windows用户或组就得到授予访问SQL Server的权限。在混合模式下，用户可能通过Windows或通过SQL Server进行身份验证。经过SQL Server身份验证的用户将把用户名和密码保存在SQL Server内。Microsoft强烈推荐始终使用Windows身份验证模式。

（5）Windows身份验证模式

该安全模式使SQL Server能够像其他应用程序一样，依赖于Windows对用户进行身份验证。使用此模式与服务器建立的连接叫做受信任连接。当使用Windows身份验证模式时，数据库管理员通过授予用户登录到SQL Server的权限来允许他们访问运行SQL Server的计算机。Windows安全识别符（SID）将用于跟踪使用Windows进行身份验证的用户。在使用Windows SID的情况下，数据库管理员可以将访问权直接授予Windows用户或组。

（6）混合模式

在SQL Server中，当客户端和服务器都可以使用NTLM或Kerberos登录身份验证协议时，混合模式将依赖Windows对用户进行身份验证。如果其中某一方不能使用标准Windows登录，那么SQL Server就会要求提供用户名和密码，并将用户名和密码与存储在其系统表中的用户名和密码进行比较。依赖用户名和密码建立的连接叫做不受信任的连接。

之所以提供混合模式，有以下两方面原因：

向后兼容SQL Server的旧版本；

在SQL Server安装到Windows 95和Windows 98操作系统时实现兼容。

（7）Sysadmin角色中的SQL Server BUILTIN\Administrators

该项检查将确定Administrators组是否被列为Sysadmin角色的成员。

SQL Server角色是一个安全账户，同时也是包含有其他安全账户的一个账户集合；进行权限配置时，可以将其看做一个单独的单元。一个SQL Server角色可以包含SQL Server登录权限、其他角色和Windows用户账户或组。

固定的服务器角色具有涵盖整个服务器的作用域，这些角色存在于数据库外部。一个固定服务器角色的每个成员，都能够向相同的角色添加其他的登录。默认情况下，Windows BUILTIN\Administrators组（本地管理员的组）的所有成员都是Sysadmin角色的成员，从而向其赋予对所有数据库的完全访问权。

（8）SQL Server目录访问

该项检查将验证下列SQL Server目录是否都只将访问权授予SQL服务账户和本地管理员：

Program Files\Microsoft SQL Server\MSSQL$InstanceName\Binn

Program Files\Microsoft SQL Server\MSSQL$InstanceName\Data

Program Files\Microsoft SQL Server\MSSQL\Binn

Program Files\Microsoft SQL Server\MSSQL\Data

该工具将扫描这些文件夹中每个文件夹上的访问控制列表，并枚举出列表中包含的用户。如果任何其他用户（除SQL服务账户和管理员以外）具有读取或修改这些文件夹的访问权，则该工具将在安全报表中将此检查标记为一个安全漏洞。

（9）SQL Server公开的SA账户密码

该项检查将确定SQL Server的SA账户密码是否以明文形式写入日志文件中。在SQL 2000中，如果域凭证用于启动SQL Server服务，则也会检查日志文件。如果在设置SQL Server时使用混合模式身份验证，则SA密码以明文形式保存；如果使用Windows身份验证模式，管理员选择提供自动启动SQL Server服务时使用的域凭证，只会使凭证处于危险境地。

（10）SQL Server来宾账户

该项检查将确定SQL Server来宾账户是否具有访问数据库（Master、tempdb和msdb除外）的权限。该账户具有访问权的所有数据库都将在安全报表中列出。

在SQL Server中，一个用户登录账户必须以下列方式之一获得访问数据库及其对象的授权。

登录账户可以被指定为一个数据库用户。

登录账户可以使用数据库中的来宾账户。

Windows组登录可以映射到一个数据库角色。然后，属于该组的单个Windows账户都可以连接到该数据库。

db_owner或db_accessadmin数据库角色的成员或者Sysadmin固定服务器角色成员，都可以创建数据库用户账户角色。一个账户可以有多个参数：SQL Server登录ID、数据库用户名和角色名称。数据库用户名称可以与用户的登录ID不同。如果未提供数据库用户名，则该用户的登录ID和数据库用户名完全相同。创建数据库用户后，可以根据需要为该用户分配任意数量的角色。如果未提供角色名称，则该数据库用户只是公共角色的一个成员。

db_owner、db_accessadmin或Sysadmin角色的成员还可以创建来宾账户，来宾账户允许任何合法的SQL Server登录账户访问数据库。默认情况下，来宾账户将继承分配给公共角色的所有特权；不过，这些特权可以被更改，使其权限大于或小于公共角色特权。

（11）域控制器上的SQL Server

该项检查将确定SQL Server是否在域控制器上运行。域控制器包含有敏感数据，通常不再用来提供其他网络服务。如果在域控制器上运行SQL Server，则增加了保护服务器安全和防止攻击的复杂性，建议不要这样部署。

（12）SQL Server注册表项安全

该项检查将确保Everyone组对下列注册表项的访问权被限制为读取权限：

HKLM\Software\Microsoft\Microsoft SQL Server

HKLM\Software\Microsoft\MS SQLServer

如果Everyone组对这些注册表项的访问权限高于读取权限，则这种情况将在安全扫描报告中被标记为严重安全漏洞。

（13）SQL Server服务账户

该项检查将确定SQL Server服务账户在被扫描的计算机上是否为本地或域管理员组的成员，或者是否有SQL Server服务账户正在LocalSystem上下文中运行。

在被扫描的计算机上，MSSQLServer和SQLServerAgent服务账户都要经过检查。

8.安全更新检查

MBSA对在被扫描的计算机中的安全更新列表进行扫描，并检测是否存在由于安装更新补丁产生的新漏洞。该项检查将确保具有针对下列产品和组件的最新服务包和安全更新：

Windows NT 4.0

Windows 2000

Windows XP

Windows Server 2003

Windows Vista

Windows Server 2008

Internet Explorer 5.01和后续版本

Windows Media Player 6.4和后续版本

IIS 4.0和后续版本

SQL Server 7.0/2000/2005（包括Microsoft Data Engine）

Exchange Server 5.5/2000/2003/2007（包括Exchange Admin Tools）

Microsoft Office（只能进行本地扫描）

Microsoft Data Access Components（MDAC）2.5/2.6/2.7/2.8

Microsoft Virtual Machine

MSXML 2.5/2.6/3.0/4.0

BizTalk Server 2000/2002/2004/2006

Commerce Server 2000/2002

Microsoft Content Management Server（MCMS）2001/2002

SNA Server 4.0、Host Integration Server（HIS）2000和2004

9.桌面应用程序检查

MBSA对在被扫描的计算机中桌面应用程序进行扫描，并检测是否存在以下漏洞。

（1）IE安全区域

该项检查将列出被扫描计算机上所有本地用户当前采用的IE区域安全设置，并给出合理建议。

IE内容区域将Internet或Intranet分成了具有不同安全级别的区域。对于每个安全区域，可以选择高、中和低三个级别，或者自定义安全设置。Microsoft建议，对于那些不能确定是否可信任的区域内的站点，应将安全性设置为高。自定义选项为高级用户和管理员提供了针对所有安全选项的更多的控制权，其中包括下列几项：

对文件、ActiveX控件和脚本的访问；

提供给Java小程序的功能级别；

带有安全套接字层（SSL）身份验证的站点身份指定；

带有NTLM身份验证的密码保护（根据服务器所在的区域，Internet Explorer可以自动发送密码信息，提示用户输入用户和密码信息，或者干脆拒绝任何登录请求）。

（2）面向管理员的IE增强安全配置

该项检查可识别出运行Windows Server 2003和Windows Server 2008的计算机上，是否已经启用针对管理员的IE增强安全配置（Enhanced Security Configuration）。如果已经安装了针对管理员的IE增强安全配置，这一检查还会识别出禁用该IE增强安全配置的管理员。

（3）面向非管理员的IE增强安全配置

该项检查识别出在运行Windows Server 2003的计算机上，是否已经启用用于非管理员的用户的Internet Explorer增强安全配置（Enhanced Security Configuration）。如果已经安装了针对非管理员的Internet Explorer增强安全配置，这一检查还会识别出禁用该Internet Explorer增强安全配置的非管理员用户。

（4）Office安全配置和分析宏保护

该项检查将对每个用户逐一确定Microsoft Office 2003、Office 2000和Office 97宏保护的安全级别。MBSA还将对PowerPoint、Word、Excel和Outlook进行检查。

宏能够将重复的任务自动化。这样可以节省时间，但也会被用于传播病毒，例如，当用户打开包含恶意宏的受感染文档时，就会使恶意宏蔓延到系统上的其他文档，或者传播给其他用户。

3.2.3 MBSA漏洞扫描

MBSA作为一款免费的安全检测软件提供了强大的性能，可以从微软的网站上免费下载，地址为：http://www.microsoft.com/downloads/details.aspx?FamilyID=F32921AF-9DBE-4DCE-889E-ECF997EB18 E9&displaylang=en。MBSA当前的最高版本是v2.1，目前只有英文版。MBSA的安装十份简单，只需按照向导提示进行操作即可，此处不做详细介绍。

1.扫描本地计算机

第1步，依次选择“开始”→“所有程序”→“Microsoft Baseline Security Analyzer 2.1”，打开如图3-1所示的MBSA主窗口。

第2步，单击“Scan a computer”链接，显示如图3-2所示的“Which computer do you want to scan?”窗口。在“Computer name”文本框中，指定要扫描的计算机名，系统默认为本地计算机。用户可以根据需要，选择此次扫描的目标服务或应用程序，如IIS、SQL、密码安全性等，这里只选择前两项扫描功能。

第3步，根据需要选择需要检测的安全内容。然后按下窗口下方的“Start Scan（开始扫描）”按钮，系统开始进行扫描，显示如图3-3所示窗口。

第4步，扫描完成后显示如图3-4所示扫描结果窗口。在“Potential Risk（潜在风险）”选项区域显示了被扫描主机的基本信息，包括主机名、IP地址和扫描日期等；在“Windows Scan Results（Windows扫描结果）”选项区域显示了扫描结果摘要信息。管理员通过每项扫描结果前不同的图标，即可判断其安全状态。

第5步，在“Issue（问题）”栏中列出了被扫描计算机存在的主要安全问题，这里以扫描结果中的“Password Expiration（密码过期）”问题为例。单击“What was scanned（扫描对象）”链接，打开如图3-5所示“Password Expiration”窗口，信息中提示该项检查将列出目标计算机系统中，所有密码过期或不符合要求的账户。

第6步，在扫描结果窗口中，单击“Result details（详细结果）”链接，打开如图3-6所示的“Result details”窗口，提示目标计算机的Guest账户密码已经过期。

第7步，在扫描结果窗口中，单击“How to correct this（如何改正错误）”链接，打开如图3-7所示的窗口。其中，在“Solution（解答）”部分将给出合理的解决方法；在“Instructions（操作步骤）”部分根据被扫描计算机系统类型，给出详细的操作流程。

第8步，在扫描结果窗口中，单击“OK”按钮结束此次扫描。

2.扫描单台远程计算机

使用MBSA扫描远程主机Windows漏洞，比扫描本地计算机要复杂一些，并且Windows域环境和工作组环境中的操作也有所不同。由于MBSA的工作机制是基于用户账户的，所以扫描远程计算机时，必须拥有远程计算机中相关权限的用户账户。在Windows域环境中，使用域管理员账户即可，如果是扫描工作组中的远程计算机，则在开始之前必须做好如下准备工作：

在运行MBSA的计算机上，以Administrator账户或Administrators组中的成员登录系统；

在目标计算机上同样以Administrator账户或Administrators组中的成员登录系统，并开启Guest账户；

将Guest账户添加到Administrators组中；

修改目标计算机组策略，使Guest账户拥有远程访问权限。

以扫描操作系统为Windows XP的远程计算机为例，主要操作步骤如下：

第1步，在目标计算机上，展开“计算机管理”窗口中的“本地用户和组”→“用户”，双击“Guest”账户打开“Guest属性”对话框。默认情况下，Guest账户是被禁用的，取消“账户已停用”复选框即可，如图3-8所示。

第2步，切换至“隶属于”选项卡，单击“添加”按钮打开“选择组”对话框，在“输入对象名称来源选择”文本框中输入Administrators，如图3-9所示。也可以单击“高级”按钮在所有本地用户组中查找。最后单击“确定”按钮，将其添加到Guest账户隶属的组中。

第3步，打开“组策略”窗口，并依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”选项，如图3-10所示。主要设置“从网络访问此计算机”和“拒绝从网络访问此计算机”策略。

第4步，双击“从网络访问此计算机”打开“从网络访问此计算机属性”对话框，默认状态下Guest账户是不在其中的，单击“添加用户或组”按钮，打开“选择用户或组”对话框，在“输入对象名称来选择”文本框中输入Guest，如图3-11所示。

第5步，单击“确定”按钮，将其添加至允许远程访问的用户和组列表中。单击“应用”或“确定”按钮，显示如图3-12所示的“确认设置更改”对话框，提示此设置可能导致的系统问题，单击“是”按钮继续即可。

第6步，在“组策略”窗口中，双击“拒绝从网络访问此计算机”打开“拒绝从网络访问此计算机属性”对话框，显示如图3-13 所示，选择“Guest”账户并单击“删除”按钮，将其从拒绝远程访问的用户账户列表中删除即可。最后，单击“确定”按钮保存设置。

第7步，在执行远程扫描任务的计算机上打开MBSA，单击“Scan a computer”链接，打开“Which computer do you want to scan?”窗口。在“Computer name”文本框中按照“工作组名\计算机名”的格式输入被扫描计算机的相关信息，也可以通过IP地址指定，如图3-14所示。

第8步，单击“Start Scan”按钮即可开始扫描，扫描结果与扫描本地计算机类似，如图3-15所示，此处不再赘述。

3.扫描多台计算机

MBSA的多台计算机扫描功能，允许管理员同时扫描整个域，或一个网段内的所有Windows系统计算机。在Windows域中的操作比较简单，这里以比较复杂的工作组环境为例，扫描某个网段内主机系统漏洞的主要操作步骤如下。

第1步，启动MBSA，单击“Scan multiple computers（扫描多台计算机）”链接，打开如图3-16所示“Which computers do you want to scan?（您想扫描哪些计算机）”，在“IP address range（IP地址范围）”文本框中，指定被扫描网段的起止IP地址，本例为192.168.1.1～192.168.1.4。

第2步，单击“Start Scan”按钮开始扫描，如果设置的被扫描网段范围过大，则可能需要花费较长的时间；如果其中包含没有使用的IP地址，则将显示如图3-17所示“Unable to scan all computers（无法扫描所有计算机）”结果。

第3步，单击“Pick a security report to view（选择需要查看的报告）”链接，打开如图3-18所示的“Choose a security scan report to view”窗口，在这里MBSA将列出已生成的所有安全报告清单，包括安全报告名、生成日期等信息，单击即可查看相应的详细结果信息，与单台计算机扫描结果基本相同，此处不再赘述。

3.3 系统更新

及时安装系统更新，无疑是解决系统漏洞安全问题最好的方法。在借助漏洞传播的病毒或入侵大规模发生之前，产品供应商通常就会发现漏洞并发布相应的补丁，用于加固用户系统。但是，在进行系统更新时，切不可好大喜功多多益善。每一个系统补丁都有其独特的适应环境，如果盲目安装，不仅起不到弥补系统漏洞的作用，还可能导致新的问题产生。

3.3.1 系统补丁部署原则

系统补丁部署的原则：

安装的补丁不能与所使用的应用软件冲突；

根据实际需要安装补丁；

系统补丁宜少不宜多。

因此在部署补丁之前，一定要做好测试工作。在全局部署以前，要做好以下工作。

1.阅读补丁声明

在运行补丁程序之前，一定要仔细阅读有关的说明文档，充分了解补丁的功能、用法、对应漏洞的情况，对安装补丁后发生的后果要做到心中有数。然后根据企业的网络环境进行分析，判断可能产生的风险，根据漏洞的紧急情况，判断是否需要安装补丁。需要提前做好预备工作，确保在补丁安装完成后出现的问题，有高效、快捷、安全的补救措施。

2.相关数据备份

在安装补丁之前，最好将相关的文件进行备份，以免造成错误，丢失重要数据或者导致系统无法正常运行。如果是针对操作系统的补丁，则应确保补丁具备“回滚”功能。

通常情况下，需要备份的数据包括以下两部分：

原来程序的安装目录。对于绿色软件而言，只须备份相应的目录即可；

系统的DLL动态库文件。查明可能覆盖的相关的DLL文件并单独备份，如果安装补丁时由于覆盖DLL文件，导致系统故障，则可以进入安全模式，将备份的DLL文件重新覆盖相关的DLL文件即可。

3.对号下载补丁

注意补丁程序对应的操作系统和应用软件的版本。很多补丁都是针对某个特定的操作系统和应用软件版本而开发的，如Windows 2000、Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008所使用的补丁程序就完全相同，因此，使用的时候要下载与操作系统版本、语言类型、应用程序匹配的补丁程序。

4.下载安全补丁

补丁的来源一定要安全，必须到可靠的平台下载，或者到有安全认证的供应商那里获取相关的补丁程序，防止被恶意修改，或者在补丁中嵌入了“木马”。建议到官方的网站和信誉较好的网站下载补丁安装或者在线安装补丁，一方面可以保证下载的补丁是安全有效的，另外可以保证补丁安装包的时效性。

5.选择安装模式

通常情况下，用户可以通过在线安装和先下载后安装两种方式进行系统更新。另外，对于使用Windows操作系统的局域网用户而言，微软还免费提供了WSUS服务，可供管理员同时管理整个网络的计算机系统更新情况，非常方便。

3.3.2 系统更新的实施

安装Windows系统补丁程序是完成操作系统安装之后的首要工作，也是确保网络安全和系统正常应用的一道重要屏障。因此，建议用户在每次完成系统安装后，不要立即进行联网或者应用不明的移动存储介质，对于Windows XP/2003/Vista/2008系统应先启动系统防火墙再进行其他操作。

1.安装注意事项

在实施系统补丁更新时，应当注意以下问题：

计算机在没有安装系统补丁之前，切记不要连接到网络，尤其是Internet。所需的补丁程序请使用其他移动存储设备，复制到可信任的安全机器上（Windows XP/2003/ Vista系统可以启用自带的防火墙后再联网）；

设置合适的系统自动更新方式，建议选择通知下载和安装，以免耗费很长的时间去下载一些本来无关紧要的更新补丁；

安装补丁程序前应关闭其他应用程序，以免导致安装失败。另外，有些补丁程序安装完成后需要重新启动计算机方可生效，打开的应用程序应注意及时保存；

获取补丁程序时应注意其版本要求，不仅要注意Windows操作系统的类型，还应注意英文版和简体中文版、繁体中文版的区别；

安装过程中如需确认或更改安装目录的，建议保持系统默认设置。

2.自动系统更新

Windows Server 2008的系统更新方式与Windows Server 2003略有不同，但与Windows Vista操作非常类似，具体操作步骤如下。

第1步，依次选择“开始”→“Windows Update”，打开如图3-19所示“Windows Update”窗口，默认显示当前系统更新状态，是否已经安装所有更新或有哪些可用更新。如果长时间没有检查更新，可以手动单击“检查更新”链接开始检查更新信息。

第2步，单击“安装更新”按钮即可立即安装所有更新。不过，建议用户单击“查看可用更新”链接，打开如图3-20所示“查看可用更新”窗口，显示当前所有更新的摘要信息，包括更新名称、重要程度和发布日期。

第3步，右击更新名称并选择“查看详细信息”选项，显示如图3-21所示对话框，可以更详细地了解系统更新的相关介绍，从而决定是否安装到本地计算机。

第4步，如果不希望立即安装某个更新，可以取消其前面的复选框，等下次Windows Update扫描更新时，将继续提示是否安装。如果确认不需要安装，且不希望总是被提示，则右击更新名称并选择“隐藏更新”即可，此时更新将显示为灰色，如图3-22所示。

第5步，单击“安装”按钮，显示如图3-23所示窗口，由于选择的是通知下载并通知安装方式，所以首先会开始下载。如果需要下载的更新较多，则可以暂时关闭当前窗口继续工作。下载完毕之后，系统任务栏中将显示如图3-24所示提示信息。

第6步，单击提示信息打开“Windows Update”窗口，单击“安装更新”按钮，即可开始安装，完成后，显示如图3-25所示窗口。

第7步，如果还需要重新安装已被隐藏的更新，则可以单击“还原隐藏的更新”链接，显示如图3-27所示“还原隐藏的更新”窗口，选中想要还原更新前的复选框，并单击“还原”按钮将其还原，再次下载并安装即可。

3.手动安装Windows补丁程序

Windows Server 2003及其他版本较早的Windows操作系统，都可以通过手动方式获得并安装更新，其中Windows 2000系统没有集成自动更新功能，只能通过手动方式更新。所谓手动方式，主要是通过登录微软相关站点，手动选择所需的系统更新，然后下载并安装到本地计算机上，或者通过其他移动存储设备，将系统更新转移到其他未能连接到Internet的计算机上，从而实现系统的更新。以手动方式获取并安装Windows Server 2003系统更新的主要操作步骤如下。

第1步，依次选择“开始”→“所有程序”→“Windows Update”，打开如图3-28所示“Microsoft Windows Update”窗口。由于IE浏览器自身的安全设置，阻止了当前网页信息的正常显示。

第2步，右击上方工具栏并选择“允许此ActiveX控件运行”，显示如图3-29 所示的“Internet Explorer-安全警告”对话框，提示用户是否确认安装当前软件。该软件是用来验证当前Windows Server 2003系统的合法性的，必须安装。

第3步，单击“安装”按钮，即可开始下载并安装，稍等即可完成。正常情况下，显示如图3-30所示的“获取最新的Windows Update软件”窗口。如果用户操作系统是盗版或者超过激活期限，则可能无法获取Windows更新补丁。

第4步，单击“立即安装”按钮，即可开始安装Windows Update软件，这是获取Windows Server 2003 更新补丁的必备工具。安装完成后，显示如图3-31 所示窗口，提示用户选择获取更新的方式。若选择“快速”方式，则更新向导将自动扫描系统并提供需要下载的重要内容；选择“自定义”方式将会列出所有的更新内容，然后自定义选择需要下载和安装的更新即可。建议选择“自定义”方式。

第5步，单击“自定义”按钮，Windows Update向导将提示所有适合当前系统的更新补丁，其中Service Pack 2是系统推荐立即下载并安装的，单击“立即下载和安装”按钮，即可开始下载SP2。除此之外，更新向导还扫描到一些其他更新程序，用户可根据需要进行选择。如图3-32所示。

第6步，单击“复查其他更新程序”按钮，显示如图3-33所示的“高优先级更新程序”窗口。列表中显示了所有适用于当前系统的更新补丁，用户可以根据需要，从中选择希望安装的补丁。

第7步，单击“复查并安装其他更新”链接，打开如图3-34所示的“自定义您的结果”窗口，提示用户再次确认此次将要安装的Windows系统更新。

第8步，单击“安装更新程序”按钮，启动安装更新程序向导，显示如图3-35所示的“阅读这些许可条款”对话框。有些系统更新则无须经过用户许可，即可自动安装。

第9步，单击“我接受”按钮，显示如图3-36所示“正在下载并安装更新”的对话框，根据需要下载的更新内容的多少以及用户接入Internet的方式不同，花费的时间也会有所不同。下载完更新内容之后更新向导会自动初始化安装程序，并开始安装。

第10步，安装完成后显示如图3-37所示对话框，提示已经成功更新了计算机。但是其中有些更新必须重新启动计算机方可生效。单击“立即重新启动”按钮，可以立即重新启动计算机，单击“关闭”按钮，可以稍候再重新启动。

第11步，单击“关闭”按钮显示如图3-38所示的“复查安装结果”窗口，提示软件升级已经完成，并且提示已安装更新的名称。此时，仍可以从未安装的“其余高优先级更新程序”中，选择希望安装的更新补丁。最后，关闭Microsoft Windows Update窗口即可。