微软攻击面分析器:增强Windows系统安全性刀片服务器
攻击面分析器1.0是一款免费的微软工具,帮助软件开发者确定应用对Windows计算机造成的安全风险。攻击面分析器对比变化之前和之后的系统状态快照,因此,用户可以更好地理解安装新应用时系统的改变。
微软最初开发攻击面分析器是为了帮助自己的产品开发,但是在2011年,该公司向公众推出了一款beta版本。自此,微软做了很多Bug修复和性能改进。最终,1.0版本具有更少的误报,并且图形用户界面(GUI)性能更强。另外,该产品包含了深入文档,使用起来更方便。这些改进使得攻击面分析器在开发工具领域中流砥柱。
微软攻击面分析器简介
攻击面分析器分析系统扫描时发现的新增的或更新的文件和注册码。另外还分析服务项目、线程、ActiveX控件、监听端口和各种各样的其他属性。
具体来说,当在Windows计算机上安装应用时,攻击面分析器会检查微软重点提到的安全漏洞。这种方式不同于其他类似的工具,它们只分析基于签名的系统和已知的漏洞。
攻击面分析器在完成分析后,会生成报告,显示更改信息并突出微软认为的重要安全问题。
攻击面分析器可以帮助IT专业人士更好地理解潜在危险。软件开发者和个人软件商在向Windows系统引入自己产品时,可以观察到攻击面的变化。
安全审计员也可以使用这款工具评估由新软件引起的风险,其他IT专业人士可以通过它来学习业务应用产品线如何对攻击面造成影响。即使是安全事件回馈员也可以使用攻击面分析器更好地理解整个系统在调查中的状态。
使用攻击面分析器
攻击面分析器有两个主要功能。第一个是扫描Windows系统并为分析报告搜集数据。第二个是执行分析并根据结果生成报告。
攻击面分析器支持32位和64位系统。该工具可以从搭载Windows Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server 2008 R2和Windows Server 2012的计算机上搜集数据。可以对任何支持的Windows操作系统(除了Vista)进行分析。如果要搜集Vista数据,需要在另外一个操作系统上执行分析。
用户可以通过它的GUI(类似.exe)或命令行工具(类似asa.exe)启动攻击面分析器。使用GUI时,Windows计算机中必须安装.NET Framework 4。
在搜集数据过程中,攻击面分析器需要两个系统状态快照。一个是在产品安装之前,一个是在产品安装之后。攻击面分析器将状态信息存储在微软Cabinet(CAB)文件中。初始快照称为“基线扫描”,软件安装后的快照称为“产品扫描”。
攻击面分析器在一个新安装的操作系统版本的机器上工作最出色。在获得了基线扫描之后,安装产品,并配置尽可能多的选项,尤其是那些一起最大安全风险的选项,比如防火墙授权访问。然后,运行应用,并获得第二个快照。
一旦搜集了数据,产生了两个快照CAB文件,你就可以使用攻击面分析器执行分析——可以在搜集数据的计算机上(除了Vista)或者另外一台Windows计算机上进行。执行分析的计算机上必须安装了.NET Framework 4。
攻击面分析器将会检查和对比这些文件,然后生成识别系统状态改变的报告和可能存在的安全问题。你可以在IE、谷歌Chrome或者Mozilla Firefox中查看该报告。如果该工具识别出安全问题,该报告会包含指向更多信息的连接。
在查看了报告和处理了识别的安全问题之后,你应该在一个干净的Windows安装中再次进行扫描。可能需要多次扫描,直到对攻击面分析器的报告内容满意为止。
如果使用beta版本的攻击面分析器进行分析,首先需要新的扫描。攻击面分析器1.0和beta版本不兼容,因此对beta CAB文件没有作用。
如果你想基于以前创建的扫描完成一个项目,那么坚持使用beta版本,直到完成开发周期。但是要注意,beta版本免费限时使用。
攻击面分析器带来的利益
企业不会拿安全去冒险。攻击面分析器是免费的微软产品,因此那些构建和实施Windows应用的开发任务没有理由不使用该工具。
在支持的Windows系统中,攻击面分析器将收集和分析安全数据,然后将结果生成一个基于浏览器的报告。过去,识别这些问题需要一系列工具,但是微软将这些功能合并到一个单独的软件包中。这节省了IT管理员们处理漏洞的时间,而不是花费大量时间去找漏洞。