对MSE 2.0网络检查系统的一点说明

显示全部楼层 · 发表于 2010-12-17 07:51:05

本帖最后由 jason_jiang 于 2010-12-19 15:54 编辑

MSE 2.0新增的网络检查系统Network Inspection System，是微软在新一代MSE和Forefront里添加的
它主要用来缩短从漏洞公布到打上补丁之间的风险窗口期，通过扫描网络通信，防御针对已知漏洞的攻击
当你的系统存在某个已知漏洞但没打对应的补丁，或漏洞已经公布、但尚无对应补丁时，它就会发挥作用
需要注意的是，这些漏洞不一定是IE的，还可能是媒体播放器、Flash、SQL Server、IIS等应用的
所以“网络检查系统对非IE浏览器没什么用”的说法是不对的

网络检查系统将漏洞的严重性分为四个等级
紧急：利用此漏洞，可在无用户介入的情况下大规模传播Internet蠕虫
重要：利用此漏洞，可危及用户数据的可信性、完整性、可用性，或处理资源的完整性、可用性
中等：此漏洞的利用价值和效果取决于某些关键因素，如默认配置、安全审核机制、利用难度等
低：此漏洞的利用较困难，或影响较低

网络检查系统的特征有三种
针对漏洞：针对某漏洞的特征。这种特征会检测针对某个特定漏洞的各种利用方式
针对漏洞利用：针对某漏洞的某种利用方式的特征。这种特征会检测针对某个特定漏洞的某种特定利用方式
基于策略：用于安全审核的通用特征。当无法编写针对漏洞和针对漏洞利用的特征时，就使用这种特征

MSE的网络检查系统只支持Vista和Win7。它是一个独立组件，所以MSE的离线升级包mpam-fe.exe并不包括网络检查系统的特征库
如果你打算用离线升级包装MSE，那么装完mpam-fe.exe后还要自己安装网络检查系统的特征库。它的下载地址是
32位：http://definitionupdates.microsoft.com/download/definitionupdates/x86/nis_full.exe
64位：http://definitionupdates.microsoft.com/download/definitionupdates/amd64/nis_full.exe

如果你首次更新完MSE 2.0后没看到网络检查系统，也可以用上面的地址自己下载安装

打开网络检查系统的日志C:\ProgramData\Microsoft\Network Inspection System\Support\NisLog.txt，可以看到如下内容

[12/12/10-16:59:29] --Signature list start-- //特征枚举开始
[12/12/10-16:59:29] [Off] Sig {da361b04-cc27-4688-ace8-9c78b729400f} Vuln:Win/SMTP.DNS.DoS!2010-0024 - Signature not Host-Detect or Host-Block //有些漏洞的防护特征是给Forefront网关（TMG）用的，不需要给客户端用，所以MSE不会加载这些特征，以减少资源占用。这种情况记为“Signature not Host-Detect or Host-Block”
（省略）
[12/12/10-16:59:29] [Off] Sig {dc1723b8-9db5-44ef-baae-3b52f37adcf2} Vuln:Win/MSRPC.SRVSVC.RCE!2008-4250 - Signature not applicable on OS //有些漏洞只针对特定的操作系统，当你的系统不存在此漏洞时，MSE也不会加载这些特征。这种情况记为“Signature not applicable on OS”
（省略）
[12/12/10-16:59:30] [Off] Sig {41ef698a-ad92-49d3-aa34-a065fff67242} Vuln:Win/SMB.Srv.RCE!2010-0020 - Signature retired - KB971468 was found //当你的系统已经打过针对某个漏洞的补丁时，也没必要加载这个漏洞的防护特征。这种情况记为“Signature retired - KBxxxxxx was found”
[12/12/10-16:59:30] --Signature list end-- //特征枚举结束
[12/12/10-16:59:30] Signatures: Total: 242; Enabled: 0 //总特征数242，启用了0
[12/12/10-16:59:30] zero active signatures - will not actually load engine //我的系统打齐了补丁，不需要启用任何特征，因此实际上不加载检查引擎

显示全部楼层 · 发表于 2010-12-17 22:17:34

随手写点。
开。

显示全部楼层 · 发表于 2010-12-17 22:25:18

嘿嘿前来支持

今天直奔MSE 就是托盘图标太不给力了

显示全部楼层 · 发表于 2010-12-17 22:28:13

必须支持勾叔~~

显示全部楼层 · 发表于 2010-12-17 22:28:57

本帖最后由 jefffire 于 2010-12-17 22:29 编辑

也就是和诺顿的IPS差不多~~~呵呵

显示全部楼层 · 发表于 2010-12-17 22:28:59

赶来支持

显示全部楼层 · 发表于 2010-12-17 22:30:15

jason_jiang 发表于 2010-12-17 22:17
随手写点。
开。

摸一摸头像

显示全部楼层 · 发表于 2010-12-17 22:34:00

本人自动更新老开着漏洞就不会有吧

显示全部楼层 · 发表于 2010-12-17 22:39:19

学习了，原以为就是webguaid，现在明白了~楼主资料是哪里查来的？

显示全部楼层 · 发表于 2010-12-17 22:42:57

回复 8楼 jzty2 的帖子

基本上是这样的
我估计，如果微软发现了一个漏洞，但没能很快做出补丁，可能会先用网络检查系统应对这个空窗期

[技术探讨] 对MSE 2.0网络检查系统的一点说明

评分