查看: 15598|回复: 50
收起左侧

[技术探讨] 对MSE 2.0网络检查系统的一点说明

  [复制链接]
jason_jiang
发表于 2010-12-17 07:51:05 | 显示全部楼层 |阅读模式
本帖最后由 jason_jiang 于 2010-12-19 15:54 编辑

MSE 2.0新增的网络检查系统Network Inspection System,是微软在新一代MSE和Forefront里添加的
它主要用来缩短从漏洞公布到打上补丁之间的风险窗口期,通过扫描网络通信,防御针对已知漏洞的攻击
当你的系统存在某个已知漏洞但没打对应的补丁,或漏洞已经公布、但尚无对应补丁时,它就会发挥作用
需要注意的是,这些漏洞不一定是IE的,还可能是媒体播放器、Flash、SQL Server、IIS等应用的
所以“网络检查系统对非IE浏览器没什么用”的说法是不对的


网络检查系统将漏洞的严重性分为四个等级
紧急:利用此漏洞,可在无用户介入的情况下大规模传播Internet蠕虫
重要:利用此漏洞,可危及用户数据的可信性、完整性、可用性,或处理资源的完整性、可用性
中等:此漏洞的利用价值和效果取决于某些关键因素,如默认配置、安全审核机制、利用难度等
低:此漏洞的利用较困难,或影响较低

网络检查系统的特征有三种
针对漏洞:针对某漏洞的特征。这种特征会检测针对某个特定漏洞的各种利用方式
针对漏洞利用:针对某漏洞的某种利用方式的特征。这种特征会检测针对某个特定漏洞的某种特定利用方式
基于策略:用于安全审核的通用特征。当无法编写针对漏洞和针对漏洞利用的特征时,就使用这种特征

MSE的网络检查系统只支持Vista和Win7。它是一个独立组件,所以MSE的离线升级包mpam-fe.exe并不包括网络检查系统的特征库
如果你打算用离线升级包装MSE,那么装完mpam-fe.exe后还要自己安装网络检查系统的特征库。它的下载地址是
32位:http://definitionupdates.microsoft.com/download/definitionupdates/x86/nis_full.exe
64位:http://definitionupdates.microsoft.com/download/definitionupdates/amd64/nis_full.exe

如果你首次更新完MSE 2.0后没看到网络检查系统,也可以用上面的地址自己下载安装

打开网络检查系统的日志C:\ProgramData\Microsoft\Network Inspection System\Support\NisLog.txt,可以看到如下内容

[12/12/10-16:59:29] --Signature list start-- //特征枚举开始
[12/12/10-16:59:29] [Off] Sig {da361b04-cc27-4688-ace8-9c78b729400f} Vuln:Win/SMTP.DNS.DoS!2010-0024 - Signature not Host-Detect or Host-Block //有些漏洞的防护特征是给Forefront网关(TMG)用的,不需要给客户端用,所以MSE不会加载这些特征,以减少资源占用。这种情况记为“Signature not Host-Detect or Host-Block”
(省略)
[12/12/10-16:59:29] [Off] Sig {dc1723b8-9db5-44ef-baae-3b52f37adcf2} Vuln:Win/MSRPC.SRVSVC.RCE!2008-4250 - Signature not applicable on OS //有些漏洞只针对特定的操作系统,当你的系统不存在此漏洞时,MSE也不会加载这些特征。这种情况记为“Signature not applicable on OS”
(省略)
[12/12/10-16:59:30] [Off] Sig {41ef698a-ad92-49d3-aa34-a065fff67242} Vuln:Win/SMB.Srv.RCE!2010-0020 - Signature retired - KB971468 was found //当你的系统已经打过针对某个漏洞的补丁时,也没必要加载这个漏洞的防护特征。这种情况记为“Signature retired - KBxxxxxx was found”
[12/12/10-16:59:30] --Signature list end-- //特征枚举结束
[12/12/10-16:59:30] Signatures: Total: 242;  Enabled: 0 //总特征数242,启用了0
[12/12/10-16:59:30] zero active signatures - will not actually load engine //我的系统打齐了补丁,不需要启用任何特征,因此实际上不加载检查引擎

评分

参与人数 4经验 +30 魅力 +1 人气 +3 收起 理由
zdw2041 + 1 感谢提供分享
mexth + 1 加分鼓励
Dirk + 1 根据版规,加1分以示鼓励
帅就是帅 + 30 + 1 原创精彩内容,微软都没有的好东西~

查看全部评分

jason_jiang
 楼主| 发表于 2010-12-17 22:17:34 | 显示全部楼层
随手写点。
开。
3533534
发表于 2010-12-17 22:25:18 | 显示全部楼层
嘿嘿  前来支持  今天直奔MSE 就是托盘图标太不给力了
帅就是帅
发表于 2010-12-17 22:28:13 | 显示全部楼层
必须支持勾叔~~
jefffire
头像被屏蔽
发表于 2010-12-17 22:28:57 | 显示全部楼层
本帖最后由 jefffire 于 2010-12-17 22:29 编辑

也就是和诺顿的IPS差不多~~~呵呵
caven
发表于 2010-12-17 22:28:59 | 显示全部楼层
赶来支持
jefffire
头像被屏蔽
发表于 2010-12-17 22:30:15 | 显示全部楼层
jason_jiang 发表于 2010-12-17 22:17
随手写点。
开。

摸一摸头像
jzty2
发表于 2010-12-17 22:34:00 | 显示全部楼层
本人自动更新老开着漏洞就不会有吧
红袖小乱
发表于 2010-12-17 22:39:19 | 显示全部楼层
学习了,原以为就是webguaid,现在明白了~楼主资料是哪里查来的?
jason_jiang
 楼主| 发表于 2010-12-17 22:42:57 | 显示全部楼层
回复 8楼 jzty2 的帖子

基本上是这样的
我估计,如果微软发现了一个漏洞,但没能很快做出补丁,可能会先用网络检查系统应对这个空窗期
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-13 15:06 , Processed in 0.156621 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表