nt最近领土存在感很低？nt最近领土存在感很低，多半是废了从布

SS特5红颜101都是一打一个准只有赤那V韧性十足看空投布局SS特5红颜后方种地我以为赤那V没这么2

漏洞扫描软件Nessus怎么用？

装完后，在菜单选择：

当然，你需要获取一个“activation code”，这个在上图点击后的“主界面”获取就OK了。

下一步，需要“Update Plugins”，简单说就是升级插件，也就是漏洞库升级。需要周期较长，需要等待，淡定的等待……可以在论坛灌灌水、可以在农场偷偷菜！总之时间较长，需要淡定！

升级完后，点上图的“Manage Users”，添加一个属于你的账户。添加界面如下图：

Nessus 4.2.0和上一个版本4.0.2最大的区别就是从C/S模式改为了B/S模式，就是说你访问系统的时候可以直接通过浏览器，而不必要再安装一个可执行文 件，远程的计算机也可以访问。在上面的帐号添加好之后，打开浏览器，输入你安装Nessus主机的地址，主要是https方式而不是http方式访问，端 口是8834，如我的访问地址就是：:8834/，输入刚添加的帐号和密码就Ok了。

主界面上面有4个按钮，分别是：Reports(报表)、Scans(扫描)、Policies(策略)、User(用户)，其实也很简单，一眼就能看出来有什么作用。在User我们能进行用户的管理，增加、修改、删除账号，如：User→Add则会提示：

输入相关信息即可，当然你可以选择这个账号是否是Administrator(管理员)。

要进行安全评估，则首先要制定扫描策略，然后添加扫描范围，才能进行扫描，扫描完毕可以查看报表。就是上面说的几个按钮的用途。下面我们增加扫描策略：Policies→Add

基本上只要写“Name”即可，如果选择了Visibility为Shared，则别人也可以利用你这个策略进行扫描。填好后“Next”即可看到下面的界面：

我现在要扫描Windows主机，则在最上面选择“Windows Credentials”即可，下面的可以为空。然后“Next”

选择“Families”即可，就是你要扫描什么设备，实际上如果只扫描跑WEB服务的Windows主机，选择下面四个就可以了。选择好后“Next”，下一步可以设置数据库信息，不写了，直接“Submit”就完成。

添加完策略后，增加一个扫描任务，ScanS→Add

输入扫描任务的名称、选择我们刚才建立的策略、输入扫描目标(IP或域名)后点“Launch Scan”，扫描任务就开始了！亲爱的，我们现在就正在扫描了！新手激动？嘿嘿

一会儿就扫描完了，扫描过程中可以在“Scans”和“Reports”查看状态，扫描完后就可以在Reports下面看到Status为“Completed”。

这时候双击“WEB Server -- YouXia”就可以查看报告了。

左侧的“Download Report”可以下载评估报告；“Show Filters”可以设置过滤器，比如只显示高级别报警，这样就可以按照威胁级别进行准确筛选。

双击“Host”可以列出详细的漏洞评估报告。如哪个端口存在威胁，级别是多少。你在这里依然可以双击，双击某个端口就可以显示详细信息。我在这里选择1433。双击后可以列出有3个高级别报警。

双击某一个可以显示详情。

概要、描述、方案、CVSS、CVE编号等，当然你可以选择“Download Report”导出你生成的日志到本机保存，这样更便于分析。

如何正确对待通用安全漏洞评分系统

通用漏洞评分系统(CVSS)诞生于2007年，是用于评估系统安全漏洞严重程度的一个行业公开标准。CVSS现在已经进入第二个版本，第三版正在开发中。它的主要目的是帮助人们建立衡量漏洞严重程度的标准，使得人们可以比较漏洞的严重程度，从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果，这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10，最小为0。得分7~10的漏洞通常被认为比较严重，得分在4~6.9之间的是中级漏洞，0~3.9的则是低级漏洞。

大多数商业化漏洞管理软件都以CVSS为基础，因此各企业看待漏洞的视角通常是从CVSS得分出发。尽管CVSS在快速进行漏洞优先级排序和甄别漏洞方面效果显著，其排序速度往往基于企业对其进行本地化配置的情况。

CVSS是强大的监测工具，但进行评分所依赖的所有量度都是很笼统的。为了达到最高的监测效率，需要根据具体环境对CVSS进行本地化配置。但现实是，大多数企业病不这样做。它们直接使用Rapid7、Qualys、Tenable公司的信息，并不根据企业的特定环境和特定风险进行专门配置。

举例而言，Rapid7公司在谈及CVSS时直率地表示，CVSS基本量度只评估漏洞的潜在风险，在评估过程中并不需要收集时间和环境数据。因此，通过CVSS基本量度得出的漏洞评分并未考虑到全公司上下的整体情况。

从严格意义上来讲，CVSS评分并不代表具体事件可能发生的概率。它只代表了公司被入侵成功的概率。

CXOWare公司董事长、《衡量与管理信息风险》一书合作者杰克·琼斯(Jack Jones)在近期召开的“信息安全世界”大会上发表了一些有关CVSS的批评言论。

CVSS是很有潜力的工具，但人们对它知之甚少。大多数公司使用CVSS的方式都不对。

琼斯并不是CVSS的唯一批评者。有些人认为，CVSS在将安全风险公式化方面做得并不好，而且其评估漏洞风险的过程可能过于复杂。

另一个问题在于，CVSS通常被用于漏洞评分，进而与风险度量模块结合。结果是，这样浪费了资源，公司没办法甄别出最重要的安全问题。

琼斯对CVSS的主要疑虑来源于该系统的加权模式。CVSS的说明文档中并不包括确定权重分配的内在逻辑，因此，用户是在并不理解原理的前提下使用CVSS的。根据琼斯的个人经验，这些权重往往只适用于一小部分特殊情况，而对大多数安全事件没有概括能力。如果考虑到描述上的歧义、限制范围、应用情景，在有些情况下得到的CVSS评分可能完全没有意义。既然用户都在使用这些权重值，开发者应当至少提供一些合适的说明，以让用户在知情状态下决定何时使用这些权值。

设计和实现情况是评价CVSS这样的统计学工具的唯一指标。在近期发售的新书《统计学错了》中，作者写道：即使是在那些最智慧的使用者手里，统计学也经常是错的。科学家们大范围地错误使用统计学，令人吃惊。对于使用CVSS的用户而言，我们应该再次强调此书作者的观点。

CVSS分数计算器允许用户对权重进行自定义设置，以适应用户本公司的环境。不过，大多数公司还是使用标准的CVSS权重，并不会进行手动定制。事实上，每个公司都应当根据自身情况确定权重和分数，而不是使用官方提供的默认值。如果确认权重的工作量过重，可以从定制CVSS环境和时间变量开始进行调整，并把对权重的调整放到之后来做。

CVSS是强大的工具，提供大量的评估维度。对那些想要快速获取关于漏洞的简要评分的人而言，CVSS能够胜任。但快速和简要的评估并不能满足信息安全工作人员的需要。每个公司都应该根据自身情况定制漏洞管理策略。概括性的评分可能有用，但无法被优化。

采取以下措施来让CVSS更有效：

·理解公司暴露在风险中的方式。只有这样才能理解CVSS，并将其和漏洞管理项目绑定在一起。

·确定公司的损失暴露情况。最终，修补漏洞缺陷这类努力的效果还是要反映到减少公司损失上。应当将注意力集中在漏洞对业务的影响上。举例而言，在面向Web的系统上找的敏感信息泄露漏洞的优先级应当大于那些并不面向外界的漏洞。

·需要保证公司的漏洞评分并不基于CVSS默认设置。应当改变CVSS的环境和时间变量，以获得完整的分数。

·如果公司同时遇到了两个漏洞：一个CVSS得分很高，但还没有被入侵;另一个CVSS得分很低，但已经被入侵。公司应当如何抉择呢?公司越能把CVSS和漏洞管理项目绑定在一起，就越容易做出这类决断。尽管两家公司都使用CVSS，其对CVSS的利用深度可能完全不同。对CVSS进行定制，可以尽可能地发挥评级系统的功能，允许企业作出更明智的判断。系统漏洞会影响到的范围很大，包括系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。

腾讯电脑管家可以修复windows操作系统漏洞，还可以智能筛选区分出高危漏洞补丁及功能性补丁，操作方法：腾讯电脑管家-工具箱-选择“修复漏洞”。