配置使 Windows 自动运行插件运行所需的设置。

报告跟踪设置为在引导时作为服务启动的程序的注册表项。

这些程序可作为系统范围的服务启动或作为驱动程序加载。

此插件列出系统的计划任务。计划任务通常用于更新软件、供系统管理员运行进程，也可被恶意软件用于在系统上蔓延。

收集 Windows 自动运行插件中列出的所有自动运行并在 CSV 报告中报告主要内容。

报告控制多个程序和系统的打印监视函数的 DLL。

使用注册表项下列出的 DLL 为新协议提供网络服务。

报告各程序最常用的启动位置。这些通常与打开计算机、用户登录、用户注销或启动远程会话时自动启动的程序相关联。

可从程序安装、GPO 或通过恶意进程来设置此类密钥以保持存续。

已知的 DLL 注册表设置用于在进程不必搜索 DLL 位置的情况下定义进程之间共享的 DLL。

报告与 Internet Explorer (IE) 应用程序相关联的注册表启动位置。

启动值包括 Internet Explorer 插件，以便将 IE、浏览器工具栏、挂钩的功能扩展到浏览器控件和设置。

报告可用于劫持系统进程执行的常用注册表项。

这些注册表项可用于替换执行，或引入执行中的进程以劫持控制。确认此处列出的所有内容都已设置为正确设置，并且其他进程似乎未在控制进程的执行。

报告与 explorer.exe 进程关联的启动位置。

这些项目可添加菜单控制，添加 HTTP 或 FTP 等常见协议的扩展，或通过桌面和控制面板设置控制用户活动。

编解码器是用于通常与视频和音频回放相关的数字数据流的编码器和解码器。

以下关键字是设置为自动启动以控制不同类型的数字媒体编码和解码的编解码器。

引导期间报告与会话管理器子系统关联的注册表启动位置。

这些注册表项在引导时随 smss.exe 服务启动，并执行 Windows 运行时不能执行的系统任务。

报告被设置为由所有进程全局加载的 DLL。 

列出的注册表项通过相关联的 32 位或 64 位执行将 DLL 加载到所有进程中。

LSA（本地安全机构）是可用于授权用户访问系统的应用程序。报告的自动运行可提供此服务或此服务的功能。

远程 Windows 主机上安装的 Apple iTunes 版本低于 11.1.2。因此，它可能受到若干问题的影响：

- 文本跟踪的处理中存在未初始化内存访问问题，可导致内存损坏并可能执行任意代码。
 (CVE-2013-1024)

- 包含的 WebKit、libxml 和 libxslt 版本中包含多种错误，可导致内存损坏和可能执行任意代码。供应商指出，当应用程序浏览“iTunes Store”时，一个可能的攻击载体为中间人攻击。
 （CVE-2011-3102、CVE-2012-0841、CVE-2012-2807、CVE-2012-2825、CVE-2012-2870、CVE-2012-2871、CVE-2012-5134、CVE-2013-1037、CVE-2013-1038、CVE-2013-1039、CVE-2013-1040、CVE-2013-1041、CVE-2013-1042、CVE-2013-1043、CVE-2013-1044、CVE-2013-1045、CVE-2013-1046、CVE-2013-1047、CVE-2013-2842、CVE-2013-5125、CVE-2013-5126、CVE-2013-5127、CVE-2013-5128）

远程主机上安装的 Opera 的版本低于版本 17。因此据报告，它受到多个不明漏洞的影响。

根据其版本，远程主机上安装的 BlackBerry Enterprise Service (BES) 低于 10.1.3。此类版本未正确限制对 JBoss 远程方法调用 (RMI) 接口的访问，因此可能受到其通用设备服务 (UDS) 组件中远程代码执行漏洞的影响。邻近网络中知道该组件地址的远程攻击者可利用此问题，通过对 1098 端口的请求来上传任意程序包，然后以 BES 或 UDS 管理服务帐户身份执行代码。

如果无法整体更新 BlackBerry Enterprise Service，BlackBerry 公告中详细说明了多种变通方案。如果已应用所有这些变通方案，这一发现可能为误报。

远程主机上安装的 Google Chrome 版本低于 30.0.1599.101。因此，它受到多种漏洞的影响：

- 存在与编辑、表单和 XmlHttpRequest (XHR) 相关的释放后使用错误。（CVE-2013-2925、CVE-2013-2926、CVE-2013-2927）

- 存在各种不明错误。(CVE-2013-2928)

远程主机上安装的 Oracle（旧称 Sun）Java SE 或 Java for Business 的版本低于 7 Update 45、6 Update 65 或 5 Update 55。因此，它可能受到以下组件中的安全问题影响：

- 2D
 - AWT
 - BEANS
 - CORBA
 - Deployment
 - JAX-WS
 - JAXP
 - JGSS
 - jhat
 - JNDI
 - JavaFX
 - Javadoc
 - Libraries
 - SCRIPTING
 - Security
 - Swing

根据其版本，远程主机上的 IBM DB2 10.1 受到以下漏洞的影响：

- 使用多节点配置时，Fast Communications Manager (FCM) 中存在错误，可导致拒绝服务攻击。(CVE-2013-4032/ IC94434)

存在一个不明的错误，可允许攻击者对数据库表获取 SELECT、INSERT、UPDATE 或 DELETE 权限。请注意，成功利用需要权限 EXPLAIN、SQLADM 或 DBADM。
 (CVE-2013-4033/ IC94757)

远程主机上安装了企业数据库解决方案 IBM DB2 或 DB2 Connect。

远程 Windows 主机上安装有 McAfee Web Reporter（一种用于识别组织中的 Internet 使用情况的报告工具）。

根据远程主机上安装的 McAfee Agent 版本，它受到一个拒绝服务漏洞的影响，该漏洞可由特别构建的 HTTP 请求触发。成功利用将造成 FrameworkService.exe 服务崩溃。

注意：此插件不检查是否存在任何缓解措施，例如设置策略以将连接仅限于来自 ePO 服务器。

远程主机安装了 McAfee Common Management Agent，这是 McAfee 的 ePolicy Orchestrator (ePO) 系统安全管理解决方案的组件。

远程主机缺少 Microsoft KB2532445，该更新用于防止攻击者通过使用 Office 宏来绕过 AppLocker 规则。

远程 Windows 主机上的 Adobe RoboHelp 10 安装中包含低于 10.0.1.294 的 DLL (MDBMS.dll)。因此据报告，它受到一个不明内存损坏漏洞的影响。
成功利用此问题可允许攻击者在受影响的系统上执行任意代码。

远程主机上安装的 Adobe Reader 版本为 11.0.4。因此，它受到对特别构建的 PDF 文件的处理中的一个缺陷影响。这可允许攻击者启动 JavaScript URI 方案。

远程主机上安装的 Adobe Acrobat 版本为 11.0.4。因此，它受到对特别构建的 PDF 文件的处理中的一个缺陷影响。这可允许攻击者启动 JavaScript URI 方案。

报告有关计算机上正在运行的进程模块的详细信息。

此插件仅提供信息，可被用于取证调查、恶意软件检测和确认系统进程符合系统策略。

根据进程名称为唯一正在运行的进程解析经扫描的系统。

此报告的输出不意味着任何错误。每个条目仅提供信息，若发现可疑之处，应进行调查。 

注意： 

  - 此插件使用来自插件 #70329 的输出（Microsoft Windows 进程信息）。

  - 必须扫描 2 个或更多系统才能运行此扫描。

报告计算机上正在运行的进程的详细信息。

此插件仅提供信息，可被用于取证调查、恶意软件检测和确认系统进程符合系统策略。

远程主机上安装的 Google Chrome 版本低于 30.0.1599.66。因此，它受到多种漏洞的影响：

- 存在与“Web 音频”相关的争用条件。
 (CVE-2013-2906)

- 存在与“Window.prototype”对象、“Web 音频”以及 URL 解析相关的越界读取错误。（CVE-2013-2907、CVE-2013-2917、CVE-2013-2920）

- 存在与地址栏相关的多个错误，可允许欺骗攻击。（CVE-2013-2908、CVE-2013-2915、CVE-2013-2916）

- 存在与“inline-block”渲染、“Web 音频”、XSLT、PPAPI、XML 文档解析、Windows 颜色选择器对话框、DOM、资源加载程序、“template”元素和 ICU 相关的释放后使用错误。
 （CVE-2013-2909、CVE-2013-2910、CVE-2013-2911、CVE-2013-2912、CVE-2013-2913、CVE-2013-2914、CVE-2013-2918、CVE-2013-2921、CVE-2013-2922、CVE-2013-2924）

- V8 JavaScript 引擎中存在一个内存损坏错误。(CVE-2013-2919)

- 存在各种不明错误。(CVE-2013-2923)

远程 Windows 主机上安装的 IBM Lotus Sametime Connect 版本可能受到信息泄露漏洞的影响。应用程序中的一个缺陷造成客户端密码以明码存储在客户端内存中。

远程主机上安装的 Opera 的版本低于版本 15。因此，它容易遭受跨站脚本攻击，原因是对 UTF-8 页面编码设置的错误验证。

根据其版本，远程 Windows 主机上的 Adobe AIR 实例是 3.7.0.2090 或更早版本。因此，它可能受到多种漏洞的影响：

- 存在一个基于堆的缓冲区溢出漏洞，可导致代码执行。(CVE-2013-3344)

- 存在一个内存损坏漏洞，可导致代码执行。(CVE-2013-3345)

- 再采样用户提供的 PCM 缓冲区时存在整数溢出。(CVE-2013-3347)

远程主机安装了包含受到多种漏洞影响的 jmc-app.ear 版本的 Adobe JRun 版本：

- 管理控制台中的“logviewer.jsp”中存在一个目录遍历漏洞，允许经认证的远程攻击者通过“logfile”参数读取任意文件。
 (CVE-2009-1873)

- 管理控制台中存在多种跨站脚本漏洞，允许远程攻击者通过不明矢量注入任意 Web 脚本或 HTML。(CVE-2009-1874)

远程主机安装了 Adobe JRun。Jrun 是用于 Java 应用程序的应用服务器。

根据其自我报告的版本号，远程主机上的 Cisco Unity 安装可能受到一个认证绕过漏洞的影响。

请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。此外，Nessus 收集的版本信息的粗糙性不足以确认应用程序是否存在漏洞，只能确认其可能受到影响。

远程主机安装了 Cisco Unity。Cisco Unity 是一款通信集成软件，将电话系统桥接到电子邮件。

根据其版本号，远程主机上安装的适用于 HP 网络节点管理器 i (NNMi) 的 Web 界面受到不明跨站脚本漏洞的影响。

远程主机安装有 HP Network Node Manager i (NNMi)。NNMi 是 HP Automated Network Management Suite 的组件。

根据其版本，远程主机上安装的 Roxio Creator 为低于或等于 9.0.136 的 9.x。因此，它受到一个与图像处理有关的整数溢出漏洞的影响，该漏洞允许任意代码执行。

远程主机上安装了媒体创建和光盘授权应用程序 Roxio Creator。

由于对于某些单点登录协议和标记模块有关的 XML 签名的错误验证，远程 Windows 主机上安装的 IBM Tivoli Federated Identity Manager 版本受到一个签名验证绕过漏洞的影响。未经认证的远程攻击者通过特别构建的消息来利用此漏洞以其他用户身份执行操作。

远程主机正在运行受到多种缓冲区溢出漏洞影响的 Juniper NetScreen VPN 客户端版本：

- 在 UDP 端口 62514 上监听的 IKE VPN 服务容易受到可通过发送特别构建的数据包触发的堆栈溢出漏洞的影响。
 (CVE-2009-1943)

- spdedit.exe 在解析特别构建的 SPD 文件中存在一个可被利用于触发堆栈溢出的缺陷。
 (CVE-2009-3861)

成功利用任一个漏洞可允许远程攻击者在主机上执行任意代码。

远程主机安装了 Juniper NetScreen VPN Client。

远程应用程序正在运行 Web 过滤产品的商业套件 Websense Triton。

远程 Websense Triton 实例无法对用户提供的输入进行审查，尤其影响“explorer_wse/ws_irpt.exe”文件。攻击者可利用此问题以 SYSTEM 级别权限执行任意命令。

远程 Windows 主机上安装的 IBM Lotus Sametime Connect 版本为 7.5 或 7.5.1。此类版本可能受到一个跨站脚本漏洞的影响。通过诱骗用户将鼠标移到特别构建的内容上，攻击者能以运行受影响应用程序的用户的权限在远程主机上执行任意脚本代码。

远程 Windows 主机上安装了通信客户端应用程序 IBM Lotus Sametime Connect Client。

ID	名称	严重性
70627	Microsoft Windows 自动运行设置	info
70626	Microsoft Windows 自动运行服务和驱动程序	info
70625	Microsoft Windows 自动运行计划任务	info
70624	Microsoft Windows 自动运行报告	info
70623	Microsoft Windows 自动运行打印监视器	info
70622	Microsoft Windows 自动运行网络供应商	info
70621	Microsoft Windows 自动运行登录	info
70620	Microsoft Windows 自动运行已知 DLL	info
70619	Microsoft Windows 自动运行 Internet Explorer	info
70618	Microsoft Windows 自动运行注册表劫持可能的位置	info
70617	Microsoft Windows 自动运行资源管理器	info
70616	Microsoft Windows 自动运行编解码器	info
70615	Microsoft Windows 自动运行引导执行	info
70614	Microsoft Windows 自动运行 Appinit DLL	info
70613	Microsoft Windows 自动运行 LSA 供应商	info
70588	Apple iTunes < 11.1.2 多种漏洞（凭据检查）	high
70532	Opera < 17 多个漏洞	medium
70498	BlackBerry Enterprise Service 远程代码执行 (KB35139)	high
70494	Google Chrome < 30.0.1599.101 多种漏洞	high
70472	Oracle Java SE 多种漏洞（2013 年 10 月 CPU）	critical
70456	IBM DB2 10.1 < Fix Pack 3 多种漏洞（凭据检查）	critical
70454	IBM DB2 和 DB2 Connect 检测（凭据）	info
70412	安装了 McAfee Web Reporter（凭据检查）	info
70398	McAfee Managed Agent FrameworkService.exe 拒绝服务（凭据检查）	medium
70396	McAfee Common Management Agent 安装检测	info
70395	MS KB2532445：AppLocker 规则绕过	low
70352	Adobe RoboHelp 10 不明内存损坏 (APSB13-024)	critical
70343	Adobe Reader 11.0.4 构建的 PDF 文件处理 JavaScript 方案 URI 执行 (APSB13-25)	high
70342	Adobe Acrobat 11.0.4 构建的 PDF 文件处理 JavaScript 方案 URI 执行 (APSB13-25)	high
70331	Microsoft Windows Process 模块信息	info
70330	Microsoft Windows 进程唯一进程名称	info
70329	Microsoft Windows 进程信息	info
70273	Google Chrome < 30.0.1599.66 多种漏洞	high
70260	IBM Lotus Sametime Connect 客户端密码泄露	low
70217	Opera < 15 UTF-8 编码 XSS	medium
70214	Adobe AIR <= 3.7.0.2090 多种漏洞 (APSB13-17)	critical
70176	Adobe JRun 4.0 多种漏洞 (APSB09-12)	medium
70175	Adobe Jrun 检测	info
70170	Cisco Unity 远程管理认证绕过 (cisco-sa-20081008-unity)	medium
70169	Cisco Unity 检测	info
70147	HP NNMi 8.x / 9.0x / 9.1x / 9.20 不明 XSS	medium
70145	HP Network Node Manager i (NNMi) 检测（凭据检查）	info
70144	Roxio Creator 9.x <= 9.0.136 图像处理整数溢出	high
70143	安装了 Roxio Creator	info
70126	IBM Tivoli Federated Identity Manager XML 签名验证绕过	medium
70121	Juniper NetScreen VPN 客户端多种缓冲区溢出漏洞	critical
70120	Juniper NetScreen VPN Client 检测	info
70119	Websense Triton 7.1.x < 7.1.3 / 7.5.x < 7.5.3 / 7.6.0 < 7.6.1 / 7.6.2 < 7.6.3 远程命令执行	high
70072	IBM Lotus Sametime Connect 客户端鼠标悬停 XSS	medium
70071	安装了 IBM Lotus Sametime Connect Client	info

检测

Nessus 的 Windows 系列

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

high

medium

high

high

critical

critical

info

info

medium

info

low

critical

high

high

info

info

info

high

low

medium

critical

medium

info

medium

info

medium

info

high

info

medium

critical

info

high

medium

info