原本想看看MBSA(Microsoft
Baseline Security
Analyzer),發現微軟已經早就不更新了,我記得我當初寫《網絡攻防實戰研究漏洞利用與提權》時曾經單獨介紹過MBSA用來查看系統漏洞修補情況,在微軟官方搜尋了半天,都沒有找到該軟體,國內有一些網站提供該軟體下載,處於安全考慮,沒有下載到本地進行測試,意外發現一款小工具可以對Windows安全基線進行檢查和加固,其實現原來主要對Windows的註冊表值進行檢測,然後進行加固。軟體名稱WindowsBaselineAssistant,下載網址https://github.com/DeEpinGh0st/WindowsBaselineAssistant。軟體是開源軟體,可以直接編譯,也可以下載編譯後的程式
https://github.com/DeEpinGh0st/WindowsBaselineAssistant/releases/download/v1.2.1
/WindowsBaselineAssistant-v1.2.1.zip。
儘管是開源軟體,下載後解壓縮出三個文件,可參考圖1。透過火絨防毒軟體掃描,未發現任何病毒威脅。
圖1 程式檔案狀況
軟體在Windows10下可以直接運行,Net
Framework 4.0以上,編譯則需要一些相依性:SunnyUI 3.6.3、SunnyUI.Common
1.偵測規則
如現在要偵測重新傳輸的TCP連線閾值
偵測類型為檢索登錄機碼 檢索的登錄路徑為HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters
檢測項目為TcpMaxHalfOpenRetried
標準值為400
資料類型為DWord
偵測值小於此值時判定符合
實作為:
檢查處於SYN_RCVD 狀態下,且至少已經進行了一次重新傳輸的TCP連線閾值 xxxxxx registry HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParameters TcpMaxHalfOpenRetried 400 lessnumber dword
直接執行WindowsBaselineAssistant.exe,運作效果如圖2所示。
圖2 軟體運行主介面
1.對系統存在的漏洞進行偵測
此工具軟體不會偵測系統修補程式修復情況,僅對一些可能造成被攻擊的設定進行偵測,如圖3所示。發現裡面確實存在很多問題,主要看檢測結果,裡面如果有不符合項,則顯示紅色。
圖3 安全偵測結果
2.加固 #點選加固,軟體自動修正登錄檔中的數值。即可完成加固。筆者實際測試,放方便。
3.匯出結果
點選“匯出結果”,如圖4所示,會提示將加固結果匯出到程式目前目錄。
圖4 匯出加固結果
4.查看加固結果
開啟「Windows安全性基準偵測加固結果總表-192.168.1.37.xlsx」文件,如圖5所示,可以查看詳細的結果。
圖5 看加固結果
5.自訂加固規則
在軟體中也提供了自訂規則,如圖6所示,根據登錄值來進行偵測。
圖6 自訂加固規則
軟體僅對一些預設設定進行檢測,透過加固可以從一定程度上增強系統的安全性,美中不足的是無法對系統高風險漏洞補丁進行查看,微軟的MBSA2.3版本可以對Windows系統存在的補丁進行比對,並給予修復建議。 ###
以上是Windows安全基線核查加強助手的詳細內容。更多資訊請關注PHP中文網其他相關文章!