Windows安全基線核查加強助手

#

原本想看看MBSA（Microsoft
Baseline Security
Analyzer），發現微軟已經早就不更新了，我記得我當初寫《網絡攻防實戰研究漏洞利用與提權》時曾經單獨介紹過MBSA用來查看系統漏洞修補情況，在微軟官方搜尋了半天，都沒有找到該軟體，國內有一些網站提供該軟體下載，處於安全考慮，沒有下載到本地進行測試，意外發現一款小工具可以對Windows安全基線進行檢查和加固，其實現原來主要對Windows的註冊表值進行檢測，然後進行加固。軟體名稱WindowsBaselineAssistant，下載網址https://github.com/DeEpinGh0st/WindowsBaselineAssistant。軟體是開源軟體，可以直接編譯，也可以下載編譯後的程式

https://github.com/DeEpinGh0st/WindowsBaselineAssistant/releases/download/v1.2.1

/WindowsBaselineAssistant-v1.2.1.zip。

一、執行WindowsBaselineAssistant

儘管是開源軟體，下載後解壓縮出三個文件，可參考圖1。透過火絨防毒軟體掃描，未發現任何病毒威脅。

圖1 程式檔案狀況

軟體在Windows10下可以直接運行，Net
Framework 4.0以上，編譯則需要一些相依性：SunnyUI 3.6.3、SunnyUI.Common

3.6.3、System.ValueTuple 4.5.0、NPOI 2.5.1、Costura.Fody 4.1.0。   

1.偵測規則

如現在要偵測重新傳輸的TCP連線閾值

偵測類型為檢索登錄機碼   檢索的登錄路徑為HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters

檢測項目為TcpMaxHalfOpenRetried

標準值為400

資料類型為DWord

偵測值小於此值時判定符合

實作為：

檢查處於SYN_RCVD 狀態下,且至少已經進行了一次重新傳輸的TCP連線閾值 xxxxxx registry HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParameters TcpMaxHalfOpenRetried 400 lessnumber dword

直接執行WindowsBaselineAssistant.exe，運作效果如圖2所示。

圖2 軟體運行主介面

二、偵測及加固

1.對系統存在的漏洞進行偵測

此工具軟體不會偵測系統修補程式修復情況，僅對一些可能造成被攻擊的設定進行偵測，如圖3所示。發現裡面確實存在很多問題，主要看檢測結果，裡面如果有不符合項，則顯示紅色。

圖3 安全偵測結果

2.加固    

#點選加固，軟體自動修正登錄檔中的數值。即可完成加固。筆者實際測試，放方便。

3.匯出結果

點選“匯出結果”，如圖4所示，會提示將加固結果匯出到程式目前目錄。

圖4 匯出加固結果

4.查看加固結果

開啟「Windows安全性基準偵測加固結果總表-192.168.1.37.xlsx」文件，如圖5所示，可以查看詳細的結果。

圖5 看加固結果

5.自訂加固規則

在軟體中也提供了自訂規則，如圖6所示，根據登錄值來進行偵測。   

圖6 自訂加固規則

三、總結及評價

軟體僅對一些預設設定進行檢測，透過加固可以從一定程度上增強系統的安全性，美中不足的是無法對系統高風險漏洞補丁進行查看，微軟的MBSA2.3版本可以對Windows系統存在的補丁進行比對，並給予修復建議。 ###

以上是Windows安全基線核查加強助手的詳細內容。更多資訊請關注PHP中文網其他相關文章！