Windows安全基线核查加固助手

本来是想看看MBSA（Microsoft
Baseline Security
Analyzer），发现微软已经早就不更新了，我记得我当初写《网络攻防实战研究漏洞利用与提权》时曾经单独介绍过MBSA用来查看系统漏洞修补情况，在微软官方搜索了半天，都没有找到该软件，国内有一些网站提供该软件下载，处于安全考虑，没有下载到本地进行测试，意外发现一款小工具可以对Windows安全基线进行检查和加固，其实现原来主要对Windows的注册表值进行检测，然后进行加固。软件名称WindowsBaselineAssistant，下载地址https://github.com/DeEpinGh0st/WindowsBaselineAssistant。软件是开源软件，可以直接编译，也可以下载编译后的程序

https://github.com/DeEpinGh0st/WindowsBaselineAssistant/releases/download/v1.2.1

/WindowsBaselineAssistant-v1.2.1.zip。

一、运行WindowsBaselineAssistant

尽管是开源软件，下载后解压出三个文件，可参考图1。通过火绒杀毒软件扫描，未发现任何病毒威胁。

图1 程序文件情况

软件在Windows10下可以直接运行，Net
Framework 4.0及以上，编译则需要一些依赖项：SunnyUI 3.6.3、SunnyUI.Common
3.6.3、System.ValueTuple 4.5.0、NPOI 2.5.1、Costura.Fody 4.1.0。    

1.检测规则

如现在要检测重新传输的TCP连接阈值

检测类型为检索注册表   检索的注册表路径为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters

检测项为TcpMaxHalfOpenRetried

标准值为400

数据类型为DWord

检测值要小于此值时判定符合

实现为：

检查处于SYN_RCVD 状态下,且至少已经进行了一次重新传输的TCP连接阈值
xxxxxx
registry
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParameters
TcpMaxHalfOpenRetried
400
lessnumber
dword

直接运行WindowsBaselineAssistant.exe，运行效果如图2所示。

图2 软件运行主界面

二、检测及加固

1.对系统存在的漏洞进行检测

该工具软件不检测系统补丁修复情况，仅仅对一些可能造成被攻击的设置进行检测，如图3所示。发现里面确实存在很多问题，主要看检测结果，里面如果存在不符合项，则显示红色。

图3 安全检测结果

2.加固    

单击加固，软件自动修正注册表中的值。即可完成加固。笔者实际测试，放方便。

3.导出结果

单击“导出结果”，如图4所示，会提示将加固结果导出到程序当前目录。

图4 导出加固结果

4.查看加固结果

打开“Windows安全基线检测加固结果汇总表-192.168.1.37.xlsx”文件，如图5所示，可以查看详细的结果。

图5 查看加固结果

5.自定义加固规则

在软件中也提供了自定义规则，如图6所示，根据注册表值来进行检测。    

图6 自定义加固规则

三、总结及评价

软件仅仅对一些默认设置进行检测，通过加固可以从一定程度上增强系统的安全性，美中不足的是无法对系统高危漏洞补丁进行查看，微软的MBSA2.3版本可以对Windows系统存在的补丁进行比对，并给出修复建议。

以上是Windows安全基线核查加固助手的详细内容。更多信息请关注PHP中文网其他相关文章！