windows安全检查.docx

windows安全检查.docx

《windows安全检查.docx》由会员分享，可在线阅读，更多相关《windows安全检查.docx（36页珍藏版）》请在冰豆网上搜索。

windows安全检查

一.系统信息

编号：

Windows-01001

名称：

收集主机名、工作组/域信息

说明：

获得主机名、工作组/域信息

检查方法：

在“我的电脑”点击右键|属性

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

适用版本：

All

备注：

编号：

Windows-01002

名称：

获得主机IP地址和子网掩码

说明：

获得主机IP地址、子网掩码、网关、DNS服务器、Wins服务器等信息

检查方法：

ipconfig/all

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

适用版本：

All

备注：

编号：

Windows-01003

名称：

服务器是否安装多系统

说明：

多系统无法保障文件系统的安全

检查方法：

TypeC:

\

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

C:

\>type

[bootloader]

timeout=30

default=multi（0）disk（0）rdisk（0）partition

（1）\WINDOWS

[operatingsystems]

multi（0）disk（0）rdisk（0）partition

（1）\WINDOWS="WindowsServer2003,Standard"/fastdetect

从“operatingsystems”字段可以查到允许启动的系统列表

适用版本：

All

备注：

编号：

Windows-01004

名称：

查看主机路由信息

说明：

获得主机的路由信息

检查方法：

Routeprint

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

C:

\>routeprint

IPv4RouteTable

=============================================================

InterfaceList

0x1...........................MSTCPLoopbackinterface

0x10003...0002a5b4c8e6......Intel（R）PRO/100VMNetworkConnection

=============================================================

=============================================================ActiveRoutes:

NetworkDestinationNetmaskGatewayInterfaceMetric

20

1

20

20

20

20

1

DefaultGateway:

Routes:

None

适用版本：

All

备注：

二.补丁安装情况

编号：

Windows-02001

名称：

检查系统安装的补丁以及Hotfix

说明：

检查当前主机所安装的ServicePack以及Hotfix

检查方法：

Psinfo

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

C:

\>psinfo

PsInfo-localandremotesysteminformationviewer

Copyright（C）2001MarkRussinovich

Sysinternals-informationfor\\HEAVEN:

Kernelversion:

MicrosoftWindowsServer2003,UniprocessorFree

Producttype:

Server

Productversion:

Servicepack:

0

Kernelbuildnumber:

3790

Registeredorganization:

...

Registeredowner:

Adam

Installdate:

2003-5-2,1:

18:

14

Activationstatus:

Activated

Systemroot:

C:

\WINDOWS

Processors:

1

Processorspeed:

GHz

Processortype:

x86Family6Model11Stepping1,GenuineIntel

Physicalmemory:

256MB

HotFixes:

Q147222:

NoDescription

适用版本：

All

备注：

三.帐号和口令

帐号检查请区分独立服务器和属于域的服务器：

在独立服务器上，可以直接检查本地的策略和配置；在属于域的服务器上，请检查域控制器上对计算机的域管理策略。

属于域的服务器的检查：

如果服务器属于某个域，在域控制器（DC）上起用的组策略将覆盖本地的安全策略设置，请首先检查域控制器（DC）上的组策略，操作是：

开始|程序|管理工具|AD用户和计算机，点击域，右键选属性，组策略，编辑。

编号：

Windows-03001

名称：

口令复杂度检查

说明：

对主机或域上用户强制进行口令复杂度检查

检查方法：

开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：

密码必须符合复杂性要求

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

如果该选项为Enable则表示已经打开

适用版本：

Windows2000及以上版本

备注：

在域中可能无法确定是哪个组策略在生效，可以执行Gpresult来进行分析

编号：

Windows-03002

名称：

是否有口令最短口令长度要求

说明：

对主机或域上用户是否要求最短口令

检查方法：

开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：

密码长度最小值

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

默认值应该为0，表示无最短口令长度要求

推荐值为7

适用版本：

Windows2000及以上版本

备注：

在域中可能无法确定是哪个组策略在生效，可以执行Gpresult来进行分析

编号：

Windows-03003

名称：

是否有密码过期策略

说明：

密码过期策略包括密码最长存留期和最短存留期，最长存留期是指密码在多久后过期，最短存留期是指在多久后才可以修改密码

检查方法：

开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：

#密码最长存留期，以天为单位，MAXDAYS天后密码过期，缺省为42天（建议不超过42天）

#密码最短存留期，以天为单位，MINDAYS天后才可以修改密码，缺省为0（建议1~7天）

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

根据客户网络的特定情况，确定密码最长存留期和最短存留期，作为互联网服务器可以适当延长“最长密码存留期”，并可以设置“最短密码存留期”为0。

作为内部网主机，建议使用默认值。

适用版本：

Windows2000及以上版本

备注：

可以询问客户管理员进行相关设置。

编号：

Windows-03004

名称：

帐户锁定策略检查

说明：

对主机或域上帐户检查帐号锁定策略

锁定策略包括帐户锁定计数器、帐户锁定时间、帐户锁定阀值。

检查方法：

开始|程序|管理工具|本地安全设置|安全设置|帐户策略：

帐户锁定计数器：

（建议为30分钟）

帐户锁定时间：

（建议为30分钟）

帐户锁定阀值：

（建议5次）

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

根据客户网络的特定情况，确定帐户锁定策略，作为内部网主机，建议使用推荐值；

作为互联网服务器建议不要设置该值，因为设置该值可能导致一些服务的拒绝服务。

适用版本：

Windows2000及以上版本

备注：

编号：

Windows-03005

名称：

检查Guest帐号

说明：

Guest帐号是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统

检查方法：

netuserguest

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

C:

\>netuserguest

UsernameGuest

FullName

CommentBuilt-inaccountforguestaccesstothecomputer/domain

User'scomment

Countrycode000（SystemDefault）

AccountactiveNo

AccountexpiresNever

Passwordlastset2003/5/11下午10:

47

PasswordexpiresNever

Passwordchangeable2003/5/11下午10:

47

PasswordrequiredNo

UsermaychangepasswordNo

WorkstationsallowedAll

Logonscript

Userprofile

Homedirectory

LastlogonNever

LogonhoursallowedAll

LocalGroupMemberships*Guests

GlobalGroupmemberships*None

Thecommandcompletedsuccessfully.

适用版本：

All

备注：

编号：

Windows-03006

名称：

系统是否使用默认管理员帐号

说明：

默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。

检查方法：

netuser

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

查看用户列表中是否存在Administrator帐号

适用版本：

All

备注：

编号：

Windows-03007

名称：

是否存在可疑帐号

说明：

查看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。

检查方法：

netuser

检查风险（对系统的影响，请具体描述）：

可能删除系统中重要用户导致某些应用无法正常使用，建议在删除前将可以帐号禁用，禁用方法：

netuserusername/active:

no

结果分析方法：

从列表中找寻是否存在流行黑客软件所创建的帐号，并询问客户管理员。

发现可疑帐号后执行netuserusername，查看帐号相关信息

适用版本：

All

备注：

编号：

Windows-03008

名称：

检查系统中是否存在脆弱口令

说明：

系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。

检查方法：

安装L0phtcrack4进行检查

检查风险（对系统的影响，请具体描述）：

安装该软件需得到客户管理员许可，执行该软件可能导致系统蓝屏。

结果分析方法：

通过简单测试可以获得脆弱口令帐号列表。

适用版本：

All

备注：

四.网络与服务

编号：

Windows-04001

名称：

查看网络开放端口

说明：

查看网络开放端口

检查方法：

netstat–an

检查风险（对系统的影响，请具体描述）：

在大流量网站执行该命令可能结果较多。

结果分析方法：

C:

\>netstat–an

ActiveConnections

ProtoLocalAddressForeignAddressState

TCP135LISTENING

TCPLISTENING

TCPLISTENING

TCPLISTENING

TCPLISTENING

TCPLISTENING

TCPLISTENING

UDP*:

*

UDP*:

*

UDP*:

*

UDP*:

*

UDP*:

*

UDP*:

*

UDP*:

*

UDP*:

*

UDP*:

*

适用版本：

All

备注：

编号：

Windows-04002

名称：

网络流量信息

说明：

得到网络流量信息

检查方法：

netstat–s

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

C:

\>netstat–s

IPv4Statistics

PacketsReceived=0

ReceivedHeaderErrors=0

ReceivedAddressErrors=0

DatagramsForwarded=0

UnknownProtocolsReceived=0

ReceivedPacketsDiscarded=0

ReceivedPacketsDelivered=0

OutputRequests=0

RoutingDiscards=0

DiscardedOutputPackets=0

OutputPacketNoRoute=0

ReassemblyRequired=0

ReassemblySuccessful=0

ReassemblyFailures=0

DatagramsSuccessfullyFragmented=0

DatagramsFailingFragmentation=0

FragmentsCreated=0

ICMPv4Statistics

ReceivedSent

Messages00

Errors00

DestinationUnreachable00

TimeExceeded00

ParameterProblems00

SourceQuenches00

Redirects00

Echos00

EchoReplies00

Timestamps00

TimestampReplies00

AddressMasks00

AddressMaskReplies00

TCPStatisticsforIPv4

ActiveOpens=0

PassiveOpens=0

FailedConnectionAttempts=0

ResetConnections=0

CurrentConnections=0

SegmentsReceived=0

SegmentsSent=0

SegmentsRetransmitted=0

UDPStatisticsforIPv4

DatagramsReceived=0

NoPorts=0

ReceiveErrors=0

DatagramsSent=0

适用版本：

All

备注：

各版本WindowsServernetstat的不同可能导致结果不一致，在Windows2003中增加了ICMP信息。

编号：

Windows-04003

名称：

端口、进程对应信息检查

说明：

检查主机端口、进程对应信息

检查方法：

Fport

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

PidProcessPortProtoPath

400svchost->135TCPC:

\WINNT\system32\

8System->139TCP

8System->445TCP

8System->1028TCP

872rsvp->1047TCPC:

\WINNT\System32\

624WinMgmt->1048TCPC:

\WINNT\System32\WBEM\

624WinMgmt->1049TCPC:

\WINNT\System32\WBEM\

540inetinfo->1054TCPC:

\WINNT\System32\inetsrv\

1616msdtc->2692TCPC:

\WINNT\System32\

1616msdtc->3372TCPC:

\WINNT\System32\

8System->3778TCP

400svchost->135UDPC:

\WINNT\system32\

8System->137UDP

8System->138UDP

8System->445UDP

256lsass->500UDPC:

\WINNT\system32\

244services->1029UDPC:

\WINNT\system32\

540inetinfo->3456UDPC:

\WINNT\System32\inetsrv\

适用版本：

Windows2000及以下版本

备注：

在Windows2003中Fport无法执行，可以使用netstat–ano查看端口对应的PID，然后结合04004的检查结果进行整理。

编号：

Windows-04004

名称：

主机进程信息检查

说明：

查看主机进程信息

检查方法：

pv–e

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

C:

\>pv–e

PROCESSPIDPRIOPATH

456NormalC:

\WINDOWS\System32\

504NormalC:

\WINDOWS\system32\

528HighC:

\WINDOWS\system32\

572NormalC:

\WINDOWS\system32\

584NormalC:

\WINDOWS\system32\

772NormalC:

\WINDOWS\system32\

824NormalC:

\WINDOWS\System32\

968NormalC:

\WINDOWS\system32\

984NormalC:

\WINDOWS\system32\

1016NormalC:

\WINDOWS\system32\

1176NormalC:

\WINDOWS\system32\

1232NormalC:

\WINDOWS\system32\

1328NormalC:

\WINDOWS\System32\

1340NormalC:

\WINDOWS\system32\

1360NormalC:

\WINDOWS\System32\

1412NormalC:

\PROGRA~1\Compaq\COMPAQ~1\

1460NormalC:

\WINDOWS\system32\

1508NormalC:

\WINDOWS\System32\

1616NormalC:

\WINDOWS\system32\

204NormalC:

\WINDOWS\

356NormalC:

\WINDOWS\system32\

364NormalC:

\ProgramFiles\Compaq\HotkeySoftware\

372NormalC:

\ProgramFiles\MessengerPlus!

2\

380NormalC:

\ProgramFiles\Compaq\CompaqEABSoftware\

388NormalC:

\ProgramFiles\D-Tools\

428NormalC:

\WINDOWS\system32\

508NormalC:

\ProgramFiles\MicrosoftOffice\Office10\

1444NormalC:

\WINDOWS\system32\wbem\

2492Normald:

\tools\wincmd\

3012NormalC:

\ProgramFiles\Messenger\

2700NormalC:

\WINDOWS\system32\

适用版本：

All

备注：

编号：

Windows-04005

名称：

查看启动服务列表

说明：

查看系统已经启动的服务列表

检查方法：

netstart

检查风险（对系统的影响，请具体描述）：

无

结果分析方法：

C:

\>netstart

TheseWindowsservicesarestarted:

Alerter

ApplicationLayerGatewayService

AtiHotKeyPoller

AutomaticUpdates

BackgroundIntelligentTransferService

COM+EventSystem

ComputerBrowser

CryptographicServices

DHCPClient

DistributedFileSystem

DistributedLinkTrackingClient

DistributedTransactionCoordinator

DNSClient

ErrorReportingService

EventLog

HelpandSupport

Hibernation

InfraredMonitor

InternetConnectionFirewall（ICF）/InternetConnectionSharing（ICS）

IPSECServices

NetworkConnections

NetworkLocationAwareness（NLA）

PlugandPlay

PrintSpooler

ProtectedStorage

RemoteAccessAutoConnectionManager

RemoteAccessConnectionManager

RemoteProcedureCall（RPC）

RemoteRegistry

SecondaryLogon

SecurityAccountsManager

Server

ShellHardwareDetection

SystemEvent