windows安全检查.docx
《windows安全检查.docx》由会员分享,可在线阅读,更多相关《windows安全检查.docx(36页珍藏版)》请在冰豆网上搜索。
windows安全检查
一.系统信息
编号:
Windows-01001
名称:
收集主机名、工作组/域信息
说明:
获得主机名、工作组/域信息
检查方法:
在“我的电脑”点击右键|属性
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
适用版本:
All
备注:
编号:
Windows-01002
名称:
获得主机IP地址和子网掩码
说明:
获得主机IP地址、子网掩码、网关、DNS服务器、Wins服务器等信息
检查方法:
ipconfig/all
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
适用版本:
All
备注:
编号:
Windows-01003
名称:
服务器是否安装多系统
说明:
多系统无法保障文件系统的安全
检查方法:
TypeC:
\
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
C:
\>type
[bootloader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition
(1)\WINDOWS
[operatingsystems]
multi(0)disk(0)rdisk(0)partition
(1)\WINDOWS="WindowsServer2003,Standard"/fastdetect
从“operatingsystems”字段可以查到允许启动的系统列表
适用版本:
All
备注:
编号:
Windows-01004
名称:
查看主机路由信息
说明:
获得主机的路由信息
检查方法:
Routeprint
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
C:
\>routeprint
IPv4RouteTable
=============================================================
InterfaceList
0x1...........................MSTCPLoopbackinterface
0x10003...0002a5b4c8e6......Intel(R)PRO/100VMNetworkConnection
=============================================================
=============================================================ActiveRoutes:
NetworkDestinationNetmaskGatewayInterfaceMetric
20
1
20
20
20
20
1
DefaultGateway:
Routes:
None
适用版本:
All
备注:
二.补丁安装情况
编号:
Windows-02001
名称:
检查系统安装的补丁以及Hotfix
说明:
检查当前主机所安装的ServicePack以及Hotfix
检查方法:
Psinfo
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
C:
\>psinfo
PsInfo-localandremotesysteminformationviewer
Copyright(C)2001MarkRussinovich
Sysinternals-informationfor\\HEAVEN:
Kernelversion:
MicrosoftWindowsServer2003,UniprocessorFree
Producttype:
Server
Productversion:
Servicepack:
0
Kernelbuildnumber:
3790
Registeredorganization:
...
Registeredowner:
Adam
Installdate:
2003-5-2,1:
18:
14
Activationstatus:
Activated
Systemroot:
C:
\WINDOWS
Processors:
1
Processorspeed:
GHz
Processortype:
x86Family6Model11Stepping1,GenuineIntel
Physicalmemory:
256MB
HotFixes:
Q147222:
NoDescription
适用版本:
All
备注:
三.帐号和口令
帐号检查请区分独立服务器和属于域的服务器:
在独立服务器上,可以直接检查本地的策略和配置;在属于域的服务器上,请检查域控制器上对计算机的域管理策略。
属于域的服务器的检查:
如果服务器属于某个域,在域控制器(DC)上起用的组策略将覆盖本地的安全策略设置,请首先检查域控制器(DC)上的组策略,操作是:
开始|程序|管理工具|AD用户和计算机,点击域,右键选属性,组策略,编辑。
编号:
Windows-03001
名称:
口令复杂度检查
说明:
对主机或域上用户强制进行口令复杂度检查
检查方法:
开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略:
密码必须符合复杂性要求
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
如果该选项为Enable则表示已经打开
适用版本:
Windows2000及以上版本
备注:
在域中可能无法确定是哪个组策略在生效,可以执行Gpresult来进行分析
编号:
Windows-03002
名称:
是否有口令最短口令长度要求
说明:
对主机或域上用户是否要求最短口令
检查方法:
开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略:
密码长度最小值
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
默认值应该为0,表示无最短口令长度要求
推荐值为7
适用版本:
Windows2000及以上版本
备注:
在域中可能无法确定是哪个组策略在生效,可以执行Gpresult来进行分析
编号:
Windows-03003
名称:
是否有密码过期策略
说明:
密码过期策略包括密码最长存留期和最短存留期,最长存留期是指密码在多久后过期,最短存留期是指在多久后才可以修改密码
检查方法:
开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略:
#密码最长存留期,以天为单位,MAXDAYS天后密码过期,缺省为42天(建议不超过42天)
#密码最短存留期,以天为单位,MINDAYS天后才可以修改密码,缺省为0(建议1~7天)
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
根据客户网络的特定情况,确定密码最长存留期和最短存留期,作为互联网服务器可以适当延长“最长密码存留期”,并可以设置“最短密码存留期”为0。
作为内部网主机,建议使用默认值。
适用版本:
Windows2000及以上版本
备注:
可以询问客户管理员进行相关设置。
编号:
Windows-03004
名称:
帐户锁定策略检查
说明:
对主机或域上帐户检查帐号锁定策略
锁定策略包括帐户锁定计数器、帐户锁定时间、帐户锁定阀值。
检查方法:
开始|程序|管理工具|本地安全设置|安全设置|帐户策略:
帐户锁定计数器:
(建议为30分钟)
帐户锁定时间:
(建议为30分钟)
帐户锁定阀值:
(建议5次)
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
根据客户网络的特定情况,确定帐户锁定策略,作为内部网主机,建议使用推荐值;
作为互联网服务器建议不要设置该值,因为设置该值可能导致一些服务的拒绝服务。
适用版本:
Windows2000及以上版本
备注:
编号:
Windows-03005
名称:
检查Guest帐号
说明:
Guest帐号是一个容易忽视的帐号,黑客可能修改该帐号权限,并利用该帐号登陆系统
检查方法:
netuserguest
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
C:
\>netuserguest
UsernameGuest
FullName
CommentBuilt-inaccountforguestaccesstothecomputer/domain
User'scomment
Countrycode000(SystemDefault)
AccountactiveNo
AccountexpiresNever
Passwordlastset2003/5/11下午10:
47
PasswordexpiresNever
Passwordchangeable2003/5/11下午10:
47
PasswordrequiredNo
UsermaychangepasswordNo
WorkstationsallowedAll
Logonscript
Userprofile
Homedirectory
LastlogonNever
LogonhoursallowedAll
LocalGroupMemberships*Guests
GlobalGroupmemberships*None
Thecommandcompletedsuccessfully.
适用版本:
All
备注:
编号:
Windows-03006
名称:
系统是否使用默认管理员帐号
说明:
默认管理员帐号可能被攻击者用来进行密码暴力猜测,建议修改默认管理员用户名。
检查方法:
netuser
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
查看用户列表中是否存在Administrator帐号
适用版本:
All
备注:
编号:
Windows-03007
名称:
是否存在可疑帐号
说明:
查看系统是否存在攻击者留下的可疑帐号,或检查主机操作人员遗留下的尚未删除的帐号。
检查方法:
netuser
检查风险(对系统的影响,请具体描述):
可能删除系统中重要用户导致某些应用无法正常使用,建议在删除前将可以帐号禁用,禁用方法:
netuserusername/active:
no
结果分析方法:
从列表中找寻是否存在流行黑客软件所创建的帐号,并询问客户管理员。
发现可疑帐号后执行netuserusername,查看帐号相关信息
适用版本:
All
备注:
编号:
Windows-03008
名称:
检查系统中是否存在脆弱口令
说明:
系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。
检查方法:
安装L0phtcrack4进行检查
检查风险(对系统的影响,请具体描述):
安装该软件需得到客户管理员许可,执行该软件可能导致系统蓝屏。
结果分析方法:
通过简单测试可以获得脆弱口令帐号列表。
适用版本:
All
备注:
四.网络与服务
编号:
Windows-04001
名称:
查看网络开放端口
说明:
查看网络开放端口
检查方法:
netstat–an
检查风险(对系统的影响,请具体描述):
在大流量网站执行该命令可能结果较多。
结果分析方法:
C:
\>netstat–an
ActiveConnections
ProtoLocalAddressForeignAddressState
TCP135LISTENING
TCPLISTENING
TCPLISTENING
TCPLISTENING
TCPLISTENING
TCPLISTENING
TCPLISTENING
UDP*:
*
UDP*:
*
UDP*:
*
UDP*:
*
UDP*:
*
UDP*:
*
UDP*:
*
UDP*:
*
UDP*:
*
适用版本:
All
备注:
编号:
Windows-04002
名称:
网络流量信息
说明:
得到网络流量信息
检查方法:
netstat–s
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
C:
\>netstat–s
IPv4Statistics
PacketsReceived=0
ReceivedHeaderErrors=0
ReceivedAddressErrors=0
DatagramsForwarded=0
UnknownProtocolsReceived=0
ReceivedPacketsDiscarded=0
ReceivedPacketsDelivered=0
OutputRequests=0
RoutingDiscards=0
DiscardedOutputPackets=0
OutputPacketNoRoute=0
ReassemblyRequired=0
ReassemblySuccessful=0
ReassemblyFailures=0
DatagramsSuccessfullyFragmented=0
DatagramsFailingFragmentation=0
FragmentsCreated=0
ICMPv4Statistics
ReceivedSent
Messages00
Errors00
DestinationUnreachable00
TimeExceeded00
ParameterProblems00
SourceQuenches00
Redirects00
Echos00
EchoReplies00
Timestamps00
TimestampReplies00
AddressMasks00
AddressMaskReplies00
TCPStatisticsforIPv4
ActiveOpens=0
PassiveOpens=0
FailedConnectionAttempts=0
ResetConnections=0
CurrentConnections=0
SegmentsReceived=0
SegmentsSent=0
SegmentsRetransmitted=0
UDPStatisticsforIPv4
DatagramsReceived=0
NoPorts=0
ReceiveErrors=0
DatagramsSent=0
适用版本:
All
备注:
各版本WindowsServernetstat的不同可能导致结果不一致,在Windows2003中增加了ICMP信息。
编号:
Windows-04003
名称:
端口、进程对应信息检查
说明:
检查主机端口、进程对应信息
检查方法:
Fport
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
PidProcessPortProtoPath
400svchost->135TCPC:
\WINNT\system32\
8System->139TCP
8System->445TCP
8System->1028TCP
872rsvp->1047TCPC:
\WINNT\System32\
624WinMgmt->1048TCPC:
\WINNT\System32\WBEM\
624WinMgmt->1049TCPC:
\WINNT\System32\WBEM\
540inetinfo->1054TCPC:
\WINNT\System32\inetsrv\
1616msdtc->2692TCPC:
\WINNT\System32\
1616msdtc->3372TCPC:
\WINNT\System32\
8System->3778TCP
400svchost->135UDPC:
\WINNT\system32\
8System->137UDP
8System->138UDP
8System->445UDP
256lsass->500UDPC:
\WINNT\system32\
244services->1029UDPC:
\WINNT\system32\
540inetinfo->3456UDPC:
\WINNT\System32\inetsrv\
适用版本:
Windows2000及以下版本
备注:
在Windows2003中Fport无法执行,可以使用netstat–ano查看端口对应的PID,然后结合04004的检查结果进行整理。
编号:
Windows-04004
名称:
主机进程信息检查
说明:
查看主机进程信息
检查方法:
pv–e
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
C:
\>pv–e
PROCESSPIDPRIOPATH
456NormalC:
\WINDOWS\System32\
504NormalC:
\WINDOWS\system32\
528HighC:
\WINDOWS\system32\
572NormalC:
\WINDOWS\system32\
584NormalC:
\WINDOWS\system32\
772NormalC:
\WINDOWS\system32\
824NormalC:
\WINDOWS\System32\
968NormalC:
\WINDOWS\system32\
984NormalC:
\WINDOWS\system32\
1016NormalC:
\WINDOWS\system32\
1176NormalC:
\WINDOWS\system32\
1232NormalC:
\WINDOWS\system32\
1328NormalC:
\WINDOWS\System32\
1340NormalC:
\WINDOWS\system32\
1360NormalC:
\WINDOWS\System32\
1412NormalC:
\PROGRA~1\Compaq\COMPAQ~1\
1460NormalC:
\WINDOWS\system32\
1508NormalC:
\WINDOWS\System32\
1616NormalC:
\WINDOWS\system32\
204NormalC:
\WINDOWS\
356NormalC:
\WINDOWS\system32\
364NormalC:
\ProgramFiles\Compaq\HotkeySoftware\
372NormalC:
\ProgramFiles\MessengerPlus!
2\
380NormalC:
\ProgramFiles\Compaq\CompaqEABSoftware\
388NormalC:
\ProgramFiles\D-Tools\
428NormalC:
\WINDOWS\system32\
508NormalC:
\ProgramFiles\MicrosoftOffice\Office10\
1444NormalC:
\WINDOWS\system32\wbem\
2492Normald:
\tools\wincmd\
3012NormalC:
\ProgramFiles\Messenger\
2700NormalC:
\WINDOWS\system32\
适用版本:
All
备注:
编号:
Windows-04005
名称:
查看启动服务列表
说明:
查看系统已经启动的服务列表
检查方法:
netstart
检查风险(对系统的影响,请具体描述):
无
结果分析方法:
C:
\>netstart
TheseWindowsservicesarestarted:
Alerter
ApplicationLayerGatewayService
AtiHotKeyPoller
AutomaticUpdates
BackgroundIntelligentTransferService
COM+EventSystem
ComputerBrowser
CryptographicServices
DHCPClient
DistributedFileSystem
DistributedLinkTrackingClient
DistributedTransactionCoordinator
DNSClient
ErrorReportingService
EventLog
HelpandSupport
Hibernation
InfraredMonitor
InternetConnectionFirewall(ICF)/InternetConnectionSharing(ICS)
IPSECServices
NetworkConnections
NetworkLocationAwareness(NLA)
PlugandPlay
PrintSpooler
ProtectedStorage
RemoteAccessAutoConnectionManager
RemoteAccessConnectionManager
RemoteProcedureCall(RPC)
RemoteRegistry
SecondaryLogon
SecurityAccountsManager
Server
ShellHardwareDetection
SystemEvent