本来是想看看MBSA(Microsoft Baseline Security Analyzer),发现微软已经早就不更新了,我记得我当初写《网络攻防实战研究漏洞利用与提权》时曾经单独介绍过MBSA用来查看系统漏洞修补情况,在微软官方搜索了半天,都没有找到该软件,国内有一些网站提供该软件下载,处于安全考虑,没有下载到本地进行测试,意外发现一款小工具可以对Windows安全基线进行检查和加固,其实现原来主要对Windows的注册表值进行检测,然后进行加固。软件名称WindowsBaselineAssistant,下载地址https://github.com/DeEpinGh0st/WindowsBaselineAssistant。软件是开源软件,可以直接编译,也可以下载编译后的程序
https://github.com/DeEpinGh0st/WindowsBaselineAssistant/releases/download/v1.2.1
/WindowsBaselineAssistant-v1.2.1.zip。
一、运行WindowsBaselineAssistant
虽然是开源的,下载到本地后解压后一共有三个文件,如图1所示,通过火绒杀毒软件对其杀毒,无病毒提示。
图1 程序文件情况
软件在Windows10下可以直接运行,Net Framework 4.0及以上,编译则需要一些依赖项:SunnyUI 3.6.3、SunnyUI.Common 3.6.3、System.ValueTuple 4.5.0、NPOI 2.5.1、Costura.Fody 4.1.0。
1.检测规则
如现在要检测重新传输的TCP连接阈值
检测类型为检索注册表 检索的注册表路径为HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\services\\Tcpip\\Parameters
检测项为TcpMaxHalfOpenRetried
标准值为400
数据类型为DWord
检测值要小于此值时判定符合
实现为:
<item>
<name>检查处于SYN_RCVD 状态下,且至少已经进行了一次重新传输的TCP连接阈值</name>
<description>xxxxxx</description>
<type>registry</type>
<registry>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters</registry>
<regitem>TcpMaxHalfOpenRetried</regitem>
<standard>400</standard>
<assessment>lessnumber</assessment>
<valuetype>dword</valuetype>
</item>直接运行WindowsBaselineAssistant.exe,运行效果如图2所示。
图2 软件运行主界面
二、检测及加固
1.对系统存在的漏洞进行检测
该工具软件不检测系统补丁修复情况,仅仅对一些可能造成被攻击的设置进行检测,如图3所示。发现里面确实存在很多问题,主要看检测结果,里面如果存在不符合项,则显示红色。
图3 安全检测结果
2.加固
单击加固,软件自动修正注册表中的值。即可完成加固。笔者实际测试,放方便。
3.导出结果
单击“导出结果”,如图4所示,会提示将加固结果导出到程序当前目录。
图4 导出加固结果
4.查看加固结果
打开“Windows安全基线检测加固结果汇总表-192.168.1.37.xlsx”文件,如图5所示,可以查看详细的结果。
图5 查看加固结果
5.自定义加固规则
在软件中也提供了自定义规则,如图6所示,根据注册表值来进行检测。
图6 自定义加固规则
三、总结及评价
软件仅仅对一些默认设置进行检测,通过加固可以从一定程度上增强系统的安全性,美中不足的是无法对系统高危漏洞补丁进行查看,微软的MBSA2.3版本可以对Windows系统存在的补丁进行比对,并给出修复建议。
