Windows安全基线核查加固助手

系统 安全
我记得我当初写《网络攻防实战研究漏洞利用与提权》时曾经单独介绍过MBSA用来查看系统漏洞修补情况,在微软官方搜索了半天,都没有找到该软件,国内有一些网站提供该软件下载,处于安全考虑,没有下载到本地进行测试,意外发现一款小工具可以对Windows安全基线进行检查和加固,其实现原来主要对Windows的注册表值进行检测,然后进行加固。

本来是想看看MBSA(Microsoft Baseline Security Analyzer),发现微软已经早就不更新了,我记得我当初写《网络攻防实战研究漏洞利用与提权》时曾经单独介绍过MBSA用来查看系统漏洞修补情况,在微软官方搜索了半天,都没有找到该软件,国内有一些网站提供该软件下载,处于安全考虑,没有下载到本地进行测试,意外发现一款小工具可以对Windows安全基线进行检查和加固,其实现原来主要对Windows的注册表值进行检测,然后进行加固。软件名称WindowsBaselineAssistant,下载地址https://github.com/DeEpinGh0st/WindowsBaselineAssistant。软件是开源软件,可以直接编译,也可以下载编译后的程序

https://github.com/DeEpinGh0st/WindowsBaselineAssistant/releases/download/v1.2.1

/WindowsBaselineAssistant-v1.2.1.zip。

一、运行WindowsBaselineAssistant

       虽然是开源的,下载到本地后解压后一共有三个文件,如图1所示,通过火绒杀毒软件对其杀毒,无病毒提示。

图片

图1 程序文件情况

软件在Windows10下可以直接运行,Net Framework 4.0及以上,编译则需要一些依赖项:SunnyUI 3.6.3、SunnyUI.Common 3.6.3、System.ValueTuple 4.5.0、NPOI 2.5.1、Costura.Fody 4.1.0。    

1.检测规则

如现在要检测重新传输的TCP连接阈值

检测类型为检索注册表   检索的注册表路径为HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\services\\Tcpip\\Parameters

检测项为TcpMaxHalfOpenRetried

标准值为400

数据类型为DWord

检测值要小于此值时判定符合

实现为:

<item>
  <name>检查处于SYN_RCVD 状态下,且至少已经进行了一次重新传输的TCP连接阈值</name>
  <description>xxxxxx</description>
  <type>registry</type>
  <registry>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters</registry>
  <regitem>TcpMaxHalfOpenRetried</regitem>
  <standard>400</standard>
  <assessment>lessnumber</assessment>
    <valuetype>dword</valuetype>
</item>

直接运行WindowsBaselineAssistant.exe,运行效果如图2所示。

图片

图2 软件运行主界面

二、检测及加固

1.对系统存在的漏洞进行检测

该工具软件不检测系统补丁修复情况,仅仅对一些可能造成被攻击的设置进行检测,如图3所示。发现里面确实存在很多问题,主要看检测结果,里面如果存在不符合项,则显示红色。

图片

图3 安全检测结果

2.加固    

单击加固,软件自动修正注册表中的值。即可完成加固。笔者实际测试,放方便。

3.导出结果

单击“导出结果”,如图4所示,会提示将加固结果导出到程序当前目录。

图片

图4 导出加固结果

4.查看加固结果

打开“Windows安全基线检测加固结果汇总表-192.168.1.37.xlsx”文件,如图5所示,可以查看详细的结果。

图片

图5 查看加固结果

5.自定义加固规则

在软件中也提供了自定义规则,如图6所示,根据注册表值来进行检测。    

图片

图6 自定义加固规则

三、总结及评价

软件仅仅对一些默认设置进行检测,通过加固可以从一定程度上增强系统的安全性,美中不足的是无法对系统高危漏洞补丁进行查看,微软的MBSA2.3版本可以对Windows系统存在的补丁进行比对,并给出修复建议。

责任编辑:庞桂玉 来源: 小兵搞安全
相关推荐

2024-03-04 16:20:24

2017-03-10 09:28:58

2021-07-26 15:24:13

云安全

2022-05-24 21:29:30

云主机安全

2012-08-01 09:12:46

2021-07-27 05:45:33

安全矩阵Windows网络安全

2021-08-12 10:31:59

MySQL安全方法

2009-10-14 09:46:18

2010-03-08 11:25:33

2021-08-05 10:21:18

NSAKubernetes安全

2021-08-26 10:05:31

APP安全加密网络攻击

2013-07-15 10:39:43

2019-04-09 08:53:47

Tomcat中间件基线

2011-03-23 14:49:27

LAMP安全apache

2009-02-07 09:59:54

foxmail加密安全

2013-12-16 17:35:14

2022-04-26 10:13:02

API漏洞安全

2019-10-12 13:33:47

Windows服务器主机加固服务器安全

2011-03-23 15:17:44

2016-07-05 09:53:57

点赞
收藏

51CTO技术栈公众号