Windows安全基线核查加固助手

2024年 3月 20日 46.7k 0

本来是想看看MBSA(Microsoft
Baseline Security
Analyzer),发现微软已经早就不更新了,我记得我当初写《网络攻防实战研究漏洞利用与提权》时曾经单独介绍过MBSA用来查看系统漏洞修补情况,在微软官方搜索了半天,都没有找到该软件,国内有一些网站提供该软件下载,处于安全考虑,没有下载到本地进行测试,意外发现一款小工具可以对Windows安全基线进行检查和加固,其实现原来主要对Windows的注册表值进行检测,然后进行加固。软件名称WindowsBaselineAssistant,下载地址https://github.com/DeEpinGh0st/WindowsBaselineAssistant。软件是开源软件,可以直接编译,也可以下载编译后的程序

https://github.com/DeEpinGh0st/WindowsBaselineAssistant/releases/download/v1.2.1

/WindowsBaselineAssistant-v1.2.1.zip。

一、运行WindowsBaselineAssistant

       虽然是开源的,下载到本地后解压后一共有三个文件,如图1所示,通过火绒杀毒软件对其杀毒,无病毒提示。

图片

图1 程序文件情况

软件在Windows10下可以直接运行,Net
Framework 4.0及以上,编译则需要一些依赖项:SunnyUI 3.6.3、SunnyUI.Common
3.6.3、System.ValueTuple 4.5.0、NPOI 2.5.1、Costura.Fody 4.1.0。    

1.检测规则

如现在要检测重新传输的TCP连接阈值

检测类型为检索注册表   检索的注册表路径为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters

检测项为TcpMaxHalfOpenRetried

标准值为400

数据类型为DWord

检测值要小于此值时判定符合

实现为:


  检查处于SYN_RCVD 状态下,且至少已经进行了一次重新传输的TCP连接阈值
  xxxxxx
  registry
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParameters
  TcpMaxHalfOpenRetried
  400
  lessnumber
    dword

直接运行WindowsBaselineAssistant.exe,运行效果如图2所示。

图片

图2 软件运行主界面

二、检测及加固

1.对系统存在的漏洞进行检测

该工具软件不检测系统补丁修复情况,仅仅对一些可能造成被攻击的设置进行检测,如图3所示。发现里面确实存在很多问题,主要看检测结果,里面如果存在不符合项,则显示红色。

图片

图3 安全检测结果

2.加固    

单击加固,软件自动修正注册表中的值。即可完成加固。笔者实际测试,放方便。

3.导出结果

单击“导出结果”,如图4所示,会提示将加固结果导出到程序当前目录。

图片

图4 导出加固结果

4.查看加固结果

打开“Windows安全基线检测加固结果汇总表-192.168.1.37.xlsx”文件,如图5所示,可以查看详细的结果。

图片

图5 查看加固结果

5.自定义加固规则

在软件中也提供了自定义规则,如图6所示,根据注册表值来进行检测。    

图片

图6 自定义加固规则

三、总结及评价

软件仅仅对一些默认设置进行检测,通过加固可以从一定程度上增强系统的安全性,美中不足的是无法对系统高危漏洞补丁进行查看,微软的MBSA2.3版本可以对Windows系统存在的补丁进行比对,并给出修复建议。

相关文章

服务器端口转发,带你了解服务器端口转发
服务器开放端口,服务器开放端口的步骤
产品推荐:7月受欢迎AI容器镜像来了,有Qwen系列大模型镜像
如何使用 WinGet 下载 Microsoft Store 应用
百度搜索:蓝易云 – 熟悉ubuntu apt-get命令详解
百度搜索:蓝易云 – 域名解析成功但ping不通解决方案

发布评论