利用wmic对Windows主机批量执行脚本
2014年11月13日
AM 10:53
与类Unix操作系统相比较,Windows系统由于对字符界面的支持不完善,并没有与类Unix系统的shell可以相提并论的工具(cmd的命令行特性难用程度与
shell相比简直令人发指,虽然目前Windows推出所谓的PowerShell,但要跟上bash、korn shell等前辈还需要时间来沉淀)。一直以来,对于Windows进行批量管理大多依靠于图形界面,效率低下且可靠性不足。
其实Windows本身提供了WMI管理规范和接口,专用于支持命令行方式的系统管理,更推出wmic工具来给系统管理员使用,以下是百度百科对于wmic的介绍:WMIC扩展WMI(Windows Management Instrumentation,Windows管理规范),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,例如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言,或者不掌握WMI名称空间的基本知识,要用WMI管理系统是很困难的。WMIC改变了这种情况,为WMI名称空间提供了一个强大的、友好的命令行接口。
概念的介绍总是容易让读者云里雾里,以下试验将演示如何使用wmic以及Windows共享功能来对批量服务器执行一个离线安全扫描脚本并取回结果。
试验背景:
现需要对批量Windows Server服务器进行离线安全扫描,即登录到每一台服务器执行一个vbs脚本,脚本会生成扫描结果文件,然后将结果文件下载到本地。倘若服务器数量不多,那么一台台登录执行也就罢了,但当目标服务器数量达到一定数量后,再手工进行此操作,就成为一件繁琐重复的工作。有人说,懒惰是推动人类文明不断进步的源动力。所以为了偷懒,不,为了人类文明的进步,这个工作必须使用批量和自动化的工具来完成。
实现思路:
将此工作分解为以下步骤,逐一实现:
1、登录Windows Server服务器;
2、上传扫描脚本到目标服务器;
3、执行扫描脚本;
4、下载结果文件;
5、对其他服务器重复前4个步骤。
第1步的登录服务器,传统来说,肯定是使用远程桌面了,但如前面所说,图形界面的东西,要进行批量操作是很麻烦的。那自然要使用字符界面来进行登录了,再自然地想到telnet方式是最简便通用的协议。但现今所有负责任的系统或安全管理人员都会告诉你,想用telnet来连接我的服务器?门都没有!幸好wmic就提供了远程主机的管理接口,使用"wmic /node:IP地址 /user:帐号 /password:密码"的形式可以登录到远程主机执行wmic命令。第3步的执行脚本,其实与登录是同时进行的,此处结合第1、第3步,命令就是:
wmic /node:IP地址 /user:帐号 /password:密码 process call create "cmd /c cmd命令或脚本"
第2和第4步,上传与下载,其实是同样的需求,如果开通了ftp之类的文件传输服务,自然简单。但当前环境并未开通ftp,所以考虑使用Windows的文件夹共享与网络映射来实现。首先在远端服务器使用wmic创建一个路径为c:\tempshare的共享目录,然后将其映射到本地的Z盘,再直接在Z盘上进行文件的读取。
第5步,假设将前4步的所有操作命令放入名为chk_by_wmic.bat批处理脚本,只需循环对所有目标服务器执行该脚本即可。
chk_by_wmic.bat脚本内容及注释:::::::::::::::::::::::::::::::::::: chk_by_wmic.bat内容开
始 :::::::::::::::::::::::::::::::::::
::以下bat脚本大量使用了wmic和bat自身的goto,对于wmic不熟悉的,可百度
或直接在任何Windows系统内执行wmic /?来查看帮助
::从命令行读入ip和密码(分别为变量%vnode%和%vpswd%)
@set vnode=%1
@set vpswd=%2
::检查连通性,以下命令为登录到目标服务器,并执行wmic os命令(该命令用于读
取系统的一些信息)
::若执行失败,则表示可能出现以下情况:
::1、网络不通
::2、帐号密码错误
::3、未知原因,反正是无法继续了
::检查失败的话,则跳转到:notconn标签(即跳转到脚本中:notconn这一行内容的
地方,并从下一行开始继续执行)
wmic /node:%vnode% /user:administrator /password:%vpswd% os >nul || goto :notconn
::检测本地的Z盘盘符是否已被占用,若已被占用则无法映射远端的共享目录
dir z:\ >nul 2>&1 && goto :notZ
::在目标服务器创建c:\tempshare目录
wmic /node:%vnode% /user:administrator /password:%vpswd% process
call create "cmd /c mkdir c:\tempshare"
::将目标服务器的c:\tempshare目录设置为共享
::创建共享的命令格式为:wmic share call create "Access","Description","MaximumAllowed","Name","Password","Password" ,"Type"
::详见wmic share call /?
wmic /node:%vnode% /user:administrator /password:%vpswd% share call create "","temp description","","tempshare","","c:\tempshare",0
::映射目标服务器的tempshare共享目录到本地的Z盘
net use Z: \\%vnode%\tempshare
::复制扫描脚本到Z盘,即完成上述的步骤1
copy c:\Scripts\tmp\96c221be-6ab2-ef53-1589-fe16877914ca.vbs Z:\
::在目标服务器上执行扫描脚本,扫描脚本执行完成后会在c:\tempshare生成名
为%vnode%*xml的结果文件
wmic /node:%vnode% /user:administrator /password:%vpswd% process
call create "cmd /c cscript 96c221be-6ab2-ef53-1589-
fe16877914ca.vbs","c:\tempshare"
::由于该扫描脚本执行时间很长,且上一条命令执行时,只是调起服务器的进程就会
立即返回,所以要等待扫描脚本执行完再继续
::解决方法是,对z:执行dir检查是否已生成xml结果文件,等待5分钟,发现生
成了%vnode%*xml再继续
@set slptimes=1
goto :sleep
::以下为循环等待,每次等待5秒钟,最多等待60次
:sleep
set /a slptimes+=1
if %slptimes% gtr 60 (echo exceeded 5 min && goto :eof)
@echo ---------------- waiting %slptimes% ----------------
::利用ping命令来进行5秒的定时等待
@ping -n 5 localhost >nul
::判断是否已生成xml结果文件,已生成则跳转到:getfile,否则进入下一轮的等待dir z:\*%vnode%*xml >nul 2>&1 || goto :sleep
dir z:\*%vnode%*xml >nul 2>&1 && goto :getfile
:::sleep循环已退出(结果文件已生成或超时),开始下载结果文件
:getfile
rem dir z:\
::从Z盘将结果文件复制到C盘,即上述步骤的第4步
copy z:\*96c221be*xml c:\Scripts\tmp\
::删除本地的Z盘映射,并在目标服务器取消共享
goto :delshare
:delshare
net use z: /delete
wmic /node:%vnode% /user:administrator /password:%vpswd% share where name="tempshare" call delete
::跳转到:eof,退出脚本
goto :eof
:notconn
@echo =================================== Can't connect to %vnode% ===================================
goto :eof
:notZ
@echo =================================== Can't use Z:\ %vnode%
===================================
:eof ::::::::::::::::::::::::::::::::::: chk_by_wmic.bat内容结
束 :::::::::::::::::::::::::::::::::::
假设现在需要对ip为192.168.0.2,密码为AdminPass的Windows Server执行扫描,则只需在本地cmd中执行以下命令即可:
chk_by_wmic.bat 192.168.0.2 AdminPass
假设有多台服务器,将IP和密码写入到一个名为iplist.txt的文件中,每行第一列为IP,第二列为密码,然后利用以下命令按行读取并执行:
for /f "tokens=1,2" %i in (iplist.txt) do chk_by_wmic.bat %i %j 至此,利用wmic来对Windows主机批量执行脚本的试验完成。虽说看起来复杂麻烦,但对于无法安装其他批量管理工具的服务器环境,wmic提供了一个可用且可定制的批量管理渠道。
Windows主机端与自定义USB HID设备通信详解 (2009-06-12 23:19) 分类:Windows 说明: -以下结论都是基于Windows XP系统所得出的,不保证在其他系统的适用性。-在此讨论的是HID自定义设备,对于标准设备,譬如USB鼠标和键盘,由于操作系统对其独占,许多操作未必能正确执行。 1.所使用的典型Windows API CreateFile ReadFile WriteFile 以下函数是DDK的内容: HidD_SetFeature HidD_GetFeature HidD_SetOutputReport HidD_GetInputReport 其中,CreateFile用于打开设备;ReadFile、HidD_GetFeature、 HidD_GetInputReport用于设备到主机方向的数据通信;WriteFile、 HidD_SetFeature、HidD_SetOutputReport用于主机到设备方向的数据通信。鉴于实际应用,后文主要讨论CreateFile,WriteFile,ReadFile,HidD_SetFeature四个函数,明白了这四个函数,其它的可以类推之。 2.几个常见错误 当使用以上API时,如果操作失败,调用GetLastError()会得到以下常见错误: 6:句柄无效 23:数据错误(循环冗余码检查) 87:参数错误 1784:用户提供的buffer无效 后文将会详细说明这些错误情况。 3.主机端设备枚举程序流程
4.函数使用说明 CreateFile(devDetail->DevicePath, //设备路径 GENERIC_READ | GENERIC_WRITE, //访问方式 FILE_SHARE_READ | FILE_SHARE_WRITE, //共享模式 NULL, OPEN_EXISTING, //文件不存在时,返回失败 FILE_FLAG_OVERLAPPED, //以重叠(异步)模式打开 NULL); 在这里,CreateFile用于打开HID设备,其中设备路径通过函数 SetupDiGetInterfaceDeviceDetail取得。CreateFile有以下几点需要注意:- 访问方式:如果是系统独占设备,例如鼠标、键盘等等,应将此参数设置为0,否则后续函数操作将失败(譬如HidD_GetAttributes);也就是说,不能对独占设备进行除了查询以外的任何操作,所以能够使用的函数也是很有限的,下文的一些函数并不一定适合这些设备。在此顺便列出MSDN 上关于此参数的说明:
利用wmic对Windows主机批量执行脚本 2014年11月13日 AM 10:53 与类Unix操作系统相比较,Windows系统由于对字符界面的支持不完善,并没有与类Unix系统的shell可以相提并论的工具(cmd的命令行特性难用程度与 shell相比简直令人发指,虽然目前Windows推出所谓的PowerShell,但要跟上bash、korn shell等前辈还需要时间来沉淀)。一直以来,对于Windows进行批量管理大多依靠于图形界面,效率低下且可靠性不足。 其实Windows本身提供了WMI管理规范和接口,专用于支持命令行方式的系统管理,更推出wmic工具来给系统管理员使用,以下是百度百科对于wmic的介绍:WMIC扩展WMI(Windows Management Instrumentation,Windows管理规范),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,例如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言,或者不掌握WMI名称空间的基本知识,要用WMI管理系统是很困难的。WMIC改变了这种情况,为WMI名称空间提供了一个强大的、友好的命令行接口。 概念的介绍总是容易让读者云里雾里,以下试验将演示如何使用wmic以及Windows共享功能来对批量服务器执行一个离线安全扫描脚本并取回结果。 试验背景: 现需要对批量Windows Server服务器进行离线安全扫描,即登录到每一台服务器执行一个vbs脚本,脚本会生成扫描结果文件,然后将结果文件下载到本地。倘若服务器数量不多,那么一台台登录执行也就罢了,但当目标服务器数量达到一定数量后,再手工进行此操作,就成为一件繁琐重复的工作。有人说,懒惰是推动人类文明不断进步的源动力。所以为了偷懒,不,为了人类文明的进步,这个工作必须使用批量和自动化的工具来完成。 实现思路: 将此工作分解为以下步骤,逐一实现: 1、登录Windows Server服务器; 2、上传扫描脚本到目标服务器; 3、执行扫描脚本; 4、下载结果文件; 5、对其他服务器重复前4个步骤。 第1步的登录服务器,传统来说,肯定是使用远程桌面了,但如前面所说,图形界面的东西,要进行批量操作是很麻烦的。那自然要使用字符界面来进行登录了,再自然地想到telnet方式是最简便通用的协议。但现今所有负责任的系统或安全管理人员都会告诉你,想用telnet来连接我的服务器?门都没有!幸好wmic就提供了远程主机的管理接口,使用"wmic /node:IP地址 /user:帐号 /password:密码"的形式可以登录到远程主机执行wmic命令。第3步的执行脚本,其实与登录是同时进行的,此处结合第1、第3步,命令就是: wmic /node:IP地址 /user:帐号 /password:密码 process call create "cmd /c cmd命令或脚本" 第2和第4步,上传与下载,其实是同样的需求,如果开通了ftp之类的文件传输服务,自然简单。但当前环境并未开通ftp,所以考虑使用Windows的文件夹共享与网络映射来实现。首先在远端服务器使用wmic创建一个路径为c:\tempshare的共享目录,然后将其映射到本地的Z盘,再直接在Z盘上进行文件的读取。
一、下面介绍一下电脑主机的各个部件: (1)电源:电源是电脑中不可缺少的供电设备,它的作用是将220V交流转换为电脑中使用的5V,12V,3.3V直流电,其性能的好坏,直接影响到其他设备的稳定性。 (2)主板:主板是电脑中各个部件的工作平台,它把电脑的各个部件紧密连接在一起,各个部件通过主板进行数据传输。 (3) CPU:CPU的功能是执行算,逻辑运算,数据处理,四舍五入,输入/输出的控制电脑自动,协调地完成各种操作。 (4)内存:内存又叫内部存储器,属于电子式存储设备,它由电路板和芯片组成,特点是体积小,速度快,有电可存,无电清空,在电脑开机状态时可存储数据,关机后将自动清空其中的所有数据。 (5)硬盘:硬盘属于外部存储器,由金属磁片制成,磁片有记忆功能,所以储到磁片上的数据,不论在开机,还是关机,都不会丢失。 (6)声卡:声卡是组成多媒体电脑必不可少的一个硬件设备,它的作用是当发出播放命令后,声卡将电脑中的声音数字信号转换成模拟信号到音箱上发出声音。 (7)显卡:显卡在工作时与显示器配合输出图形,文字,它的作用是负责将CPU送来的信号转换成显示器识别的模拟信号,传送到显示器上显示出来。
(8)调制解调器:调制解调器是通过电话线上网时必不可少的设备之一。它的作用是将电脑处理的数字信号转换成电话线的模拟信号。 (9)网卡:网卡的作用是充当电脑与网线之间的桥梁,它是用来建立上网的重要设备。 (10)软驱:软驱用来读取软盘中的数据。软盘为可读写外部存储设备。 (11)光驱:光驱是用来读取光盘中的数据。光盘为只读外部存储设备. Esc:退出键 Tab:表格键 Caps Lock:大写锁定键 Shift:转换键 Ctrl:控制键 Alt:可选(切换)键 Enter:回车键 F1~F12:功能键 Print Screen:打印屏幕键 Scroll Lock:滚动锁定 Pause break:暂停键
中国万网——领先的互联网应用服务提供商 Windows云主机使用手册中国万网2010年11月
目录 一、Windows云主机IIS6.0配置说明--------------------------------- 3 二、Windows2003远程桌面的配置及应用------------------------------ 13 三、创建FTP站点--------------------------------------------------- 23 四、还原数据库--------------------------------------------------- 29 五、如何保障系统安全----------------------------------------------- 30 六、网络安全------------------------------------------------------ 47 七、数据安全------------------------------------------------------ 48
一、Windows云主机IIS6.0配置说明 声明:本文档只简单说明通过IIS 创建网站的方法,涉及安全或其它方面的详细说明,请您查阅相关文档 创建网站 1. 计算机管理->本地用户和组->用户->创建新用户 2. 输入用户名和密码,例如IUSR_TEST,创建 3. 双击刚才创建的用户,打开”隶属于”选项,将Users组删除
4. 点击”添加”,在”输入对象名称来选择”中输入Guests->确定 4. 点击”配置文件”选项,在”本地路径”中输入网站目录的绝对路径,例如D:\test
使用本地安全策略加强w i n d o w s主机整体防御 Company Document number:WUUT-WUUY-WBBGB-BWYTT-1982GT
项目二 使用本地安全策略加强windows主机整体防御 【项目描述】 金山顶尖信息技术公司办公网中有300台计算机(Windows系统)。网络中计算机之间互相连接,形成共享网络,实现公司网络资源共享。。 为保护办公网安全,保证网络系统健康高速运行,金山顶尖信息技术公司信息中心,要求办公网要求所有的本地用户必须配置计算机本地安全策略,保护系统安全。 【项目分析】 在存放数据的桌面系统中设置本地安全策略。通过以下策略来加固桌面系统: 1)禁止枚举账号 2)指派本地用户权利 3) IP策略 4)密码安全 【知识准备】 1)禁用枚举账号的意义 一般来说,黑客攻击入侵,大部分利用漏洞,然后提升权限,成为管理员,这一切都跟用户帐号紧密相连。一般的黑客要攻击Windows 2000/XP等系统,必须要知道账号和密码。而账号更为关键,那么如何来避免这种情况的发生呢 我们可以利用禁止枚举帐号来限制黑客攻击我们的账户和密码。 由于Windows 2000/XP的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,但是,任何一个远程用户通过同样的方法都能得到账户列表,使用暴力法破解账户密码后,对我们的电脑进行攻击,所以有必要禁止枚举帐号,我们可以通过修改注册表和设置本地安全策略来禁止。 2)指派本地用户权利 在本地安全策略中可以指派本地用户的权利,比如说哪些用户组可以登录到此终端,哪些用户组或者用户不能登录到此终端中。还可以设置哪些用户组或者用户可以关闭此计算机等等。 3) IP策略 IP安全策略是一个给予通讯分析的策略,它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后决定是允许还是拒绝通讯的传输,它弥补了传统TCP/IP设计上的" 随意信任"重大安全漏洞,可以实现更仔细更精确的TCP/IP安全,当我们配置好IP安全策略后,就相当于拥有了一个免费但功能完善的个人防火墙。 4)密码安全 如何设置密码安全,可以利用账号安全策略来进行保护密码,防止密码被破解: Windows桌面系统中,用户账号的安全策略默认是关闭的。但要想设定安全的桌面系统,必须开启用户账号的安全策略,以下是用户账号安全策略的解释: ●弱口令:在互联网术语中,弱口令我们经常会在一些资料中看到,什么是弱口令,弱口令是 指仅包含简单数字和字母的口令,例如“123”、“abc”等。 ●密码长度:密码字符的长度。我们推荐密码的长度至少八位。建议10位以上。
Windows主机下安装syslog日志客户端 一、为什么使用日志客户端 对于unix类主机以及交换机、路由器、防火墙等的日志记录,都可以通过syslog协议记录传输,但是Windows操作系统本身是可以产生很多日志的,如用户的登录、服务的重启等,都会产生日志,这些信息会记录在操作系统中,不支持把日志发送到syslog服务器去,所以要安装第三方软件转换Windows的日志。 二、Evtsys介绍 Evtsys是用C写的程序,提供发送Windows日志到syslog服务器的一种方式。它支持Windows 2000、2003、Vis、XP和Server 2008,并且编译后支持32和64位环境。它被设计用于高负载的服务器,Evtsys快速、轻量、高效率。并可以作为Windows服务存在。 下载地址:https://www.doczj.com/doc/1510985180.html,/p/eventlog-to-syslog/ 三、Evtsys安装以及配置 1.从官网点击download选择32位或者64位下载(此处以32位为例) 2.下载后解压文件,Readme.rtf为说明文件,其余两个为程序文件 32位系统evtsys安装 copy evtsys.exe c:\windows\system32\ copy evtsys.dll c:\windows\system32\ cd c:\windows\system32 evtsys.exe -i -h 192.168.1.41 -p 514 net start evtsys 64位系统evtsys安装 copy evtsys.exe c:\windows\SysWOW64\ copy evtsys.dll c:\windows\SysWOW64\ cd c:\windows\SysWOW64
封面
作者:Pan Hongliang 仅供个人学习 目录 1账户管理 (3) 1.1 1.2 1.3用户管理 (3) 弱口令修改 (4) 密码策略 (4)
1.4帐户锁定策略 (4) 2本地策略 (5) 2.1审核策略: (5) 3服务 (6) 3.1关闭不必须的服务 (6) 4网络协议 (8) 4.1 4.2 4.3删除TCP/IP外的其他网络协议: (8) 解除NetBios与TCP/IP协议的绑定: (8) 使用TCP/IP筛选限制端口: (8) 5注册表设置 (9) 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 5.10 5.11关闭默认共享 (9) 减少DDOS攻击的影响 (9) 处理HTTP/FTP半连接请求 (9) 禁用CD-ROM的自动运行 (9) 删除OS2、POSIX子系统 (10) 防止ICMP重定向报文的攻击 (10) 禁止响应ICMP路由通告报文 (10) 保护内核对象标志 (10) 禁止建立空连接 (10) 禁用路由功能 (10) 检查RUN (10) 6文件系统与权限 (11) 6.1 6.2 6.3 6.4 6.5 6.6使用NTFS文件系统 (11) 保护重要的EXE程序 (11) 删除无用的系统文件和目录 (11) 保护重要系统文件和目录 (12) 加密重要、敏感文件 (12) 系统、文件的备份: (12) 7常规安全 (13) 7.1 7.2 7.3 7.4 7.5更新Windows安全补丁: (13) 使用防病毒软件: (13) 使用木马扫描软件: (13) 使用个人防火墙: (13) 其他常规安全设置: (13) 1账户管理 1.1用户管理 序号用户管理检查确认1停用gues t帐号: 以防止未授权的用户访问。默认停用,检查确认。
Windows主机操作系统加固规范 2020年5月
目录 1账号管理、认证授权 (1) 1.1 账号 (1) 1.1.1SHG-Windows-01-01-01 (1) 1.1.2SHG-Windows-01-01-02 (2) 1.1.3SHG-Windows-01-01-03 (3) 1.2 口令 (4) 1.2.1SHG-Windows-01-02-01 (4) 1.2.2SHG-Windows-01-02-02 (5) 1.3 授权 (6) 1.3.1SHG-Windows-01-03-01 (6) 1.3.2SHG-Windows-01-03-02 (7) 1.3.3SHG-Windows-01-03-03 (8) 1.3.4SHG-Windows-01-03-04 (9) 1.3.5SHG-Windows-01-03-05 (10) 2日志配置 (11) 2.1.1SHG-Windows-02-01-01 (11) 2.1.2SHG-Windows-02-01-02 (12) 3通信协议 (13) 3.1 IP协议安全 (13) 3.1.1SHG-Windows-03-01-01 (13) 3.1.2SHG-Windows-03-01-02 (14) 3.1.3SHG-Windows-03-01-03 (16) 4设备其他安全要求 (17) 4.1 屏幕保护 (17) 4.1.1SHG-Windows-04-01-01 (17) 4.1.2SHG-Windows-04-01-02 (18) 4.2 共享文件夹及访问权限 (19) 4.2.1SHG-Windows-04-02-01 (19) 4.2.2SHG-Windows-04-02-02 (20) 4.3 补丁管理 (21) 4.3.1SHG-Windows-04-03-01 (21) 4.4 防病毒管理 (22) 4.4.1SHG-Windows-04-04-01 (22) 4.4.2SHG-Windows-04-04-02 (23) 4.5 W INDOWS服务 (24) 4.5.1SHG-Windows-04-05-01 (24) 4.5.2SHG-Windows-04-05-02 (26) 4.6 启动项 (27) 4.6.1SHG-Windows-04-06-01 (27)
Windows主机系统被入侵后取证的方法 2010年07月10日星期六 09:41 1.记录当前时间 dos命令:dat /t & time /t 2.记录登录的用户session dos 命令:net sessions 工具:Psloggedon.exe Logonsessions.exe 3.记录打开的文件 dos 命令:net file 工具:psfile.exe open?les.exe 其它:查看文件打开历史记录 4.网络信息(netbios cache) dos命令:nbtstat -c nbtstat -A remoteip 5.网络当前连接状态 dos命令:netstat -ano 6.当前进程状态 工具:进程管理器 tlist.exe(tlist -m xxx.dll) tasklist.exe pslist.exe listdll.exe processhacker.exe processexplorer.exe 关注点:进程内存模块,进程端口映射 7.网络 dos命令:ipconfig /all 8.剪贴板内容 找个word,直接粘贴 工具:Win32::Clipboard()->Get() 7.服务和驱动信息 工具:svc.exe 关注点:服务的异常,异常的驱动
8.dos命令历史记录 工具:doskey.exe (doskey /history) 9.驱动器映射 工具:di.exe 10.共享 关注 点:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\ S hares net share 11.自动运行 启动文件夹 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLL HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows \load HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlog on\Userinit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies \Explorer\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServic esOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServi cesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServic esHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSer vices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\S etupHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunO nce\Setup HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceE x HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
类别测评项核查方法判断方法 身份鉴别a) 应对登录操作系统 和数据库系统的用户 进行身份标识和鉴别; 检查登录是否需要密 码; 检查登陆服务器是否 需要用户名/口令;检 查用户数量、设置密码 的用户数量、密码为空 的用户数量;一般都符 合。 b) 操作系统和数据库 系统管理用户身份标 识应具有不易被冒用 的特点,口令应有复杂 度要求并定期更换; 本地安全策略->账户 策略->密码策略中的 相关项目。 检查密码策略的设置 情况,是否支持密码复 杂度,含长度、大小写、 特殊字符、数字混用, 使用期限等(密码最短 使用期限非0值)。 c) 应启用登录失败处 理功能,可采取结束会 话、限制非法登录次数 和自动退出等措施; 本地安全策略->账户 策略->账户锁定策略 检查账户锁定阈值,非 0值即为符合。 d) 当对服务器进行远 程管理时,应采取必要 措施,防止鉴别信息在 网络传输过程中被窃 听; 访谈管理员在进行远 程管理时如何防止鉴 别信息在网络传输过 程中被窃听; 在远程管理操作中是 否使用了SSL协议 (RDP协议5.1以后默 认为安全的连接协 议)。 e) 为操作系统和数据 库的不同用户分配不 同的用户名,确保用户 名具有唯一性; “管理工具”->“计算 机管理”->“本地用户 和组”中的“用户”, 检查其中的用户名是 否出现重复。 如果多个人共用一个 账户或数据库管理账 户身份为主机管理员 (Administrator)则 为不符合;主机与数据 库都具有同样的用户 名但密码不同应为符 合。 f)应采用两种或两种 以上组合的鉴别技术 对管理用户进行身份 鉴别。 访谈系统管理员,访谈 系统除密码外有无其 他身份鉴别方法,如令 牌、智能卡等。 是否采用除用户名/口 令之外的其他鉴别方 式,如生物信息或用户 拥有的某项物品,Key 或数字证书。
windows 2003\2008 AD 操作主机(FSMO)完全攻略 在windows 2003 和windows 2008的域环境下,Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制,因此域中的所有域控制器实质上都是对等的,并没有主域控与辅助域控之分。但是,有些更改不适合使用多主机复制执行,因此对于这种类型的更改,都有一个称为“操作主机(FSMO)”的域控制器接收此类更改的请求。对应于处理请求内容的不同,AD内操作主机有以下五种角色: 1.架构主机schema master 2.域命名主机domain naming master 3.相对标识号(RID) 主机RID master 4.主域控制器仿真主机(PDCE) 5.基础结构主机infrastructure master 下面我们就这五种操作主机的作用范围、功能、查看、传送及占用操作主机的方法来进行了解: 一、作用范围: 林范围内操作主机有:架构主机和域命名主机,这两种操作主机森林范围内唯一,也就是说如果一个森林内有10个域,那么这总共10个域只会有一个架构主机和域命名主机,通常这两种操作主机角色默认存在于森林根域的第一台域控内。 域范围内操作主机有:RID主机、PDC仿真主机、基础结构主机,这三种主机域范围唯一,如果森林范围内有10个域,那每个域中都会存在这三种主机。每个域中的这三种操作主机角色默认存在于该域的第一台域控内。 二、功能: 1.架构主机:负责森林范围内对架构的更新和修改。简单来说,就是负责AD中对象的增加、删除以及属性的修改。 比如林中常见对象有用户、组、打印机等,通过对AD架构的修改,可以去删除一个已经存在的对象,如将打印机从AD架构中删除,那么用户在AD中将无法看到打印机对象。 2.域命名主机:负责林中域的添加和删除。 在森林内创建新域时,会向域命名主机提交请求,查看是否在林中已有同名对象,如没有同名对象才能创建该域,并在域命名主机内做相应记录。 3.RID主机:负责将相对ID号分配给域中每个域控制器。 在域中创建用户、组或计算机账户时需要有一个唯一的sid,如果存在sid主机,sid主机每次向域内所有域控分发一批完全不同的sid号,再由域控器将自己得到的sid号分配给在该域
Windows主机操作系统加固规范 2019年9月
目录 1账号管理、认证授权 (1) 1.1账号 (1) 1.1.1SHG-Windows-01-01-01 (1) 1.1.2SHG-Windows-01-01-02 (2) 1.1.3SHG-Windows-01-01-03 (3) 1.2口令 (4) 1.2.1SHG-Windows-01-02-01 (4) 1.2.2SHG-Windows-01-02-02 (5) 1.3授权 (6) 1.3.1SHG-Windows-01-03-01 (6) 1.3.2SHG-Windows-01-03-02 (7) 1.3.3SHG-Windows-01-03-03 (8) 1.3.4SHG-Windows-01-03-04 (9) 1.3.5SHG-Windows-01-03-05 (10) 2日志配置 (11) 2.1.1SHG-Windows-02-01-01 (11) 2.1.2SHG-Windows-02-01-02 (12) 3通信协议 (14) 3.1IP协议安全 (14) 3.1.1SHG-Windows-03-01-01 (14)
3.1.2SHG-Windows-03-01-02 (15) 3.1.3SHG-Windows-03-01-03 (16) 4设备其他安全要求 (18) 4.1屏幕保护 (18) 4.1.1SHG-Windows-04-01-01 (18) 4.1.2SHG-Windows-04-01-02 (19) 4.2共享文件夹及访问权限 (20) 4.2.1SHG-Windows-04-02-01 (20) 4.2.2SHG-Windows-04-02-02 (21) 4.3补丁管理 (23) 4.3.1SHG-Windows-04-03-01 (23) 4.4防病毒管理 (24) 4.4.1SHG-Windows-04-04-01 (24) 4.4.2SHG-Windows-04-04-02 (25) 4.5W INDOWS服务 (26) 4.5.1SHG-Windows-04-05-01 (26) 4.5.2SHG-Windows-04-05-02 (28) 4.6启动项 (29) 4.6.1SHG-Windows-04-06-01 (29) 4.6.2SHG-Windows-04-06-02 (30)
WINDOWS主机ARP表操作的实现 ?tcp/ip协议 ?snmp协议 ?arp欺骗 ?安全 现在ARP欺骗比较流行了,特别是针对交换网络的环境的WINDOWS系统,WINDOWSS默认会对接收到的ARP包就进行ARP表的修改,另外就是WINDOWS 的ARP静态包ARP -S是没有效果的,设置了ARP -S的地址一样会接收到一个ARP 欺骗包以后改变自己的ARP表?。去年我已经写了一个基于ARP中间进行NTLM 认证攻击的东西,于是就在想怎么在交换环境中检测ARP欺骗呢。 一种想法是直接嗅探网络中的ARP包进行分析,只是这种方法对于交换环境的网络是无效的。那么只能是在主机上针对收到的ARP包进行检测和分析了。但实际上如果用低层包拦截过滤的方式又会极大的影响网络的速度。如果我们根据ARP表的变化能主动通知就好了。实际上从技术上实现是可能的,因为一个秘密:对于ARP 表,W2K系统是通过内建的SNMP来进行管理的,不管你的SNMP服务是否开启,呵呵,奇怪吧?(可能其他的WINDOWS系统也一样,但是我没作过测试)先我也一样很奇怪ARP这个程序是如何运行的,因为查遍了所有MSDN的文档都没有涉及到ARP表读取,修改的API。万般无奈之下,只有看ARP的汇编代码,才发现这个秘密。ARP -S命令也只是根据SNMP对应的OID接点的ARP表规范的ARP类型由3(动态)修改成4(静态),但是低层的TCP/IP协议栈在收到ARP 包以后修改SNMP对应的ARP表,根本就没有检查其类型,这也是ARP -S命令无效的原因。那么如下代码就是根据ARP程序反汇编出的C程序的代码,主要是通过内建的SNMP操作获得ARP表和对ARP表进行操作,其中由于代码本身是我写成的一个ARP检测的工具的ARP核心的COM中COPY出来的,所以一定头文件定义,变量定义不是很全,本来是想发布这个工具的,但是没看见可以提交工具的地方,然后觉得给大家讲解源代码可能更符合安全焦点的FREE原则吧。主要是给大家阅读其原理然后在实用的,需要大家具备一点SNMP协议的知识。
Nagios监控Windows服务器(NSClient++安装与应用) 一、NSClient++安装 1、下载NSClient++插件 点击下面链接下载https://www.doczj.com/doc/1510985180.html,/x-0.3.x/NSClient%2B%2B-0.3.9-Win32.ms i 2、安装插件与配置 1)安装过程十分简单,直接点击下一步,下一步即可。安装过程注意如下图的设置即可 2)配置NSClient 编辑NSClient安装目录下的NSC.ini文件,修改后,重启NSClient即可,如下图所示
3)模块作用说明,如下表 Module Description Commands CheckSystem.d ll Handles many system checks CPU, MEMORY, COUNTER etc CheckDisk.dll Handles Disk related checks USEDDISKSPACE FileLogger.dll Logs errors to a file so you can see what is going on N/A NSClientListen er.dll Listens and responds to incoming requests from nagios N/A 二、NSClient应用监控 NSClient++与Nagios服务器通信,主要使用Nagios服务器的check_nt插件。原理图如下
1、check_nt插件的使用说明 [root@localhost libexec]# ./check_nt -h check_nt v1.4.15 (nagios-plugins 1.4.15) Copyright (c) 2000 Yves Rubin (rubiyz@https://www.doczj.com/doc/1510985180.html,) Copyright (c) 2000-2007 Nagios Plugin Development T eam
目录 1账户管理 (2) 1.1 用户管理 (2) 1.2 弱口令修改 (2) 1.3 密码策略 (2) 1.4 帐户锁定策略 (2) 2本地策略 (3) 2.1 审核策略: (3) 3服务 (4) 3.1 关闭不必须的服务 (4) 4网络协议 (6) 4.1 删除TCP/IP外的其他网络协议: (6) 4.2 解除NetBios与TCP/IP协议的绑定: (6) 4.3 使用TCP/IP筛选限制端口: (6) 5注册表设置 (7) 5.1 关闭默认共享 (7) 5.2 减少DDOS攻击的影响 (7) 5.3 处理HTTP/FTP半连接请求 (7) 5.4 禁用CD-ROM的自动运行 (7) 5.5 删除OS2、POSIX子系统 (8) 5.6 防止ICMP重定向报文的攻击 (8) 5.7 禁止响应ICMP路由通告报文 (8) 5.8 保护内核对象标志 (8) 5.9 禁止建立空连接 (8) 5.10 禁用路由功能 (8) 5.11 检查RUN (9) 6文件系统与权限 (10) 6.1 使用NTFS文件系统 (10) 6.2 保护重要的EXE程序 (10) 6.3 删除无用的系统文件和目录 (10) 6.4 保护重要系统文件和目录 (11) 6.5 加密重要、敏感文件 (11) 6.6 系统、文件的备份: (11) 7常规安全 (12) 7.1 更新Windows安全补丁: (12) 7.2 使用防病毒软件: (12) 7.3 使用木马扫描软件: (12) 7.4 使用个人防火墙: (12) 7.5 其他常规安全设置: (13)
1账户管理 1.1用户管理 1.2弱口令修改 使用口令猜测工具扫描计算机的弱口令帐户,并根据扫描结果,提交用户修改1.3密码策略 1.4帐户锁定策略
运用windows脚本在开机时更改windows主机名 最近开发的公司的云计算产品中,需要做到Windows虚拟机开机后自动改名以避免重名的现象。要达到这个效果,可以在开机的时候自动运行一下脚本,即可将机器的名字改为以mac地址命名的名字: 以下内容拷贝去替换autoexec.bat,在将autoexec.bat加入到windows启动项就可以自动修改主机名了 @echo off ::读取本机Mac地址 if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipconfig.txt if exist phyaddr.txt del phyaddr.txt find "Physical Address" ipconfig.txt >phyaddr.txt for /f "skip=2 tokens=12" %%M in (phyaddr.txt) do set Mac=%%M set Mac=%Mac:-=% set hostnm=vm set hostnm=%hostnm%%Mac% set name=%hostnm% reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerNam e\ActiveComputerName" /v ComputerName /t reg_sz /d %name% /f
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ComputerNam e\ComputerName" /v ComputerName /t reg_sz /d %name% /f reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Param eters" /v "NV Hostname" /t reg_sz /d %name% /f reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Param eters" /v Hostname /t reg_sz /d %name% /f
4A安全管控平台 Windows SAAgent代理程序安装部署文档 神州泰岳软件股份有限公司 UltraPower Software Co.,Ltd.
- 2 - 1 概述 1.1 编写目的 Windows 资源一般不支持通过ssh 或telnet 等命令行方式远程登录,进而执行指令采集帐号,因此需要在Windows 上部署4A 平台的代理Agent ,完成帐号采集到4A 平台。文件“SAAgent-安装介质”为4A 平台Windows 独立主机使用的代理程序,本文档主要说明此代理安装、配置过程。 2 S A A g e n t 安装部署过程 2.1 S A A g e n t 安装介质部署 安装部署Windows SAAgent 的操作步骤如下: 1) 上传“SAAgent- 安装介质.zip ”压缩文件至服务器本地磁盘。 2)解压“SAAgent-安装介质 .zip ”压缩文件至服务器本地 C 盘。 3)解压“SAAgent-安装介质.zip ”压缩文件至服务器本地C 盘。 4)执行完上述步骤后,SAAgent 已完成安装介质部署。
- 3 - 2.2 部署W i n d o w s S A A g e n t 系统服务 部署Windows SAAgent 系统服务的操作步骤如下: 1) 定位到C 盘下SAAgent 文件存放路径的根目录,双击运行Install_SAAgent.bat 文件, 启动Windows SAAgent 系统服务部署。 注:如操作系统上安装了安全防护软件,在运行Install_SAAgent.bat 文件时可能会并拦截,此时需关闭防护软件或授权允许运行。 2) 当Install_SAAgent.bat 运行窗口“提示请按任意键继续… ”时表示服务运行模式已 完成加载(安装完成),此时请随敲击键盘某键以便结束运行窗口。 3) 执行完上述步骤后,Windows SAAgent 系统服务已完成部署。 2.3 运行W i n d o w s S A A g e n t 系统服务 启动Windows SAAgent 系统服务的操作步骤如下: 1)点击Windows 操作系统开始菜单-控制面板-管理工具-服务,定期到Windows 服务管理控制台查看SAAgent 服务进程。