windows安全检查

一. 系统信息编号：Windows-01001名称：收集主机名、工作组/域信息说明：获得主机名、工作组/域信息检查方法：在“我的电脑”点击右键|属性检查风险（对系统的影响，请具体描述）：无结果分析方法：适用版本：All备注：编号：Windows-01002名称：获得主机IP地址和子网掩码说明：获得主机IP地址、子网掩码、网关、DNS服务器、Wins服务器等信息检查方法：ipconfig /all检查风险（对系统的影响，请具体描述）：无结果分析方法：适用版本：All备注：编号：Windows-01003名称：服务器是否安装多系统说明：多系统无法保障文件系统的安全检查方法：Type C:boot.ini检查风险（对系统的影响，请具体描述）：无结果分析方法：C:type boot.iniboot loadertimeout=30default=multi(0)disk(0)rdisk(0)partition(1)WINDOWSoperating systemsmulti(0)disk(0)rdisk(0)partition(1)WINDOWS=Windows Server 2003, Standard /fastdetect从“operating systems”字段可以查到允许启动的系统列表适用版本：All备注：编号：Windows-01004名称：查看主机路由信息说明：获得主机的路由信息检查方法：Route print检查风险（对系统的影响，请具体描述）：无结果分析方法：C:route printIPv4 Route Table=Interface List0x1 . MS TCP Loopback interface0x10003 .00 02 a5 b4 c8 e6 . Intel(R) PRO/100 VM Network Connection=Active Routes:Network Destination Netmask Gateway Interface Metric 54 1 20 1 1 1 20 1 55 20 55 55 1 1 20 1 1 20 55 55 1 1 1Default Gateway: 54=Persistent Routes: None适用版本：All备注：二. 补丁安装情况编号：Windows-02001名称：检查系统安装的补丁以及Hotfix说明：检查当前主机所安装的Service Pack以及Hotfix检查方法：Psinfo检查风险（对系统的影响，请具体描述）：无结果分析方法：C:psinfoPsInfo v1.11 - local and remote system information viewerCopyright (C) 2001 Mark RussinovichSysinternals - System information for HEAVEN:Kernel version: Microsoft Windows Server 2003, Uniprocessor FreeProduct type: ServerProduct version: 5.2Service pack: 0Kernel build number: 3790Registered organization: .Registered owner: AdamInstall date: 2003-5-2, 1:18:14Activation status: ActivatedSystem root: C:WINDOWSProcessors: 1Processor speed: 1.0 GHzProcessor type: x86 Family 6 Model 11 Stepping 1, GenuineIntelPhysical memory: 256 MBHotFixes: Q147222: No Description适用版本：All备注：三. 帐号和口令帐号检查请区分独立服务器和属于域的服务器：在独立服务器上，可以直接检查本地的策略和配置；在属于域的服务器上，请检查域控制器上对计算机的域管理策略。属于域的服务器的检查：如果服务器属于某个域，在域控制器（DC）上起用的组策略将覆盖本地的安全策略设置，请首先检查域控制器（DC）上的组策略，操作是：开始|程序|管理工具|AD用户和计算机，点击域，右键选属性，组策略，编辑。编号：Windows-03001名称：口令复杂度检查说明：对主机或域上用户强制进行口令复杂度检查检查方法：开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：密码必须符合复杂性要求检查风险（对系统的影响，请具体描述）：无结果分析方法：如果该选项为Enable则表示已经打开适用版本：Windows 2000及以上版本备注：在域中可能无法确定是哪个组策略在生效，可以执行Gpresult来进行分析编号：Windows-03002名称：是否有口令最短口令长度要求说明：对主机或域上用户是否要求最短口令检查方法：开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：密码长度最小值检查风险（对系统的影响，请具体描述）：无结果分析方法：默认值应该为0，表示无最短口令长度要求推荐值为7适用版本：Windows 2000及以上版本备注：在域中可能无法确定是哪个组策略在生效，可以执行Gpresult来进行分析编号：Windows-03003名称：是否有密码过期策略说明：密码过期策略包括密码最长存留期和最短存留期，最长存留期是指密码在多久后过期，最短存留期是指在多久后才可以修改密码检查方法：开始|程序|管理工具|本地安全设置|安全设置|帐户策略|密码策略：# 密码最长存留期，以天为单位，MAXDAYS天后密码过期，缺省为42天（建议不超过42天）# 密码最短存留期，以天为单位，MINDAYS天后才可以修改密码，缺省为0（建议17天）检查风险（对系统的影响，请具体描述）：无结果分析方法：根据客户网络的特定情况，确定密码最长存留期和最短存留期，作为互联网服务器可以适当延长“最长密码存留期”，并可以设置“最短密码存留期”为0。作为内部网主机，建议使用默认值。适用版本：Windows 2000及以上版本备注：可以询问客户管理员进行相关设置。编号：Windows-03004名称：帐户锁定策略检查说明：对主机或域上帐户检查帐号锁定策略锁定策略包括帐户锁定计数器、帐户锁定时间、帐户锁定阀值。检查方法：开始|程序|管理工具|本地安全设置|安全设置|帐户策略：帐户锁定计数器：（建议为30分钟）帐户锁定时间：（建议为30分钟）帐户锁定阀值：（建议5次）检查风险（对系统的影响，请具体描述）：无结果分析方法：根据客户网络的特定情况，确定帐户锁定策略，作为内部网主机，建议使用推荐值；作为互联网服务器建议不要设置该值，因为设置该值可能导致一些服务的拒绝服务。适用版本：Windows 2000及以上版本备注：编号：Windows-03005名称：检查Guest帐号说明：Guest帐号是一个容易忽视的帐号，黑客可能修改该帐号权限，并利用该帐号登陆系统检查方法：net user guest检查风险（对系统的影响，请具体描述）：无结果分析方法：C:net user guestUser name GuestFull NameComment Built-in account for guest access to the computer/domainUsers commentCountry code 000 (System Default)Account active NoAccount expires NeverPassword last set 2003/5/11 下午 10:47Password expires NeverPassword changeable 2003/5/11 下午 10:47Password required NoUser may change password NoWorkstations allowed AllLogon scriptUser profileHome directoryLast logon NeverLogon hours allowed AllLocal Group Memberships *GuestsGlobal Group memberships *NoneThe command completed successfully.适用版本：All备注：编号：Windows-03006名称：系统是否使用默认管理员帐号说明：默认管理员帐号可能被攻击者用来进行密码暴力猜测，建议修改默认管理员用户名。检查方法：net user检查风险（对系统的影响，请具体描述）：无结果分析方法：查看用户列表中是否存在Administrator帐号适用版本：All备注：编号：Windows-03007名称：是否存在可疑帐号说明：查看系统是否存在攻击者留下的可疑帐号，或检查主机操作人员遗留下的尚未删除的帐号。检查方法：net user检查风险（对系统的影响，请具体描述）：可能删除系统中重要用户导致某些应用无法正常使用，建议在删除前将可以帐号禁用，禁用方法 ：net user username /active:no结果分析方法：从列表中找寻是否存在流行黑客软件所创建的帐号，并询问客户管理员。发现可疑帐号后执行 net user username，查看帐号相关信息适用版本：All备注：编号：Windows-03008名称：检查系统中是否存在脆弱口令说明：系统存在脆弱口令帐号可能导致攻击者轻易猜出帐号密码。检查方法：安装L0pht crack4进行检查检查风险（对系统的影响，请具体描述）：安装该软件需得到客户管理员许可，执行该软件可能导致系统蓝屏。结果分析方法：通过简单测试可以获得脆弱口令帐号列表。适用版本：All备注：四. 网络与服务编号：Windows-04001名称：查看网络开放端口说明：查看网络开放端口检查方法：netstat an检查风险（对系统的影响，请具体描述）：在大流量网站执行该命令可能结果较多。结果分析方法：C:netstat anActive Connections Proto Local Address Foreign Address State TCP :135 :0 LISTENING TCP :445 :0 LISTENING TCP :1025 :0 LISTENING TCP :3006 :0 LISTENING TCP :3001 :0 LISTENING TCP :3002 :0 LISTENING TCP :3003 :0 LISTENING UDP :445 *:* UDP :500 *:* UDP :1026 *:* UDP :3004 *:* UDP :3007 *:* UDP :4500 *:* UDP :123 *:* UDP :3005 *:* UDP :15609 *:*适用版本：All备注：编号：Windows-04002名称：网络流量信息说明：得到网络流量信息检查方法：netstat s检查风险（对系统的影响，请具体描述）：无结果分析方法：C:netstat sIPv4 Statistics Packets Received = 0 Received Header Errors = 0 Received Address Errors = 0 Datagrams Forwarded = 0 Unknown Protocols Received = 0 Received Packets Discarded = 0 Received Packets Delivered = 0 Output Requests = 0 Routing Discards = 0 Discarded Output Packets = 0 Output Packet No Route = 0 Reassembly Required = 0 Reassembly Successful = 0 Reassembly Failures = 0 Datagrams Successfully Fragmented = 0 Datagrams Failing Fragmentation = 0 Fragments Created = 0ICMPv4 Statistics Received Sent Messages 0 0 Errors 0 0 Destination Unreachable 0 0 Time Exceeded 0 0 Parameter Problems 0 0 Source Quenches 0 0 Redirects 0 0 Echos 0 0 Echo Replies 0 0 Timestamps 0 0 Timestamp Replies 0 0 Address Masks 0 0 Address Mask Replies 0 0TCP Statistics for IPv4 Active Opens = 0 Passive Opens = 0 Failed Connection Attempts = 0 Reset Connections = 0 Current Connections = 0 Segments Received = 0 Segments Sent = 0 Segments Retransmitted = 0UDP Statistics for IPv4 Datagrams Received = 0 No Ports = 0 Receive Errors = 0 Datagrams Sent = 0适用版本：All备注：各版本Windows Server netstat的不同可能导致结果不一致，在Windows 2003中增加了ICMP信息。编号：Windows-04003名称：端口、进程对应信息检查说明：检查主机端口、进程对应信息检查方法：Fport/soft/fport.exe检查风险（对系统的影响，请具体描述）：无结果分析方法：Pid Process Port Proto Path400 svchost - 135 TCP C:WINNTsystem32svchost.exe8 System - 139 TCP8 System - 445 TCP8 System - 1028 TCP872 rsvp - 1047 TCP C:WINNTSystem32rsvp.exe624 WinMgmt - 1048 TCP C:WINNTSystem32WBEMWinMgmt.exe624 WinMgmt - 1049 TCP C:WINNTSystem32WBEMWinMgmt.exe540 inetinfo - 1054 TCP C:WINNTSystem32inetsrvinetinfo.exe1616 msdtc - 2692 TCP C:WINNTSystem32msdtc.exe1616 msdtc - 3372 TCP C:WINNTSystem32msdtc.exe8 System - 3778 TCP400 svchost - 135 UDP C:WINNTsystem32svchost.exe8 System - 137 UDP8 System - 138 UDP8 System - 445 UDP256 lsass - 500 UDP C:WINNTsystem32lsass.exe244 services - 1029 UDP C:WINNTsystem32services.exe540 inetinfo - 3456 UDP C:WINNTSystem32inetsrvinetinfo.exe适用版本：Windows 2000及以下版本备注：在Windows 2003中Fport无法执行，可以使用 netstat ano 查看端口对应的PID，然后结合04004的检查结果进行整理。编号：Windows-04004名称：主机进程信息检查说明：查看主机进程信息检查方法：pv e/soft/pv.exe检查风险（对系统的影响，请具体描述）：无结果分析方法：C:pv e PROCESS PID PRIO PATHsmss.exe 456 Normal C:WINDOWSSystem32smss.execsrss.exe 504 Normal C:WINDOWSsystem32csrss.exewinlogon.exe 528 High C:WINDOWSsystem32winlogon.exeservices.exe 572 Normal C:WINDOWSsystem32services.exelsass.exe 584 Normal C:WINDOWSsystem32lsass.exesvchost.exe 772 Normal C:WINDOWSsystem32svchost.exesvchost.exe 824 Normal C:WINDOWSSystem32svchost.exesvchost.exe 968 Normal C:WINDOWSsystem32svchost.exesvchost.exe 984 Normal C:WINDOWSsystem32svchost.exesvchost.exe 1016 Normal C:WINDOWSsystem32svchost.exespoolsv.exe 1176 Normal C:WINDOWSsystem32spoolsv.exemsdtc.exe 1232 Normal C:WINDOWSsystem32msdtc.exealg.exe 1328 Normal C:WINDOWSSystem32alg.exeAti2evxx.exe 1340 Normal C:WINDOWSsystem32Ati2evxx.exesvchost.exe 1360 Normal C:WINDOWSSystem32svchost.exehibserv.exe 1412 Normal C:PROGRA1CompaqCOMPAQ1hibserv.exesvchost.exe 1460 Normal C:WINDOWSsystem32svchost.exesvchost.exe 1508 Normal C:WINDOWSSystem32svchost.exeDfssvc.exe 1616 Normal C:WINDOWSsystem32Dfssvc.exeExplorer.EXE 204 Normal C:WINDOWSExplorer.EXEatiptaxx.exe 356 Normal C:WINDOWSsystem32atiptaxx.exehkss.exe 364 Normal C:Program FilesCompaqHotkey Softwarehkss.exeMsgPlus.exe 372 Normal C:Program FilesMessenger Plus! 2MsgPlus.execpqek.exe 380 Normal C:Program FilesCompaqCompaq EAB Softwarecpqek.exedaemon.exe 388 Normal C:Program FilesD-Toolsdaemon.exectfmon.exe 428 Normal C:WINDOWSsystem32ctfmon.exeOUTLOOK.EXE 508 Normal C:Program FilesMicrosoft OfficeOffice10OUTLOOK.EXEwmiprvse.exe 1444 Normal C:WINDOWSsystem32wbemwmiprvse.exetotalcmd.exe 2492 Normal d:toolswincmdtotalcmd.exemsmsgs.exe 3012 Normal C:Program FilesMessengermsmsgs.execonime.exe 2700 Normal C:WINDOWSsystem32conime.exe适用版本：All备注：编号：Windows-04005名称：查看启动服务列表说明：查看系统已经启动的服务列表检查方法：net start检查风险（对系统的影响，请具体描述）：无结果分析方法：C:net startThese Windows services are started: Alerter Application Layer Gateway Service Ati HotKey Poller Automatic Updates Background Intelligent Transfer Service COM+ Event System Computer Browser Cryptographic Services DHCP Client Distributed File System Distributed Link Tracking Client Distributed Transaction Coordinator DNS Client Error Reporting Service Event Log Help and Support Hibernation Infrared Monitor Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) IPSEC Services Network Connections Network Location Awareness (NLA) Plug and Play Print Spooler Protected Storage Remote Access Auto Connection Manager Remote Access Connection Manager Remote Procedure Call (RPC) Remote Registry Secondary Logon Security Accounts Manager Server Shell Hardware Detection System Event Notification Task Scheduler TCP/IP NetBIOS Helper Telephony Terminal Services Windows Audio Windows Management Instrumentation Windows Time Wireless Configuration Workstation适用版本：All备注：编号：Windows-04006名称：查看主机开放的共享说明：查看主机是否开放了共享或管理共享未关闭。检查方法：net share检查风险（对系统的影响，请具体描述）：无结果分析方法：D:net shareShare name Resource Remark-IPC$ Remote IPC适用版本：All备注：编号：Windows-04007名称：检查主机端口限制信息说明：检查主机是否实施了端口限制通常的方法是主机受防火墙保护或在主机上实施了相关的措施进行端口限制。检查方法：一般的方法为询问管理员或从外部telnet连接主机已开放端口检查风险（对系统的影响，请具体描述）：无结果分析方法：无适用版本：All备注：五. 文件系统编号：Windows-05001名称：查看主机磁盘分区类型说明：服务器应使用具有安全特性的NTFS格式，而不应该使用FAT或FAT32分区。检查方法：开始|管理工具|计算机管理|磁盘管理检查风险（对系统的影响，请具体描述）：无结果分析方法：适用版本：Windows 2000及以上版本备注：编号：Windows-05002名称：检查特定文件的文件权限说明：对于一些敏感文件权限需要进行修改，避免文件被恶意用户执行。检查方法：cacls filename检查风险（对系统的影响，请具体描述）：无结果分析方法：C:cacls %systemroot%system32cmd.exeC:WINDOWSsystem32cmd.exe BUILTINGuests:N NT AUTHORITYINTERACTIVE:R NT AUTHORITYSERVICE:R BUILTINAdministrators:F NT AUTHORITYSYSTEM:F BUILTINAdministrators:F HEAVENTelnetClients:R适用版本：All（仅适用于NTFS分区）备注：文件列表包括：%systemroot%system32regsvr32.exe,%systemroot%system32ldifde.exe,%systemroot%system32tftp.exe,%systemroot%system32rexec.exe,%systemroot%system32nslookup.exe,%systemroot%system32tracert.exe,%systemroot%system32netstat.exe,%systemroot%,%systemroot%regedit.exe,%systemroot%system32regedt32.exe,%systemroot%system32debug.exe,%systemroot%system32rdisk.exe,%systemroot%system32nbtstat.exe,%systemroot%system32secfixup.exe,%systemroot%system32rcp.exe,%systemroot%system32ipconfig.exe,%systemroot%system32syskey.exe,%systemroot%system32runonce.exe,%systemroot%system32qbasic.exe,%systemroot%system32atsvc.exe,%systemroot%system32Rsh.exe,%systemroot%system32os2.exe,%systemroot%system32posix.exe,%systemroot%system32finger.exe,%systemroot%system32at.exe,%systemroot%system32route.exe%systemroot%system32ping.exe,%systemroot%system32edlin.exe,%systemroot%system32arp.exe,%systemroot%system32telnet.exe ,%systemroot%system32ftp.exe,%systemroot%system32net1.exe,%systemroot%system32net.exe,%systemroot%system32cscript.exe,%systemroot%system32Wscript.exe,%systemroot%system32xcopy.exe,%systemroot%system32cmd.exe,编号：Windows-05003名称：检查特定目录的权限说明：在检查中我们一般检查各个磁盘根目录权限、Temp目录权限检查方法：cacls 目录名检查风险（对系统的影响，请具体描述）：无结果分析方法：C:cacls d:d: BUILTINGuests:(OI)(CI)N Everyone:(OI)(CI)F适用版本：All（仅适用于NTFS分区）备注：如修改权限需与管理员进行沟通，因为设置根目录权限后以后新建目录都会积存该权限，可能导致IIS访问需要用户名，此时对新建的目录重新设置权限即可。六. 日志审核编号：Windows-06001名称：检查审核情况说明：检查主机的审核情况检查方法：开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|审核策略检查风险（对系统的影响，请具体描述）：无结果分析方法：推荐值如上图所示适用版本：Windows 2000及以上版本备注：编号：Windows-06002名称：检查系统事件相关信息说明：检查系统日志大小、覆盖天数检查方法：开始|运行|eventvwr|右键“系统”检查风险（对系统的影响，请具体描述）：结果分析方法：增大最大日志大小，不允许覆盖。如果主机为Internet服务器，建议设置为“覆盖早于30天”。适用版本：All备注：编号：Windows-06003名称：检查应用事件相关信息说明：检查应用日志大小、覆盖天数检查方法：开始|运行|eventvwr|右键“应用”检查风险（对系统的影响，请具体描述）：结果分析方法：增大最大日志大小，不允许覆盖。如果主机为Internet服务器，建议设置为“覆盖早于30天”。适用版本：All备注：编号：Windows-06004名称：检查安全事件相关信息说明：检查安全日志大小、覆盖天数检查方法：开始|运行|eventvwr|右键“安全”检查风险（对系统的影响，请具体描述）：无结果分析方法：增大最大日志大小，不允许覆盖。如果主机为Internet服务器，建议设置为“覆盖早于30天”。适用版本：All备注：七. 安全增强性编号：Windows-07001名称：保护注册表，防止匿名访问说明：默认权限并不限制对注册表的远程访问。只有管理员才应具有对注册表的远程访问权限，因为默认情况下 Windows 2000 注册表编辑工具支持远程访问。检查方法：开始|运行|regedt32|转到HKLM SYSTEMCurrentControlSetControlSecurePipeServerswinreg|安全|权限检查风险（对系统的影响，请具体描述）：无结果分析方法：该键权限应为管理员完全控制，其他用户不允许访问该键适用版本：All备注：编号：Windows-07002名称：对匿名连接的额外限制说明：默认情况下，Windows系统允许匿名用户枚举主机帐号列表，获得一些敏感信息。检查方法：开始|运行|gpedit.msc|计算机配置|Windows设置|本地策略|安全选项 检查风险（对系统