Windows巡检示例 – 作者:lidasimida-安全小百科

本人是从事渗透测试的岗位，由于工作的需要，也需要进行巡检，下面描述的是企业的巡检项目工作过程，以及自己衍生出来的思路，由于客户的环境大多是windows系统，此次示例的一些截图主要是以客户常用的windows2012系统为例，内容有些简单，大佬勿喷。

一、加固查看操作

针对企业的巡检工作，首先是要进行查看目标系统是否加固到位，下面是一次windows快速查看加固查看的方式示例。

点击桌面左下角的开始，然后点击管理工具

里面包含所有的需要巡检的

查看本地安全策略可以按照顺序查看加固情况

1、密码策略

2、账号策略
3、审核策略

4、用户权限分配

5、安全选项

6、防火墙规则

查看计算机管理

1、共享文件夹

2、本地用户和组

查看任务计划程序，看看有无开启敏感的计划

查看事件管理器

1、查看应用程序、安全和系统的日志大小，以及所记录的信息

2、查看安全日志里的登陆情况，有失败的需要分析，可以通过详细信息里面查看谁连接的，存在敏感权限登陆的时候也要查看是从哪里运行的。

假若发现了lsass.exe使用敏感权限登陆的，要注意在系统中，有一个lsass.exe进程，是系统非常重要的一个进程，随电脑一齐启动，用于安全认证，主要是验证登录密码，处理用户配置策略。病毒最喜欢入侵这个进程，如果在C:\Windows\System32文件夹下，有两个这样的lsass.exe文件，肯定有个是病毒，一般病毒名为ISASS.exe，名字为大写，第一个字母为大写的i，并不是小写的L，删除这个假文件即可。至于其他的如svchost.exe等文件也是如此。

程序

查看完管理工具里面的内容之后，先别关掉，可以点击控制面板，然后查看程序，查看有无敏感程序运行，也可以查看有什么中间件或数据库运行的，可以知道位置

防火墙

查看完程序之后回到上一层，继续查看防火墙的状态

屏幕保护程序

1、桌面右击，选择屏幕分辨率

2、返回上一层的显示，然后选中屏幕保护程序

以上为快速查看巡检的加固详情。

二、使用cmd命令行查看信息

使用schtasks查看计划任务信息

at //windows2008之前（含win2008）查看所有计划任务信息

schtasks或schtasks /query //windows2008之后（不含win2008）查看所有计划任务信息

schtasks /showsid /tn taskname //显示指定计划任务的路径\名称。

使用net查看用户信息

net user //查看所有计算机用户

net user 用户 //查看某一个计算机用户的详细信息

net localgroup //查看计算机用户分组

net view \ip //显示远程主机的共享资源列表

net config [SERVER | WORKSTATION] //用于显示工作站或服务器服务的配bai置信息。使用时du若不带参数开关 SERVER或 WORKSTATION，它会显示一个可zhi配置服务的列表，server 用于显示主要计算机运行的服务器，workstation 用于显示工作站运行的相关信息

使用netsh查看配置信息

netsh firewall show config //查看防火墙的配置信息，windows2008之前的可以使用，到2012也可以弃用

netsh advfirewall firewall show rule name=all dir=in type=dynamic|more //显示所有动态入站规则，由于内容过多，使用more翻页查看，可以使用>输出文件查看

netsh advfirewall firewall show rule name=”allow messenger” verbose //显示所有名为”allow messenger”的所有入站规则的

netsh interface portproxy show all //查看端口转发配置

netsh ipsec dynamic show all //显示SPD中的策略，筛选器，SA和统计

netsh ipsec static show all //显示所有策略的详细信息及相关信息

netsh wlan show profile //查看wifi用户名

netsh wlan show profile <SSID> key=clear //获取热点密码

netsh interface ip show

address 显示ip地址配置
config 显示IP地址和更多信息
dns 显示DNS服务器地址
icmp 显示icmp统计
interface 显示ip接口统计
ipaddress 显示当前ip地址
ipnet 显示ip的网络到媒体的映射
ipstats 显示ip统计
joins 显示加入的多播组
offload 显示卸载信息
route 显示路由表项目
subinterfaces 显示子接口参数
tcpconnections 显示子接口参数
tcpstats 显示tcp统计
udpconnections 显示udp连接
udpstats 显示udp统计
winsservers 显示wins服务器地址

使用netstat查看端口信息

netstat -ano|more //查看端口开放配置详情，显示的信息右边写着PID号

netstat -ano |findstr :3389 //查看端口的侦听状态

netstat -an |findstr /i tcp|findstr /i listen //端口监听情况

使用wmic查看配置信息

tasklist |findstr PID //查看某一个端口的使用进程

wmic process get name,processid,executablepath |findstr “” //查看某个进程的路径和进程，过滤查询需要引号，里面内容区分大小写

wmic process where name=”qq.exe” get name,processid,executablepath //使用where查看某个进程的路径和进程

wmic process where “not executablepath like ‘%windows%'” get executablepath //枚举可执行文件路径

wmic startup get caption,command //在命令行使用该命令得到Windows上所有启动项的名称与执行程序所在路径

wmic environment get Description,VariableValue //WMIC可以提取出所有重要系统文件的路径，例如temp目录和win目录等等

wmic product get name,version //查看已安装程序列表以及版本

wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState,pathToSignedProductExe //查看反病毒产品路径版本等信息

wmic process list brief或wmic process list full //列出进程的核心信息，类似于任务管理器

wmic CPU get loadpercentage /value|findstr [1-9]或wmic path win32_perfformatteddata_perfos_processor get name,PercentIdleTime //查看CPU使用率

wmic path win32_perfformatteddata_perfos_memory get AvailableBytes //查看可用内存数（byte）

wmic MEMORYCHIP get Capacity //查看内存总容量（byte)

wmic VOLUME get name,Capacity,FreeSpace //查看磁盘使用情况

wmic os get CurrentTimeZone,FreePhysicalMemory,FreeVirtualMemory,LastBootUpTime,NumberofProcesses,NumberofUsers,Organization,RegisteredUser,Status/format:list //os选项可以列举出目标系统的上一次启动时间、注册的用户数量、处理器数量、物理/虚拟内存信息和安装的操作系统类型等等，其中RegisteredUser参数不一定是单数，有可能是复数，复数加s即可。