windows服务器测评命令
1、rundll32.exe shell32,Control_RunDLL desk.cpl,0设置桌面图标
rundll32 netplwiz.dll,UsersRunDll / control userpasswords2用于查看用户账户权限。
2、gpedit.msc是本地组策略编辑器,
windows server2012操作:查看计算机配置一>管理模板一>Windows组件一选程桌面服务>远程桌面会话主机-安全,用于查看是否配置远程登录。
Windows server2008操作:查看计算机配置->管理模块->Windows组件->终端服务->终端服务器->安全->,查看是否配置远程登录。
3、lusrmgr.msc本地用户和组。用于查看本地用户和组的基本权限和密码设置问题。高风险判定:“需要选中用户下册登录时须更改密码”。选中不是高风险,判定1分。不选中就是高风险,判定0 分。
4、secpol.msc是本地安全策略。可以用于查看本地策略的用户权限配置。
5、eventvwr.msc是事件查看器。可以用于查看windows日志,包括应用程序、安全、设置、系统和已转发事件。这些具体的日期和时间,来源,事件ID等。
6、dcomcnfg 打开组件服务界面
7、appwiz.cpl(就是卸载程序的地方)打开程序和功能界面
8、services.msc 打开系统服务管理界面,查看是否有多余的服务打开。
9、netstat –an 查看列表中的监听端口,是否包括高危端口。
10、net share 查看默认共享。
11、firewall.cpl 打开window防火墙界面,查看Windows防火墙是否启用。
二、Window身份鉴别测评方法:
身份鉴别
(1)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
用户需要输入用户名和密码;Windows默认用户名具有唯一性。
打开“控制面板–>管理工具–>计算机管理–>本地用户和组”检查有哪些用户,并尝试空口令登录
打开“控制面板–>管理工具–>本地安全策略–>账户策略–>密码策略
(2)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和登录连接超时自动退出
打开“控制面板–>管理工具–>本地安全策略–>账户策略–>密码锁定策略
右键点击桌面–>个性化–>屏幕保护程序,查看“等待时间”的长短以及“在恢复时显示登陆屏幕”选项是否打勾
(3)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
如果是本地管理或KVM等硬件管理方式,此项默认满足;
如果采用远程管理,才需要采用带加密管理的远程管理方式,
(4)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。【三级】
访问控制
(1)访谈系统管理员,操作系统能够登录的账户,以及它们拥有的权限。选在%systemdrive%\windows\system%systemroot%\system32\config等文件夹,右击选择属性–>安全,查看everyone组和users组和administrarors组的权限设置
(2)在命令行输入“ lusrmgr.msc”,弹出“本地用户组和组”窗口。
表示该用户已被禁止
(3)查看相关项目入侵防范查看和询问组件情况。
在命令行输入“dcomcnfg”打开组件服务界面,打开“控制台根节点”–>组件服务–>计算机–>我的电脑,查看右侧组件列表中的组件内容
查看和询问安装的应用程序情况。
(4)在命令输入“appwiz.cpl”(就是卸载程序的地方)打开程序和功能界面你,查看右侧程序列表中的安装的应用程序。
(5)查看系统服务:在命令行输入 services.msc 打开系统服务管理界面。查看右侧的服务详细列表中多余的服务如Alerter 、Registry Service 、Messenger 、Task Scheduler 是否启动。
(6)查看监听端口:在命令行输入 netstat –an 查看列表中的监听端口,是否包括高危端口,如TCP 135 、139、445、593、1025端口,UDP 135、137、138、445端口,一些流行病毒的后门端口,如TCP 2745、3127、6129端口。
(7)查看默认共享:在命令行输入 net share 查看本地计算机上所有共享资源的信息,是否打开了默认共享。例如,C
、
D
、D
、D.
(8)查看主机防火墙策略:在命令行输入 firewall.cpl 打开window防火墙界面,查看Windows防火墙是否启用。点击左侧列表中的“高级设置”,打开安全Windows防火墙“窗口。点击左侧列表中的入站规则,查看是否阻止访问多余的服务,或高位端口。