探测局域网内主机
net view /all
net vew \\ip
如果遇到 发生系统错误 6118,此工作组的服务器列表当前无法使用
说明是因为防火墙拦截
ping探测
for /L(代表循环) %i(变量) in (1,1,254) do ping -w(等待回复的超时时间) 30 -n(要发送的回显请求数) 192.168.0.%i | find "回复" >> sb.txt
开启Dhcp服务器日志
reg add HKLM\System\CurrentControlSet\Services\DhcpServer\Parameters /v(添加名称) ActivityLogFlag /t(数据类型) REG_DWORD /d(添加值) 1
查看Dhcp服务器日志
eventvwr.msc(事件查看器) ->应用程序和服务日志->microsoft->windows->Dhcp-clent和Dhcpv6-clent
常见问题 1007:客户机无法从DHCP获得信息,需要确定是网络问题,还是DCHP服务器问题
修改日志的位置以及防止被删除
找到注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog
其中子项Application,security,system分别代表应用程序日志,安全日志,系统日志
然后分别找到它们的file项,修改储存地址
首先确保新储存地址的系统格式是NTFS,然后选择存放的目录,打开属性—>安全:取消 允许未来自父系的可继承权限传播给该对象—>账号列表的所有用户:只赋予读取权限—>system账户赋予除“完全控制”和"修改"以外的一切权限
查看防火墙日志
防火墙->高级设置->防火墙属性->日志 自定义->勾选两个“是”,记录所有连接->同时能看到日志地址
一般格式为:时间 本地ip 远程ip 本地端口 远程端口
要是发现陌生端口就要小心了
查看dns服务器名
nslookup
开启DNS日志
DNSCmd DNS服务器名 /config /logLevel 0x8100F331
配置日志文件路径
DNSCmd DNS服务器名 /config /LogFilePath C:\dns.log
配置日志文件大小
DNSCmd DNS服务器名 /config /logfilemaxsize 0xffffffff
计算文件哈希值
fciv.exe 文件名
计算c盘全部文件哈希并保存
fciv.exe c:\ -r(递归计算) -md5/-sha1 -xml(保存xml格式) sb.xml
列出所有哈希
fciv.exe -list -md5/sha1 -xml sb.xml
Netbios扫描
nbtstat -A IP
查看缓存中连接过的远程IP
nbtstat -c
批量扫描
for /L %i in (1,1,254) do nbtstat -An 192.168.0.%i
清除缓存
nbtstat -R
MBSA基线安全检查(漏扫检测最低程度的安全)
mbsacli.exe /target ip /n iis+os+sql+password
mbsacli.exe /r ip段 /n iis+os+sql+password
查询正在运行的服务
sc query
停止运行服务
sc stop "服务名"
sc config "服务名" start=disabled
查看防火墙全部规则
netsh advfirewall firewall show rule name=all
开启防火墙
netsh advfirewall set currentprofile state on
开启、关闭端口
netsh advfirewall firewall add rule name="开放3389" action=allow(开)/block(关) dir=in(入站)/out(出站) localport=3389 protocol=TCP
netsh advfirewall firewall add rule name="允许、禁止连接程序" action=allow/block dir=in/out program="c:\sb.exe" enable=yes
小心C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe和Msbuild.exe可以绕过applocker
打开applocker
gpedit.msc->windows设置->安全设置->applocker
IPSEC
# 1.)使用预共享密钥的方式新建一条IPSEC本地安全策略,应用到所有连接和协议 C:\> netsh ipsec static add filter filterlist=MyIPsecFilter srcaddr=Any dstaddr=Any protocol=ANY
C:\> netsh ipsec static add filteraction name=MyIPsecAction action=negotiate
C:\> netsh ipsec static add policy name=MyIPsecPolicy assign=yes
C:\> netsh ipsec static add rule name=MyIPsecRule policy=MyIPsecPolicy filterlist=MyIPsecFilter filteraction=MyIPsecAction conntype=all activate=yes psk=密码
# 2.)新建一条允许访问外网TCP 80和443端口的IPSEC策略 C:\> netsh ipsec static add filteraction name=Allow action=permit
C:\> netsh ipsec static add filter filterlist=WebFilter srcaddr=Any dstaddr=Any protocol=TCP dstport=80
C:\> netsh ipsec static add filter filterlist=WebFilter srcaddr=Any dstaddr=Any protocol=TCP dstport=443
C:\> netsh ipsec static add rule name=WebAllow policy=MyIPsecPolicy filterlist=WebFilter filteraction=Allow conntype=all activate=yes psk=密码
# 3.)查看和禁用某条IPSEC本地安全策略 C:\> netsh ipsec static show policy name=MyIPsecPolicy
C:\> netsh ipsec static set policy name=MyIPsecPolicy assign=no
# 新建一条IPSEC对应的防火墙规则,源地址和目的地址为any C:\> netsh advfirewall consec add rule name="IPSEC" endpointl=any endpoint2=any action=requireinrequireout qmsecmethods=default
# 新建一条IPSEC对应的防火墙规则,所有出站请求必须提供预共享密钥 C:\> netsh advfirewall firewall add rule name="IPSEC_Out" dir=out action=allow enable=yes profile=any localip=any remoteip=any protocol=any interfacetype=an
# 禁用远程桌面连接 C:\> reg add "HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer" /f /v fDenyTSConnections /t REG_DWORD /d 1
# 只发送NTLMv2响应(防止“永恒之蓝”漏洞攻击) C:\> reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t REG_DWORD /d 5 /f
# 禁用IPV6 C:\> reg add HKLM\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters /v DisabledComponents /t REG_DWORD /d 255 /f
# 禁用sticky键 C:\> reg add "HKCU\ControlPanel\Accessibility\StickyKeys" /v Flags /t REG_SZ /d 506 /f
# 禁用管理共享(Servers/Workstations) C:\> reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /f /v AutoShareServer /t REG_DWORD /d 0
C:\> reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /f /v AutoShareWks /t REG_DWORD /d 0
# 禁用注册表编辑器和CMD命令提示符 C:\> reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 1 /f
C:\> reg add HKCU\Software\Policies\Microsoft\Windows\System /v DisableCMD /t REG_DWORD /d 1 /f
# 启用UAC C:\> reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f
# 启用防火墙日志功能 C:\> netsh firewall set logging droppedpackets = enable
C:\> netsh firewall set logging connections = enable