【读书笔记】蓝队——windows系统篇小白注释

最新推荐文章于 2024-05-26 13:15:00 发布

снυαιαм ιее

最新推荐文章于 2024-05-26 13:15:00 发布

阅读量221

点赞数

分类专栏：笔记文章标签： windows 蓝队安全基线安全配置

原文链接：http://www.4hou.com/technology/10173.html

版权

笔记专栏收录该内容

9 篇文章 0 订阅

订阅专栏

探测局域网内主机

net view /all

net vew \\ip

如果遇到发生系统错误 6118，此工作组的服务器列表当前无法使用

说明是因为防火墙拦截

ping探测

for /L(代表循环) %i(变量) in (1,1,254) do ping -w(等待回复的超时时间) 30 -n（要发送的回显请求数） 192.168.0.%i | find "回复" >> sb.txt

开启Dhcp服务器日志

reg add HKLM\System\CurrentControlSet\Services\DhcpServer\Parameters /v（添加名称） ActivityLogFlag /t（数据类型） REG_DWORD /d（添加值） 1

查看Dhcp服务器日志

eventvwr.msc(事件查看器) ->应用程序和服务日志->microsoft->windows->Dhcp-clent和Dhcpv6-clent

常见问题 1007：客户机无法从DHCP获得信息，需要确定是网络问题，还是DCHP服务器问题

修改日志的位置以及防止被删除

找到注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog

其中子项Application，security，system分别代表应用程序日志，安全日志，系统日志

然后分别找到它们的file项，修改储存地址

首先确保新储存地址的系统格式是NTFS，然后选择存放的目录，打开属性—>安全：取消允许未来自父系的可继承权限传播给该对象—>账号列表的所有用户:只赋予读取权限—>system账户赋予除“完全控制”和"修改"以外的一切权限

查看防火墙日志

防火墙->高级设置->防火墙属性->日志自定义->勾选两个“是”，记录所有连接->同时能看到日志地址

一般格式为：时间本地ip 远程ip 本地端口远程端口

要是发现陌生端口就要小心了

查看dns服务器名

nslookup

开启DNS日志

DNSCmd DNS服务器名 /config /logLevel 0x8100F331

配置日志文件路径

DNSCmd DNS服务器名 /config /LogFilePath C:\dns.log

配置日志文件大小

DNSCmd DNS服务器名 /config /logfilemaxsize 0xffffffff

计算文件哈希值

fciv.exe 文件名

计算c盘全部文件哈希并保存

fciv.exe c:\ -r（递归计算） -md5/-sha1 -xml（保存xml格式） sb.xml

列出所有哈希

fciv.exe -list -md5/sha1 -xml sb.xml

Netbios扫描

nbtstat -A IP

查看缓存中连接过的远程IP

nbtstat -c

批量扫描

for /L %i in (1,1,254) do nbtstat -An 192.168.0.%i

清除缓存

nbtstat -R

MBSA基线安全检查（漏扫检测最低程度的安全）

mbsacli.exe /target ip /n iis+os+sql+password

mbsacli.exe /r ip段 /n iis+os+sql+password

查询正在运行的服务

sc query

停止运行服务

sc stop "服务名"

sc config "服务名" start=disabled

查看防火墙全部规则

netsh advfirewall firewall show rule name=all

开启防火墙

netsh advfirewall set currentprofile state on
开启、关闭端口

netsh advfirewall firewall add rule name="开放3389" action=allow(开)/block(关) dir=in(入站)/out(出站) localport=3389 protocol=TCP

netsh advfirewall firewall add rule name="允许、禁止连接程序" action=allow/block dir=in/out program="c:\sb.exe" enable=yes

小心C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe和Msbuild.exe可以绕过applocker

打开applocker

gpedit.msc->windows设置->安全设置->applocker

IPSEC

# 1.）使用预共享密钥的方式新建一条IPSEC本地安全策略，应用到所有连接和协议

C:\> netsh ipsec static add filter filterlist=MyIPsecFilter srcaddr=Any dstaddr=Any protocol=ANY C:\> netsh ipsec static add filteraction name=MyIPsecAction action=negotiate C:\> netsh ipsec static add policy name=MyIPsecPolicy assign=yes C:\> netsh ipsec static add rule name=MyIPsecRule policy=MyIPsecPolicy filterlist=MyIPsecFilter filteraction=MyIPsecAction conntype=all activate=yes psk=密码

# 2.）新建一条允许访问外网TCP 80和443端口的IPSEC策略

C:\> netsh ipsec static add filteraction name=Allow action=permit C:\> netsh ipsec static add filter filterlist=WebFilter srcaddr=Any dstaddr=Any protocol=TCP dstport=80 C:\> netsh ipsec static add filter filterlist=WebFilter srcaddr=Any dstaddr=Any protocol=TCP dstport=443 C:\> netsh ipsec static add rule name=WebAllow policy=MyIPsecPolicy filterlist=WebFilter filteraction=Allow conntype=all activate=yes psk=密码

# 3.）查看和禁用某条IPSEC本地安全策略

C:\> netsh ipsec static show policy name=MyIPsecPolicy C:\> netsh ipsec static set policy name=MyIPsecPolicy assign=no

# 新建一条IPSEC对应的防火墙规则，源地址和目的地址为any

C:\> netsh advfirewall consec add rule name="IPSEC" endpointl=any endpoint2=any action=requireinrequireout qmsecmethods=default

# 新建一条IPSEC对应的防火墙规则，所有出站请求必须提供预共享密钥

C:\> netsh advfirewall firewall add rule name="IPSEC_Out" dir=out action=allow enable=yes profile=any localip=any remoteip=any protocol=any interfacetype=an

# 禁用远程桌面连接

C:\> reg add "HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer" /f /v fDenyTSConnections /t REG_DWORD /d 1

# 只发送NTLMv2响应（防止“永恒之蓝”漏洞攻击）

C:\> reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t REG_DWORD /d 5 /f

# 禁用IPV6

C:\> reg add HKLM\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters /v DisabledComponents /t REG_DWORD /d 255 /f

# 禁用sticky键

C:\> reg add "HKCU\ControlPanel\Accessibility\StickyKeys" /v Flags /t REG_SZ /d 506 /f

# 禁用管理共享（Servers/Workstations）

C:\> reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /f /v AutoShareServer /t REG_DWORD /d 0 C:\> reg add HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /f /v AutoShareWks /t REG_DWORD /d 0

# 禁用注册表编辑器和CMD命令提示符

C:\> reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 1 /f C:\> reg add HKCU\Software\Policies\Microsoft\Windows\System /v DisableCMD /t REG_DWORD /d 1 /f

# 启用UAC

C:\> reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f

# 启用防火墙日志功能

C:\> netsh firewall set logging droppedpackets = enable C:\> netsh firewall set logging connections = enable

снυαιαм ιее

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
【读书笔记】蓝队——windows系统篇小白注释

探测局域网内主机net view /allnet vew \\ip如果遇到发生系统错误 6118，此工作组的服务器列表当前无法使用说明是因为防火墙拦截ping探测for /L(代表循环) %i(变量) in (1,1,254) do ping -w(等待回复的超时时间)30 -n（要发送的回显请求数） 192.168.0.%i | find "回复" >> sb.txt开启Dhcp服务器日志reg add HKLM\System\CurrentContr..
复制链接

扫一扫

专栏目录