Windows安全检查脚本 bat 批处理

最新推荐文章于 2024-05-04 22:20:55 发布
最新推荐文章于 2024-05-04 22:20:55 发布
阅读量1.1w 收藏 31
点赞数 3
分类专栏: 脚本 文章标签: 一键安检 批处理 windows 脚本 安全检查
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liv2005/article/details/77982415
版权

第二次写批处理……Windows的一键安检,最后只返回成功或失败+原因。

PS:

1、这玩意对普通人没啥用,对管理很多服务器的运维同学有用。

2、安检和加固是两码事,安检只管检,不过如果你想顺便加固,应该随便改改这个脚本就可以了,里面提供了加固的思路。

3、这个批处理依赖Sysinternals的两个小工具,以及windows自带的WMIC。

用于检测启动项的autorunsc64.exe: https://docs.microsoft.com/zh-cn/sysinternals/downloads/autoruns

用于检查文件数字签名的sigcheck64.exe: https://docs.microsoft.com/zh-cn/sysinternals/downloads/sigcheck

4、我测试下来支持2008和2012、2012R2,我的都是64位版本,32位版本不清楚……

5、执行完后,文件都拷贝到c:\tool目录,c:\tool\backup中会留下原始记录,便于后续来查看。

6、为什么不用powershell? 因为我不会。


脚本如下:

::查询用户(Administrator是否改名、是否有其他启用的Administrators组用户)
::查询启动项(是否有非系统默认的启动项)
::查询进程(是否有非白名单进程)
::查询防火墙(是否开启,是否屏蔽了某些特殊端口,仅对必要的ip开放)
::查询TCP监听(是否仅监听了必要的端口)
::密码和日志审计策略设置
::--------------------------------------------------------  
::input: null
::output: Success|Failed\r\nReason
::--------------------------------------------------------  
::有问题请联系http://blog.csdn.net/liv2005,谢谢!

::关闭命令回显,执行时不显示每条命令的命令行,@表示本行也不显示
@echo off
if not exist "c:\tool\backup\" (mkdir c:\tool\backup\)
del /f /q c:\tool\securitycheck.lock > nul 2>&1

ver | find "5.2" > nul
if %ERRORLEVEL% == 0 goto ver_2003
ver | find "6.1" >nul
if %ERRORLEVEL% == 0 goto ver_2008
ver | find "6.2" > nul
if %ERRORLEVEL% == 0 goto ver_2012
ver | find "6.3" > nul
if %ERRORLEVEL% == 0 goto ver_2012R2
goto warnthenexit

::--------------------------------------------------------  
::-- Function section starts below here  
::--------------------------------------------------------  

:echofail
if not exist "c:\tool\securitycheck.lock" (
	echo Failed
	echo 1 > c:\tool\securitycheck.lock
)
goto:eof


:checksign
::检查文件签名
::call:checksign "c:\windows\system32\notepad.exe" buff
::return: unsigned | microsoft signed
if not exist "c:\tool\sigcheck64.exe" (copy sigcheck64.exe c:\tool\ >nul)
	set "filepath=%~f1"
	if not "%filepath%" EQU "" (
		if exist "%filepath%" (
			for /f "usebackq tokens=2,4 delims=," %%i in (`c:\tool\sigcheck64.exe /accepteula /c /nobanner "%filepath%" ^| find /i "signed"`) do (
				if %%i EQU "Signed" (
					if /i %%j EQU "Microsoft Corporation" (
						set "%2=microsoft signed"
						goto:eof
					)
					if /i %%j EQU "Microsoft Windows" (
						set "%2=microsoft signed"
						goto:eof
					)
					if /i %%j EQU "Microsoft" (
						set "%2=microsoft signed"
						goto:eof
					)
				) else (
					set "%2=unsigned"
					goto:eof
				)
			)
		) else ( set "%2=file not exist" )
	)
goto:eof


:checkuser
::查询用户(Administrator是否改名、Guest是否禁用、是否有其他启用的Administrators组用户)
setlocal enabledelayedexpansion  
set flag=0
::因为wmic输出的是unicode格式,其他命令输出ASCII的,两个放一块就乱码了。
wmic useraccount list full | more >> c:\tool\backup\backup.log
for /f "tokens=1 delims= " %%i in ('wmic useraccount list status^|find "OK"') do (
	set domainusername=%%i
	set username=!domainusername:*\=!
	::echo !username!
	if /i "!username!" EQU "administrator" (
		call:echofail
		echo you should rename administrator 
		exit /b 1
	)
	if /i "!username!" EQU "guest" (
		call:echofail
		echo you should deny guest
		exit /b 1
	)
	for /f "usebackq tokens=1 delims= " %%a in (`net user !username!^|find /i "Administrator"`) do (
		if "%%a" NEQ "" (set flag=!flag!+1)
	)				
)
if !flag! GTR 1 (
	call:echofail
	echo not only one admin
	exit /b 1
)
setlocal disabledelayedexpansion  
goto:eof


:checkstartup
::查询启动项(是否有非系统默认的启动项)
setlocal enabledelayedexpansion
set flag=0
if not exist "c:\tool\autorunsc64.exe" (copy autorunsc64.exe c:\tool\ >nul)
c:\tool\autorunsc64.exe /accepteula /m /s /nobanner | more>> c:\tool\backup\backup.log
for /f "tokens=10 delims=," %%i in ('c:\tool\autorunsc64.exe /accepteula /m /s /nobanner /c^| find /i "exe" ^| find /v "winvnc.exe" ^| find /v "rdpclip.exe"^| find /v "WinMail.exe" ^|find /v "AlternateShell"') do (
	if "%%i" GTR "" (
		if !flag! EQU 0 (
			set /A flag=1
			call:echofail
		)
		echo startup NOT in whitelist: %%i
	)
)
if !flag! EQU 1 (
	exit /b 1
)
setlocal disabledelayedexpansion  
goto:eof


:ProcessWhiteList
::保存进程白名单,并且与传入的进程名进行对比,增加需要修改list[]和list_length
set list[0]=c:\SSHD\bin\cygrunsrv.exe
set list[1]=C:\SSHD\sbin\sshd.exe
set list[2]=C:\Program Files\GCloud\gcloudagent.exe
set list_length=3

set list_index=0
:loopstart
if !list_index! EQU !list_length! (
	::循环匹配白名单结束,检查签名开始
	set buff=
	call:checksign "%~f1" buff
	if "!buff!" EQU "microsoft signed" (
		set buff=
		goto:eof
	)
	::签名也不是微软的,报错吧
	set buff=process NOT in whitelist: "%~f1"
	set /A list_index=0
	goto:eof
)
for /f "usebackq tokens=2 delims==" %%a in (`set list[!list_index!]`) do (
	if /i "%~f1" == "%%~fa" (
		::echo process in whitelist: "%~f1"
		set buff=
		set /A list_index=0
		goto:eof	
	)	
)
set /A list_index=!list_index!+1
goto:loopstart


:checkprocess
::查询进程(是否有非白名单进程)
setlocal enabledelayedexpansion 
set flag=0
wmic process get ExecutablePath | more >> c:\tool\backup\backup.log
for /f "usebackq tokens=* delims= " %%i in (`wmic process get ExecutablePath^|findstr -v "ExecutablePath"`) do (
	set "name=%%i"
	set "name=!name:~,-1!"
	if /i not "!name!" == "" (
		set "name=%%~fi"
		call :ProcessWhiteList "!name!"
		if not "!buff!" == "" (
			if !flag! EQU 0 (
				set /A flag=1
				call:echofail
			)
			echo !buff!
			set buff=
		)
	)
)
if !flag! EQU 1 (
	exit /b 1
)
setlocal disabledelayedexpansion  
goto:eof


:checkfirewall
::查询防火墙(是否开启,某些端口是否做了IP限制)
setlocal enabledelayedexpansion 
set flag=0
netsh advfirewall firewall show rule name=all dir=in type=dynamic status=enabled >> c:\tool\backup\backup.log
for /f "usebackq tokens=1,2 delims= " %%i in (`netsh advfirewall show currentprofile ^| findstr "状态.*启用"`) do (
	::英文系统会有问题
	if not "%%j"=="启用" (
		set /A flag=1			
	)
)
for /f "usebackq tokens=1,2,3 delims= " %%i in (`netsh advfirewall firewall show rule name^=all dir^=in type^=dynamic status^=enabled ^| findstr "IP"`) do (
	::批处理的坑是如果findstr没找到内容,是不执行for循环内的代码的
	echo %%k  | findstr "8.8.8.8 !!!这里换成你的公司出口ip!!!" >nul && set "a=yes" || set "a=no"
	if "!a!" EQU "yes" (
		set /A flag=2			
	)
)
if !flag! EQU 1 (
	call:echofail
	echo firewall is off
	exit /b 1
)
if !flag! EQU 0 (
	call:echofail
	echo firewall config error
	exit /b 1
)
setlocal disabledelayedexpansion  
goto:eof


:PortWhiteList
set "portwhitelist=135 445 3389 47001 end"
set tmp=!portwhitelist!
:tcploop
::循环匹配白名单
for /f "tokens=1,*" %%m in ("!tmp!") do (
	if "%%m" EQU "%~1" (
		set buff=
		goto:eof
	) 
	set tmp=%%n
)
if not "!tmp!" EQU "end" goto tcploop
::动态或私有端口:49152to65535或1025to103X只能checksign,微软的签名就不管,不是微软签名的就报出来
set "pid=%2"
for /f "usebackq tokens=*" %%a in (`wmic process where processid^=!pid! get ExecutablePath /value`) do (
	set "line=%%a"
	set "line=!line:~,-1!"
	if "!line!" GTR "" (
		(echo !line!|findstr -i "ExecutablePath">nul)&&(set "filepath=!line:~15!")
		if "!filepath!" GTR "" (
			set buff=
			call:checksign !filepath! buff
			if "!buff!" EQU "microsoft signed" (
				set buff=
				goto:eof
			)
		)
	)
)
set buff=port NOT in whitelist: %~1
goto:eof

:checktcp
::查询TCP监听(是否仅监听了必要的端口)
setlocal enabledelayedexpansion 
set flag=0
netstat -ano | find "LISTEN" | find "0.0.0.0" | find /v "127.0.0.1" >> c:\tool\backup\backup.log
for /f "usebackq tokens=2,5 delims= " %%i in (`netstat -ano ^| find "LISTEN" ^| find "0.0.0.0" ^| find /v "127.0.0.1"`) do (
	set "port=%%i"		
	set "port=!port:*:=!"
	
	set "pid=%%j"

	call :PortWhiteList !port! !pid!
	if not "!buff!" == "" (
		if !flag! EQU 0 (
			set /A flag=1
			call:echofail
		)
		echo !buff!
		set buff=
	)
)
if !flag! EQU 1 (
	exit /b 1
)
setlocal disabledelayedexpansion  
goto:eof


:secedit
::密码和日志审计策略设置
setlocal enabledelayedexpansion 
reg add HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v MaxUserPort /t REG_DWORD /d 65534 /f >nul
if not exist "c:\tool\celue.inf" (copy celue.inf c:\tool\ >nul)
secedit /configure /db c:\tool\celue.sdb /CFG c:\tool\celue.inf >nul
setlocal disabledelayedexpansion  
goto:eof


::--------------------------------------------------------  
::-- System section starts below here  
::--------------------------------------------------------  

:ver_2012
::Run Windows Server 2012 specific commands here.
::echo 2012
set flag=0
::buff全局变量 用来接收各种函数的返回值
set buff=

call:checkuser
if %ERRORLEVEL% GTR 0 (set /A flag=%flag%+1)
call:checkstartup
if %ERRORLEVEL% GTR 0 (set /A flag=%flag%+1)
call:checkprocess
if %ERRORLEVEL% GTR 0 (set /A flag=%flag%+1)
call:checkfirewall
if %ERRORLEVEL% GTR 0 (set /A flag=%flag%+1)
call:checktcp
if %ERRORLEVEL% GTR 0 (set /A flag=%flag%+1)
call:secedit
if %ERRORLEVEL% GTR 0 (set /A flag=%flag%+1)

if %flag% GTR 0 goto exit
goto succ


:ver_2012R2
::Run Windows Server 2012 R2 specific commands here.
goto:ver_2012
echo Failed
echo Win2012R2
goto exit


:ver_2008
::Run Windows Server 2008 specific commands here.
goto:ver_2012
echo Failed
echo Win2008
goto exit


:ver_2003
::Run Windows Server 2003 specific commands here.
echo Failed
echo Win2003
goto exit

::--------------------------------------------------------  
::-- Bye!  
::--------------------------------------------------------  
:warnthenexit
echo Failed
echo system unknown
goto exit

:succ
echo Success
goto end

:exit
del /f /q c:\tool\securitycheck.lock > nul 2>&1
goto end


:end

其中,用于加固的chelue.inf我是这么写的,仅供参考: 

[version] 
signature="$CHICAGO$" 
[Event Audit] 
AuditSystemEvents = 3 
AuditLogonEvents = 3 
AuditObjectAccess = 2 
AuditPrivilegeUse = 2 
AuditPolicyChange = 3 
AuditAccountManage = 3 
AuditProcessTracking = 0 
AuditDSAccess = 2 
AuditAccountLogon = 3 
[System Access]
PasswordComplexity = 1
MinimumPasswordLength = 12
MaximumPasswordAge = 90



用法:

1、把这四个文件放到任意目录中


2、命令行或者远程调用s.bat,执行结果形如:




好了,发到你的若干台服务器上去,然后集中统计结果吧……

日常用用还可以,对安全有高精尖要求的还是算了.....



Liv2005
关注
  • 3
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Windows安全核查工具脚本.bat
09-26
Windows安全核查工具脚本
BAT013:查看进程使用的端口号
qq_31762031的博客
10-04 169
摘要:编写批处理程序,实现查看进程使用的端口号。
Windows基线安全检测-安全配置检测
yyh_linux_note的博客
04-01 900
本文旨在通过一些windows系统安全检测及修复方式来提高大家的安全防范意识,尽可能保护我们的数据财产安全。 安全无小事,平安靠大家!!
linux 监控后台服务,zabbix自动监控Linux端口 , 自动和手动监控windows端口 ,zabbix自动监控windows服务...
weixin_34323587的博客
05-02 513
1、客户端新建脚本[root@agent01~]#vi/usr/local/zabbix_agent/sbin/discovertcpport.sh#!/bin/bashportarray=(`netstat-tnlp|egrep-i"$1"|awk{'print$4'}|awk-F':''{if($NF~/^[0-9]*$/)print$NF}'|sort|uniq`)...
常用 doc bat 命令总结
sun0322
04-14 5291
常用doc命令总结
windows系统批处理(.bat)检测java接口的存活状态
小码蚁
02-05 700
思路是通过批处理来运行class文件,根据反馈结果进行不同的处理:如果接口可访问只将运行正常写入日志;如果不可访问则进行重启系统。 1、首先写java文件,新建文本文档,写入下面代码并保存为Test.java文件 import java.net.URL; import java.net.URLConnection; public class Test{ public static void main(String[] args) { testUrlWithTimeOut("http:..
Windows安全策略检测 批量脚本
afdlk04406的专栏
03-29 985
@echo off TITLE "windows_checklist" REM 本代码测试于Windows10 REM utf-8 chcp 65001 REM 中文编码 REM chcp 936 echo ##########################################################################...
系统安全审计脚本实现
inboundmarketing的博客
04-27 409
echo "请使用 root 权限运行脚本."echo "6. 检查 SELinux 状态:"echo "4. 检查 SSH 配置:"echo "系统安全审计脚本执行完毕。echo "1. 检查系统更新情况:"echo "8. 检查系统文件权限:"echo "5. 检查防火墙设置:"echo "2. 检查系统账户:"echo "3. 检查密码策略:"echo "7. 检查系统日志:"echo "9. 检查定时任务:"echo "当前主机信息:"# 检查系统更新情况。# 检查系统文件权限。
WinCheck Script
hbhe0316的专栏
12-01 150
1.winCheck.bathttps://www.cndba.cn/hbhe0316/article/22658https://www.cndba.cn/hbhe0316/article/22658https://www.cndba.cn/hbhe0316/article/22658 https://www.cndba.cn/hbhe0316/article/22658 ...
Windows系统安全检查脚本
眸某博客
08-07 3202
这个批处理主要检查的内容是: 1、系统信息检查 2、端口状态检查 3、添加/卸载记录 4、IE浏览器记录 5、用户检查 6、隐藏用户检查 7、进程检查 8、注册表启动项检查 9、通信检查 10、CMD使用记录检查 11、C盘部分文件夹捆绑文件检查等 注册表相关权限如下: 用regini,是系统自带的注册表权限工具 1 - Administrators 完全访问 2 - Administrators 只读访问 3 - Administrators 读和写入访问 4 - Administrators 读
bat 关闭IE自动配制脚本、禁用掉自动检测设置和IE代理的批处理程序脚本
Finder_Way
04-20 5451
rem 禁用代理 reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0 /f rem 删除代理IP地址 reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\In...
【自动化脚本Windows操作系统安全加固
10-11
脚本为本人根据单位任务和个人兴趣编写,具有较好的交互操作,点击后不会直接执行操作,需要用户确认后才会执行,运行前会对注册表和组策略等信息进行备份,现上传分享给大家,如需对Windows操作系统安全进行加固...
700个批处理打包下载.rar
08-12
Windows安全优化小助手.cmd xp下确定最后的盘符.bat XP服务优化批处理.bat YS从桌面复制文件到其他地方.bat 一键清理系统垃圾文件.bat 下一行数字和上一行显示在同一行.cmd 不显示输入密码.cmd 不显示隐藏文件.bat ...
大量批处理实用程序例程
05-17
批处理读注册表的Run下面的值.bat 按扩展名分类.bat 数值计算 文件创建&改名等操作 显示c盘~z盘.bat 枚举当前目录及子目录大小.bat 枚举显示.bat 查找最新的文件.bat 格式转换 模拟黑客帝国数码雨.bat 每个目录占用...
WLAN以太网转换.bat
07-31
一个可以进行内外网转换的批处理文件,启动后可以关闭WLAN并打开以太网,再次启动可以打开WLAN并关闭以太网。适合作项目时的内外网的切换。如果不能成功切换请检查网络连接的名称是否是“以太网”和“WLAN”。双击...
第十篇:深入文件夹:Python中的文件管理和自动化技术
最新发布
凡江林的博客
05-04 962
总结来说,`pathlib`是Python中处理文件和目录的现代化工具。它提供的面向对象的接口,以及清晰简洁的语法,使得路径操作更加直观和灵活。无论你是在写简单的脚本还是在构建复杂的系统,`pathlib`都是一个非常有用的工具。在接下来的部分中,我们将继续探索文件系统的监控与远程操作,这将为我们的自动化任务提供更强大的能力。
Acwing 35. 反转链表
沃然
05-02 283
定义一个函数,输入一个链表的头结点,反转该链表并输出反转后链表的头结点。很怪,这个头结点不是指的不存储任何信息的结点,更类似于头指针。请同时实现迭代版本和递归版本。链表长度 [0,30]
【16-Ⅰ】Head First Java 学习笔记
weixin_45845008的博客
05-01 858
结束了上一章,网络与多线程,真是一个超长的巨头,内容也很重要!主要学习了客户端、服务端的Socket连接,以及多线程并发的相关问题。这一章我们学习Java常用的集合框架(Collections Framework),支持大多数的数据结构!此外,也将学习泛型,这也是一个重要的概念。这里我们需要对歌单文件进行一个排序,前文学习过ArrayList,但这个集合并没有sort方法,怎么办呢?常用的集合那如果要根据歌星名排序呢?
简单的洗牌算法Java加LeetCode刷题
2301_78838401的博客
05-01 356
【代码】简单的洗牌算法Java加LeetCode刷题。
bat批处理脚本语法 书籍
08-02
bat批处理脚本语法是一种用于Windows操作系统脚本编程语言,它用于自动化执行一系列命令和任务。以下是一些关于bat批处理脚本语法的书籍推荐。 1. 《深入理解Windows批处理脚本编程》- 本书详细介绍了bat批处理脚本语法的基础知识和高级技巧,包括变量、条件判断、循环、输入输出等方面的内容,适合批处理脚本的初学者和进阶者。 2. 《Windows批处理脚本编程大全》- 这本书系统地介绍了bat批处理脚本语法的各个方面,包括Windows命令、批处理脚本编程的基础知识、批处理脚本的高级技巧和实例等。对于想要全面学习bat批处理脚本语法的读者来说是一本不错的参考书。 3. 《深入浅出批处理脚本编程》- 这本书以简洁易懂的风格讲解了bat批处理脚本的语法和应用。通过实例演练和案例分析,帮助读者从零基础开始学习,逐步提升批处理脚本编程的能力。 4. 《批处理脚本编程进阶指南》- 这本书着重介绍了bat批处理脚本的高级技巧和应用案例。包括错误处理、调试技巧、任务计划等内容,对于熟悉基本语法并希望深入了解和应用的读者来说是一本非常有用的工具书。 以上是一些关于bat批处理脚本语法的书籍推荐,这些书籍可以帮助读者系统地学习和应用bat批处理脚本语法,让读者能够更好地理解和运用这一技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值