微信公众号：计算机与网络安全

▼

1、获取账号信息

说明：Windows Server缺省安装后有5个账号，其中2个账号是IIS账号，一个是安装了终端服务的终端用户账号，如果系统维护人员自己创建了账号，也要记录在案。

操作方法：使用net user 命令（Windows系统自带）可以列举出系统当前账号。

附加信息：Windows Server缺省安装后的5个账号名称如下。

Administrator：默认系统维护人员账号

Guest：来宾用户账号

IUSR_机器名：IIS来宾账号

IWAM_机器名：启动IIS的进程账号

TsInternetUser：终端用户账号

2、获取进程列表

说明：系统维护人员应在系统安装配置完成后对系统进程做快照。

操作方法：通过使用pslist命令（第三方工具），能够列举当前进程建立快照。使用Widnows任务管理器（Windows系统自带）也可以列举出当前进程，但推荐使用pslist工具。

3、获取服务列表

说明：系统维护人员应在系统安装配置完成后对系统服务做服务快照。

操作方法：使用sc query state= all命令格式（Windows资源工具箱中的工具）可以列举出系统当前服务信息。

4、获取自启动程序信息

说明：Windows Server缺省安装后并无自启动项目。如果系统维护人员自己安装了某些软件，如Office、打印机等，缺省情况下将被添加到自启动目录中。

操作方法：检查各用户目录下的“「开始」菜单程序启动”目录。

5、获取系统关键文件签名

说明：Windows Server缺省安装后，系统维护人员应利用md5sum工具，对系统重要文件生成系统MD5快照，然后将这些签名信息保存在安全的服务器上，以后可做文件对比。

操作方法：使用md5sum.exe 命令（第三方工具）可对系统文件进行MD5快照。

使用方法：md5sum [FILE]…（后面可跟多个文件）。

附加信息：建议用户对以下二进制文件和动态链接库文件进行MD5SUM快照。

#windirEXPLORER.EXE

#windirREGEDIT.EXE

#windirNOTEPAD.EXE

#windirTASKMAN.EXE

#windirsystem32cmd.exe

#windirsystem32net.exe

#windirsystem32ftp.exe

#windirsystem32tftp.exe

#windirsystem32at.exe

#windirsystem32netstat.exe

#windirsystem32ipconfig.exe

#windirsystem32arp.exe

#windirsystem32KRNL386.EXE

#windirsystem32WINLOGON.EXE

#windirsystem32TASKMGR.EXE

#windirsystem32runonce.exe

#windirsystem32rundll32.exe

#windirsystem32regedt32.exe

#windirsystem32notepad.exe

#windirsystem32CMD.EXE

#windirsystemCOMMDLG.DLL

#windirsystem32HAL.DLL

#windirsystem32MSGINA.DLL

#windirsystem32WSHTCPIP.DLL

#windirsystem32TCPCFG.DLL

#windirsystem32EVENTLOG.DLL

#windirsystem32COMMDLG.DLL

#windirsystem32COMDLG32.DLL

#windirsystem32COMCTL32.DLL

6、获取网络连接信息

说明：Windows Server缺省情况下系统开放 135/139/445/1025 TCP 端口，开放 137/138/445UDP端口。如果安装了MS SQL 服务器，还将开放TCP1433/UDP1434端口，如果安装了IIS服务器还将开放TCP80端口。

操作方法：使用netstat –an 命令可以列举出当前系统开放的TCP/UDP端口。

附加信息：建议使用netstat –an 命令（Windows系统自带）快照出系统开放端口和正常连接。

7、获取共享信息

说明：Windows Server缺省情况下开放各磁盘共享，如C$，远程管理共享（admin$）和远程IPC共享（IPC$），如果用户另外打开了其他目录文件的共享，请记录在案。

操作方法：使用net share 命令（Windows系统自带）建立共享快照。

附加信息：Windows Server缺省共享。

共享名资源注释：

D$　　　　　 D:　　　　　　   默认共享

ADMIN$　　   D:WINNT　　　 远程管理

C$　　　　　 C:　　　　　   　默认共享

IPC$　　　　　　　　　   　  　远程 IPC

8、获取定时作业信息

说明：Windows Server缺省安装后并无定时作业。如果系统维护人员自己设置了某些软件，请记录在案。建议系统维护人员使用at命令建立定时作业快照。

操作方法：使用at 命令（Windows系统自带）建立定时作业快照。

9、获取注册表信息

说明：在对Windows Server安装了必要的软件后，可对注册表关键键值进行快照，供以后在检测时进行注册表对比。

操作方法：使用regdmp 命令（Windows资源工具箱）可以对注册表进行快照。

附加信息：进行注册表快照有多种方法，如使用第三方软件，如 Regshot、Regsnap 等。在Windows注册表编辑器中也可以对注册表进行备份和快照。另外，微软的资源工具箱中的regdmp命令也可以用来进行注册表快照工作。直接在命令下运行该命令及需要备份的键值即可。

如：C:toolsMS>regdmp

HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN

建议系统维护人员对下面的关键键值进行快照。

HKEY_LOCAL_MACHINESSystemCurrentControlSetControlSessionManagerKnownDLLs

HKEY_LOCAL_MACHINESSystemControlSet001ControlSessionManager KnownDLLs

HKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRunOnceEx

HKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRunServices

HKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsNTCurrentVersionWindow（s“run=”line）

HKEY_LOCAL_MACHINESsamsam

HKEY_CURRENT_USERSoftwareMicrsoftWindowsCurrentVersionRun

HKEY_CURRENT_USER SoftwareMicrsoftWindowsCurrentVersionRunOnce

HKEY_CURRENT_USER SoftwareMicrsoftWindowsCurrentVersionRunOnceEx

HKEY_CURRENT_USER SoftwareMicrsoftWindowsCurrentVersionRunServices

HKEY_CURRENT_USERSoftwareMicrsoftWindowsNTCurrentVersionWindows（“run=”line）

▲
- The end -

网络安全资料列表

原文始发于微信公众号（计算机与网络安全）：网络安全应急响应：Windows安全初始化快照