Windows安全基线检测加固工具

admin

102369
文章

87
评论

2024年1月12日12:41:57评论42 views字数 1493阅读4分58秒阅读模式

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把Hack分享吧“设为星标”，否则可能看不到了！

工具介绍

WindowsBaselineAssistant(WBA)是一个用于检测和加固Windows安全基线的辅助工具，借助此工具你可以免去繁琐的手工检测和加固操作，实现一键检测和加固你的Windows安全基线，并可以导出检测或加固结果，解放你的双手~

自定义规则

WBA支持自定义规则以适应不同环境下的检测需求，WBA的所有规则位于item.xml文件中，其中检测规则分为registry和secedit两种，判定规则分为以下6种

fixed、enum、greaternumber、lessnumber、array、equals

规则格式

registry(读取注册表)

<item>    <name>检查是否已启用并正确配置ICMP攻击保护</name>    <description>配置ICMP攻击保护预防ICMP攻击,防止DOS攻击导致服务器停止响应与奔溃</description>  <type>registry</type>    <registry>HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParameters</registry>    <regitem>EnableICMPRedirect</regitem>    <standard>0</standard>  <dtype>enum</dtype></item>

secedit(读取config.cfg信息)

<item>  <name>检查密码最长使用期限</name>  <description>长期修改密码会提高密码暴露风险,所以为了提高系统的保密性.需要检查密码最长使用期限.</description>  <type>secedit</type>  <mark>MaximumPasswordAge</mark>  <standard>90</standard>  <dtype>greaternumber</dtype></item>

判定规则

例：如现在要检测重新传输的TCP连接阈值，检测类型为检索注册表，检索的以下注册表路径，检测项为TcpMaxHalfOpenRetried，标准值为400，检测值要小于此值时判定符合

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters

<item>  <name>检查处于SYN_RCVD 状态下,且至少已经进行了一次重新传输的TCP连接阈值</name>  <description>xxxxxx</description>  <type>registry</type>  <registry>HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTcpipParameters</registry>  <regitem>TcpMaxHalfOpenRetried</regitem>  <standard>400</standard>  <dtype>lessnumber</dtype></item>

更多示例见item.xml

下载地址

https://github.com/DeEpinGh0st/WindowsBaselineAssistant

原文始发于微信公众号（Hack分享吧）：Windows安全基线检测加固工具

左青龙
微信扫一扫

右白虎
微信扫一扫

Windows安全基线检测加固工具

针对目标已知信息的字典生成工具

Swagger API Exploit 1.1

歪脖子技能树 - DY直播工具V1.0

dirsearch_bypass403:目录扫描+JS文件中提取URL和子域+403状态绕过+指纹识别工具

内网穿透工具 nc

开源、离线、免费商用的大模型知识库:Langchain-Chatchat

CS插件乱码

403绕过目录扫描工具

【GitHub精选】红蓝功防资料汇总

工具 | navgix

发表评论

在线咨询

微信