0x01 工具介绍
WindowsBaselineAssistant(WBA)是一个用于检测和加固Windows安全基线的辅助工具,借助此工具你可以免去繁琐的手工检测和加固操作,实现一键检测和加固你的Windows安全基线,并可以导出检测或加固结果,解放你的双手。
下载地址在末尾
0x02 功能简介
自定义规则
WBA支持自定义规则以适应不同环境下的检测需求
WBA的所有规则位于item.xml文件中,其中检测规则分为registry和secedit两种,判定规则分为fixed,enum,greaternumber,lessnumber,array,equals六种.规则格式
<item><name>检查源路由配置</name><description>源路由攻击有源地址欺骗、IP欺骗等,为了提高系统的可靠性,需要检查是否启用正确配置源路由攻击保护.</description><type>registry</type><registry>HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters</registry><regitem>DisableIPSourceRouting</regitem><standard>2</standard><assessment>enum</assessment><valuetype>dword</valuetype></item>
| 名称 | 解释 |
|---|---|
| name | 规则名称 |
| description | 规则描述 |
| type | 检测类型 |
| registry | 检测项的注册表路径 |
| regitem | 检测的注册表项 |
| standard | 标准值 |
| assessment | 判定规则(见: 判定规则) |
| valuetype | 注册表数据类型(见: 数据类型) |
secedit(读取config.cfg信息)
<item><name>检查密码最长使用期限</name><description>长期修改密码会提高密码暴露风险,所以为了提高系统的保密性.需要检查密码最长使用期限.</description><type>secedit</type><mark>MaximumPasswordAge</mark><standard>90</standard><assessment>greaternumber</assessment></item>
| 名称 | 解释 |
|---|---|
| name | 同上 |
| description | 同上 |
| type | 同上 |
| mark | secedit文件中的键 |
| standard | 同上 |
| assessment | 同上 |
附加标识
manual: 用于标识检测项需要手动进行加固
<item><manual>1<manual></item>
ignore: 用于标识检测项为已忽略
<item><ignore>1<ignore></item>
判定规则
| 标识符 | 判定规则解释 | 判定结果 |
|---|---|---|
| fixed | 检测项的标准值为一个不固定值 | 手动加固 |
| enum | 检测项的标准值为一个枚举类型 | 等于枚举值: 符合 反之: 不符合 |
| greaternumber | 检测项的标准值大于此值时 | 符合 反之: 不符合 |
| lessnumber | 检测项的标准值小于此值时 | 符合 反之: 不符合 |
| array | 检测项的标准值是一个数组(多行) | 相同: 符合 反之: 不符合 |
| equals | 检测项的标准值等于检测值 | 相同: 符合 反之: 不符合 |
数据类型
| 注册表类型 | 工具映射类型 | 类型解释 |
|---|---|---|
| String | string | 字符串类型 |
| ExpandString | expandstring | 可扩展字符串类型的注册表值,通常包含了环境变量 |
| Binary | 暂不支持 | 二进制数据类型 |
| DWord | dword | 32位整数类型 |
| QWord | qword | 64位整数类型 |
| MultiString | multistring | 多行字符串类型 |
| Unknown | 默认 | 未知类型 |
| None | 暂不支持 | 没有特定类型 |
0x03更新介绍
修复写入注册表时数据类型错误的问题修复读取和写入MultiString时类型转换的问题优化在Windows 2k8中选中行颜色过深的问题添加查看数据类型功能调整规则库标识添加附加标识manual添加附加标识ignoreSHA1: 300009e582f465eb66701ab1c6d4c06cb4304c3e
0x04 使用介绍
下载工具打开点击开始检测即可,支持导出结果
0x05 下载 :
https://github.com/DeEpinGh0st/WindowsBaselineAssistant/releases/download/v.1.1/WindowsBaselineAssistant-v1.1.zip
https://github.com/DeEpinGh0st/WindowsBaselineAssistant/releases/download/v.1.1/WindowsBaselineAssistant-v1.1.zip
原文始发于微信公众号(渗透安全HackTwo):BaselineAssistant一款检测和加固Windows安全基线的辅助工具-安服工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论