1.   需求及功能

目前對(duì)服務(wù)器的管理，始終離不開(kāi)安全這個(gè)話題。如果要對(duì)一臺(tái)windows服務(wù)器的安全基線進(jìn)行一個(gè)檢查，你認(rèn)為需要多長(zhǎng)的時(shí)間呢？

創(chuàng)新互聯(lián)是一家專(zhuān)業(yè)提供漳縣企業(yè)網(wǎng)站建設(shè),專(zhuān)注與網(wǎng)站制作、成都做網(wǎng)站、HTML5、小程序制作等業(yè)務(wù)。10年已為漳縣眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)站設(shè)計(jì)公司優(yōu)惠進(jìn)行中。

我們的檢查內(nèi)容主要包括：當(dāng)前服務(wù)器性能檢查(CPU使用率\內(nèi)存使用率\磁盤(pán)使用率)、安全組策略加固設(shè)置檢查、注冊(cè)表加固設(shè)置檢查、系統(tǒng)服務(wù)加固設(shè)置檢查等等。要求記錄現(xiàn)有設(shè)置，并且通過(guò)與我們要求的設(shè)置進(jìn)行對(duì)比，判斷檢查結(jié)果是否符合安全規(guī)范。

如果通過(guò)傳統(tǒng)的方式，一個(gè)熟練的windows管理員要檢查上述內(nèi)容，保守估計(jì)用時(shí)每臺(tái)15分鐘，如果檢查10臺(tái)就是2個(gè)多小時(shí)了。有沒(méi)有效率一點(diǎn)方法？

答案是肯定的。工作原因，用過(guò)某些廠商基線檢查工具，對(duì)windows來(lái)說(shuō)，檢查內(nèi)容都差不多，自己也可以寫(xiě)一個(gè)類(lèi)似的東西，想檢查什么都可以自己來(lái)定義，界面也簡(jiǎn)潔點(diǎn)。反正檢查時(shí)只需敲下命令，然后喝茶，坐等1分鐘左右完成檢查，查看結(jié)果就行了。對(duì)需要周期性進(jìn)行安全基線檢查的朋友來(lái)說(shuō)，絕對(duì)能大大節(jié)約時(shí)間。算上前期部署時(shí)間也不超過(guò)3分鐘，部署后一勞永逸，以后安全基線檢查只需要敲個(gè)命令就行。檢查10臺(tái)windows服務(wù)器可能就5分鐘，因?yàn)榭梢栽赟ecureCRT上開(kāi)多個(gè)session來(lái)同時(shí)跑。

2.   實(shí)現(xiàn)原理及展示

2.1原理

原理是利用Python中的paramiko模塊，通過(guò)ssh協(xié)議驗(yàn)證windows的登錄信息，然后

調(diào)用windows的PowerShell來(lái)實(shí)現(xiàn)對(duì)window檢查命令的執(zhí)行，然后取得結(jié)果，通過(guò)shell進(jìn)行判斷，輸出結(jié)果（包括htm格式的結(jié)果）。目前測(cè)試過(guò)windows server2008R2和 2012R2 服務(wù)器，可以正常執(zhí)行。當(dāng)然寫(xiě)腳本過(guò)程中會(huì)遇到一些問(wèn)題，但是都有解決的思路，對(duì)腳本有興趣的話可以討論下。

2.2展示例子

執(zhí)行腳本后，輸入需要檢查的windows服務(wù)器信息即可

檢查結(jié)果自動(dòng)輸出，并進(jìn)行判斷，紅色為不符合規(guī)范，綠色為符合規(guī)范

還有HTM格式結(jié)果,會(huì)通過(guò)腳本里的sz命令自動(dòng)下載到你的secureCRT保存路徑里

檢查內(nèi)容主要包括檢查項(xiàng)目符合率、服務(wù)器性能檢查(CPU使用率\內(nèi)存使用率\磁盤(pán)使用率)、安全組策略加固設(shè)置檢查、注冊(cè)表加固設(shè)置檢查、系統(tǒng)服務(wù)加固設(shè)置檢查、是否安裝最新補(bǔ)丁、高危端口檢查等

3.   準(zhǔn)備

3.1  一臺(tái)Centos系統(tǒng)：  我使用的虛擬機(jī)centos6.6 （centos7上運(yùn)行可能會(huì)報(bào)錯(cuò)）用來(lái)執(zhí)行腳本，然后執(zhí)行windows命令。需要有python(一般已經(jīng)安裝了)

3.2  軟件:freesshd       官網(wǎng)上下載即可，主要是在被管理的windows服務(wù)器上安裝

4.   實(shí)現(xiàn)步驟

4.1各windows服務(wù)器安裝freesshd：freesshd的安裝直接默認(rèn)下一步即可

freesshd安裝完成后需要稍作設(shè)置，如圖：

第一次運(yùn)行freesshd如圖

然后點(diǎn)擊右下角的freesshd圖標(biāo)進(jìn)行相關(guān)設(shè)置，SSH選項(xiàng)卡中，將Command shell設(shè)置成C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe如圖：

Users選項(xiàng)卡中點(diǎn)擊“Add…”

在彈出的窗口加入windows服務(wù)器的管理員賬號(hào)，然后將Shell打上√ 如圖：

最后可選擇是否在Automatic updates里面關(guān)閉自動(dòng)更新，我一般選擇關(guān)閉

設(shè)置完成后，在開(kāi)始-運(yùn)行 里面鍵入”services.msc”將freesshd服務(wù)重啟一下

Sshd在windows服務(wù)器上設(shè)置完成。

4.2安全設(shè)置（可選）：各windows服務(wù)器上配置ipsec只允許我們的centos服務(wù)器連接sshd的22端口，這樣就避免了其他未授權(quán)的ssh連接，建議設(shè)置。

如果啟用了防火墻的話，還需要在防火墻里面設(shè)置允許freesshd程序通過(guò)防火墻，設(shè)置完成后可以在centos服務(wù)器上telnet X.X.X.X（windows服務(wù)器IP） 22 的方式來(lái)測(cè)試連接是否OK，如圖測(cè)試正常：

      

4.3腳本準(zhǔn)備

1）在本文后面下載shell腳本

2）在centos服務(wù)器中上傳腳本,命令rz然后選擇腳本上傳即可

4.4運(yùn)行腳本開(kāi)始檢查

5.   腳本下載地址

后續(xù)：腳本編寫(xiě)思路

明確要檢查的內(nèi)容-收集檢查結(jié)果-從檢查結(jié)果里面取需要的數(shù)據(jù)-對(duì)數(shù)據(jù)進(jìn)行判斷-生成結(jié)果

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

標(biāo)題名稱(chēng)：shell實(shí)現(xiàn)對(duì)Windows服務(wù)器的安全基線檢查-創(chuàng)新互聯(lián)
鏈接URL：http://www.rwnh.cn/article8/doeiop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、用戶體驗(yàn)、網(wǎng)站建設(shè)、網(wǎng)站收錄、定制開(kāi)發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)