1. 需求及功能
目前對(duì)服務(wù)器的管理,始終離不開安全這個(gè)話題。如果要對(duì)一臺(tái)windows服務(wù)器的安全基線進(jìn)行一個(gè)檢查�����,你認(rèn)為需要多長(zhǎng)的時(shí)間呢?
公司主營(yíng)業(yè)務(wù):網(wǎng)站設(shè)計(jì)制作����、成都網(wǎng)站設(shè)計(jì)、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)�����。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳���,提高企業(yè)的競(jìng)爭(zhēng)能力�����。成都創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)����、活力青春激揚(yáng)、勤奮敬業(yè)���、活力澎湃�、和諧高效的團(tuán)隊(duì)。公司秉承以“開放�����、自由���、嚴(yán)謹(jǐn)��、自律”為核心的企業(yè)文化���,感謝他們對(duì)我們的高要求,感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)�,讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)推出綏寧免費(fèi)做網(wǎng)站回饋大家��。
我們的檢查內(nèi)容主要包括:當(dāng)前服務(wù)器性能檢查(CPU使用率\內(nèi)存使用率\磁盤使用率)�、安全組策略加固設(shè)置檢查、注冊(cè)表加固設(shè)置檢查�����、系統(tǒng)服務(wù)加固設(shè)置檢查等等。要求記錄現(xiàn)有設(shè)置�����,并且通過與我們要求的設(shè)置進(jìn)行對(duì)比�����,判斷檢查結(jié)果是否符合安全規(guī)范��。
如果通過傳統(tǒng)的方式�����,一個(gè)熟練的windows管理員要檢查上述內(nèi)容���,保守估計(jì)用時(shí)每臺(tái)15分鐘�,如果檢查10臺(tái)就是2個(gè)多小時(shí)了�����。有沒有效率一點(diǎn)方法�?
答案是肯定的����。工作原因����,用過某些廠商基線檢查工具����,對(duì)windows來說,檢查內(nèi)容都差不多�����,自己也可以寫一個(gè)類似的東西����,想檢查什么都可以自己來定義,界面也簡(jiǎn)潔點(diǎn)�����。反正檢查時(shí)只需敲下命令�����,然后喝茶����,坐等1分鐘左右完成檢查��,查看結(jié)果就行了����。對(duì)需要周期性進(jìn)行安全基線檢查的朋友來說�����,絕對(duì)能大大節(jié)約時(shí)間�。算上前期部署時(shí)間也不超過3分鐘,部署后一勞永逸��,以后安全基線檢查只需要敲個(gè)命令就行��。檢查10臺(tái)windows服務(wù)器可能就5分鐘���,因?yàn)榭梢栽赟ecureCRT上開多個(gè)session來同時(shí)跑���。
2. 實(shí)現(xiàn)原理及展示
2.1原理
原理是利用Python中的paramiko模塊,通過ssh協(xié)議驗(yàn)證windows的登錄信息�,然后
調(diào)用windows的PowerShell來實(shí)現(xiàn)對(duì)window檢查命令的執(zhí)行,然后取得結(jié)果�,通過shell進(jìn)行判斷���,輸出結(jié)果(包括htm格式的結(jié)果)���。目前測(cè)試過windows server2008R2和 2012R2 服務(wù)器����,可以正常執(zhí)行�。當(dāng)然寫腳本過程中會(huì)遇到一些問題,但是都有解決的思路���,對(duì)腳本有興趣的話可以討論下�。
2.2展示例子
執(zhí)行腳本后����,輸入需要檢查的windows服務(wù)器信息即可
檢查結(jié)果自動(dòng)輸出,并進(jìn)行判斷���,紅色為不符合規(guī)范����,綠色為符合規(guī)范
還有HTM格式結(jié)果,會(huì)通過腳本里的sz命令自動(dòng)下載到你的secureCRT保存路徑里
檢查內(nèi)容主要包括檢查項(xiàng)目符合率���、服務(wù)器性能檢查(CPU使用率\內(nèi)存使用率\磁盤使用率)�、安全組策略加固設(shè)置檢查、注冊(cè)表加固設(shè)置檢查����、系統(tǒng)服務(wù)加固設(shè)置檢查、是否安裝最新補(bǔ)丁����、高危端口檢查等
3. 準(zhǔn)備
3.1 一臺(tái)Centos系統(tǒng): 我使用的虛擬機(jī)centos6.6 (centos7上運(yùn)行可能會(huì)報(bào)錯(cuò))用來執(zhí)行腳本,然后執(zhí)行windows命令��。需要有python(一般已經(jīng)安裝了)
3.2 軟件:freesshd 官網(wǎng)上下載即可�,主要是在被管理的windows服務(wù)器上安裝
4. 實(shí)現(xiàn)步驟
4.1各windows服務(wù)器安裝freesshd:freesshd的安裝直接默認(rèn)下一步即可
freesshd安裝完成后需要稍作設(shè)置,如圖:
第一次運(yùn)行freesshd如圖
然后點(diǎn)擊右下角的freesshd圖標(biāo)進(jìn)行相關(guān)設(shè)置�����,SSH選項(xiàng)卡中���,將Command shell設(shè)置成C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe如圖:
Users選項(xiàng)卡中點(diǎn)擊“Add…”
在彈出的窗口加入windows服務(wù)器的管理員賬號(hào)���,然后將Shell打上√ 如圖:
最后可選擇是否在Automatic updates里面關(guān)閉自動(dòng)更新,我一般選擇關(guān)閉
設(shè)置完成后��,在開始-運(yùn)行 里面鍵入”services.msc”將freesshd服務(wù)重啟一下
Sshd在windows服務(wù)器上設(shè)置完成。
4.2安全設(shè)置(可選):各windows服務(wù)器上配置ipsec只允許我們的centos服務(wù)器連接sshd的22端口�,這樣就避免了其他未授權(quán)的ssh連接,建議設(shè)置���。
如果啟用了防火墻的話�����,還需要在防火墻里面設(shè)置允許freesshd程序通過防火墻,設(shè)置完成后可以在centos服務(wù)器上telnet X.X.X.X(windows服務(wù)器IP) 22 的方式來測(cè)試連接是否OK�����,如圖測(cè)試正常:
4.3腳本準(zhǔn)備
1)在本文后面下載shell腳本
2)在centos服務(wù)器中上傳腳本,命令rz然后選擇腳本上傳即可
4.4運(yùn)行腳本開始檢查
5. 腳本下載地址
后續(xù):腳本編寫思路
明確要檢查的內(nèi)容-收集檢查結(jié)果-從檢查結(jié)果里面取需要的數(shù)據(jù)-對(duì)數(shù)據(jù)進(jìn)行判斷-生成結(jié)果
網(wǎng)站題目:shell實(shí)現(xiàn)對(duì)Windows服務(wù)器的安全基線檢查
網(wǎng)站鏈接:
http://weahome.cn/article/ghcspc.html
重慶分公司
重慶分公司
