借助PowerShell腳本維護(hù)系統(tǒng)安全

PowerShell命令是系統(tǒng)管理中非常便捷有效的工具。近日，筆者發(fā)現(xiàn)了一組PowerShell腳本文件，它們對于系統(tǒng)安全維護(hù)頗具實(shí)用價值，筆者在此要借花獻(xiàn)佛了。

精簡管理組用戶

系統(tǒng)管理組用戶過多會為系統(tǒng)造成隱患。此時想要清理其中的冗余人員，可以借助一個腳本文件完成這項(xiàng)工作。執(zhí)行該腳本，可以一次性去掉多臺機(jī)器上本地管理組中的多位用戶。此時我們只需要編寫兩個文本文件，在一個文本中編寫排列好準(zhǔn)備清理的各用戶名稱，在另一個文本中給出機(jī)器名單，然后下載該腳本文件。

下載完成后，對該腳本文件進(jìn)行兩處修改：一是將其中變量 $Computernames替換為含有機(jī)器名稱的文本文件名稱；二是將其中的變量$Admins替換為含有用戶名單的文本文件名稱，之后執(zhí)行即可。

嚴(yán)格控制SAM 訪問

SAM文件記錄了電腦里用戶的用戶名和密碼，但也造成系統(tǒng)的隱患，黑客試圖借助SAMR協(xié)議通過遠(yuǎn)程方式進(jìn)行SAM訪問，從而為以后的不軌做準(zhǔn)備。TechNet近日提供了一個腳本文件SAMRi10工具，它適用于Windows 10 & Windows Server 2016，用于阻止用戶進(jìn)行SAM 遠(yuǎn)程訪問。

阻止NetSessionEnum訪問

NetSessionEnum意 即“網(wǎng)絡(luò)會話記錄”，在系統(tǒng)默認(rèn)時所有審核通過的用戶都可以對其訪問從而獲取有關(guān)機(jī)器名、用戶名、會話時間以及IP地址等信息。TechNet上的腳本文件Net Cease則是要取消這種訪問，并對特定的會話sessions增加了審核。

探測系統(tǒng)潛在的安全隱患

TechNet上有一個腳本文件，可以對所有域控制器內(nèi)的機(jī)器的事件記錄“event logs”進(jìn)行檢測，從而發(fā)現(xiàn)哪些機(jī)器存在著異常登錄情況，從而及早發(fā)現(xiàn)異情，讓管理員采取及時采取相應(yīng)的補(bǔ)救措施。該腳本適用于Windows 7及以上版本。

另外，TechNet還有一個腳本文件可以檢測系統(tǒng)是否存在Malware以及是否存在新的自動運(yùn)行文件。

檢測本地管理組動態(tài)

黑客經(jīng)常通過某種方式，設(shè)法混入到本地管理組Local admin groups中而未能引起注意，為此TechNet提供了一個腳本文件，它可對遠(yuǎn)程機(jī)器進(jìn)行周期性巡問，如某機(jī)器中 的本地管理組發(fā)生變化就會通過郵件方式進(jìn)行反饋。

了解本地及遠(yuǎn)程防病毒工具

TechNet上的一個腳本文件，可以了解本地及遠(yuǎn)程機(jī)器上防病毒工具的詳情，包括殺毒工具的名稱、版本號以及當(dāng)前的運(yùn)行狀況。

切換UAC等級

UAC可對UAC等級進(jìn)行設(shè)置和切換，具體有：Low（不作任何提示）、Medium（有應(yīng)用對計(jì)算機(jī)系統(tǒng)修改但未顯示變灰時提示）、Default（有應(yīng)用對計(jì)算機(jī)系統(tǒng)進(jìn)行修改并會顯示變灰時提示）、High（任何變化均提示）。

取消已刪除賬戶的文件SID

當(dāng)賬戶從活動目錄刪除后，文件系統(tǒng)中有關(guān)的SID并不會自動消失。從而造成某種安全隱患，利用腳本文件可將其SID全部清理。