iT邦幫忙

2019 iT 邦幫忙鐵人賽
DAY 3
0
Security

資安動手做系列 第 3

3. Windows Security-下

2019鐵人賽
2662 瀏覽

  • 分享至 

  • xImage
    •  

檢查異狀最簡單的方式就是用比對法,這章重點將設定檔複製出來,每日做比對。
The more you know the machine in its clean state, the more chances you have to detect any fraudulent activity running from it.

參考
https://cert.tanet.edu.tw/pdf/Windows.pdf
TACERT 臺灣學術網路危機處理中心
原文出處:
https://github.com/certsocietegenerale/IRM/blob/master/EN/IRM-2-WindowsIntrusion.pdf

[A]DNS
netsh dump
[C]Account
net localgroup administrators
[A]Firewall
netsh advfirewall firewall show rule name=all
[A]Process
tasklist
[A]Service
net start
[A]Port
netstat -n |find /V "127.0.0.1"
[A]netuse
net use
net view \\127.0.0.1
[A]schtasks
schtasks
[I]Event
wevtutil qe Application /q:"*[System[TimeCreated[@SystemTime>='2018-10-09T00:00:00' and @SystemTime<'2018-10-10T00:00:00']]]" /f:text

每日比對
FC

開機執行
RUN => shell:startup

時間不夠自己寫幾個script測試,有空再回來整理成工具

檢查原則分析程式工具
Microsoft Security Compliance Toolkit
https://docs.microsoft.com/zh-tw/windows/security/threat-protection/security-compliance-toolkit-10
https://ithelp.ithome.com.tw/upload/images/20181011/20077752C8dKiMerzH.jpg
policy比對
https://ithelp.ithome.com.tw/upload/images/20181011/20077752yD0ZqsjLLJ.jpg

Microsoft Security Guidance blog
https://blogs.technet.microsoft.com/secguide/


上一篇
2. Windows Security-上
下一篇
4. Linux Security
系列文
資安動手做34
  1. 30
    滲透測試4
  2. 31
    軟體開發安全
  3. 32
    Security Onion -Alienvault
  4. 33
    IOT Security-Burpsuite
  5. 34
    存取控制
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22200
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙