重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
目前对服务器的管理,始终离不开安全这个话题。如果要对一台windows服务器的安全基线进行一个检查,你认为需要多长的时间呢?
公司主营业务:网站设计制作、成都网站设计、移动网站开发等业务。帮助企业客户真正实现互联网宣传,提高企业的竞争能力。成都创新互联是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化,感谢他们对我们的高要求,感谢他们从不同领域给我们带来的挑战,让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。成都创新互联推出绥宁免费做网站回馈大家。
我们的检查内容主要包括:当前服务器性能检查(CPU使用率\内存使用率\磁盘使用率)、安全组策略加固设置检查、注册表加固设置检查、系统服务加固设置检查等等。要求记录现有设置,并且通过与我们要求的设置进行对比,判断检查结果是否符合安全规范。
如果通过传统的方式,一个熟练的windows管理员要检查上述内容,保守估计用时每台15分钟,如果检查10台就是2个多小时了。有没有效率一点方法?
答案是肯定的。工作原因,用过某些厂商基线检查工具,对windows来说,检查内容都差不多,自己也可以写一个类似的东西,想检查什么都可以自己来定义,界面也简洁点。反正检查时只需敲下命令,然后喝茶,坐等1分钟左右完成检查,查看结果就行了。对需要周期性进行安全基线检查的朋友来说,绝对能大大节约时间。算上前期部署时间也不超过3分钟,部署后一劳永逸,以后安全基线检查只需要敲个命令就行。检查10台windows服务器可能就5分钟,因为可以在SecureCRT上开多个session来同时跑。
2.1原理
原理是利用Python中的paramiko模块,通过ssh协议验证windows的登录信息,然后
调用windows的PowerShell来实现对window检查命令的执行,然后取得结果,通过shell进行判断,输出结果(包括htm格式的结果)。目前测试过windows server2008R2和 2012R2 服务器,可以正常执行。当然写脚本过程中会遇到一些问题,但是都有解决的思路,对脚本有兴趣的话可以讨论下。
2.2展示例子
执行脚本后,输入需要检查的windows服务器信息即可
检查结果自动输出,并进行判断,红色为不符合规范,绿色为符合规范
还有HTM格式结果,会通过脚本里的sz命令自动下载到你的secureCRT保存路径里
检查内容主要包括检查项目符合率、服务器性能检查(CPU使用率\内存使用率\磁盘使用率)、安全组策略加固设置检查、注册表加固设置检查、系统服务加固设置检查、是否安装最新补丁、高危端口检查等
3.1 一台Centos系统: 我使用的虚拟机centos6.6 (centos7上运行可能会报错)用来执行脚本,然后执行windows命令。需要有python(一般已经安装了)
3.2 软件:freesshd 官网上下载即可,主要是在被管理的windows服务器上安装
4.1各windows服务器安装freesshd:freesshd的安装直接默认下一步即可
freesshd安装完成后需要稍作设置,如图:
第一次运行freesshd如图
然后点击右下角的freesshd图标进行相关设置,SSH选项卡中,将Command shell设置成C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe如图:
Users选项卡中点击“Add…”
在弹出的窗口加入windows服务器的管理员账号,然后将Shell打上√ 如图:
最后可选择是否在Automatic updates里面关闭自动更新,我一般选择关闭
设置完成后,在开始-运行 里面键入”services.msc”将freesshd服务重启一下
Sshd在windows服务器上设置完成。
4.2安全设置(可选):各windows服务器上配置ipsec只允许我们的centos服务器连接sshd的22端口,这样就避免了其他未授权的ssh连接,建议设置。
如果启用了防火墙的话,还需要在防火墙里面设置允许freesshd程序通过防火墙,设置完成后可以在centos服务器上telnet X.X.X.X(windows服务器IP) 22 的方式来测试连接是否OK,如图测试正常:
4.3脚本准备
1)在本文后面下载shell脚本
2)在centos服务器中上传脚本,命令rz然后选择脚本上传即可
4.4运行脚本开始检查
明确要检查的内容-收集检查结果-从检查结果里面取需要的数据-对数据进行判断-生成结果