Alcuni elementi utili per una verifica dell'integrità del suo sistema sotto Windows

it:Alcuni elementi utili per una verifica dell'integrità del suo sistema sotto Windows he:כמה אלמנטים שימושיים עבור אימות של שלמות המערכת שלה תחת חלונות ru:Несколько полезных элементов для проверки целостности системы под Windows ja:Windows のシステムの整合性の検証のため、いくつかの有用な要素 ar:عدد قليل من العناصر المفيدة لتحقق من سلامة نظامها تحت ويندوز zh:几个有用的内容，为其在 Windows 下的系统的完整性验证的 ro:Câteva elemente utile pentru o verificare a integrității sistemului său sub Windows pl:Kilka elementów przydatnych do weryfikacji integralności systemu w systemie Windows de:Ein paar nützliche Elemente für eine Überprüfung der Integrität seines Systems unter Windows nl:Een paar nuttige elementen voor een verificatie van de integriteit van het systeem onder Windows pt:Alguns elementos úteis para uma verificação da integridade do seu sistema sob Windows es:Algunos elementos útiles para una verificación de la integridad de su sistema bajo Windows en:A few useful elements for a verification of the integrity of its system under Windows fr:Quelques éléments utiles pour une vérification de l'intégrité de son système sous Windows

Introduzione

Sicuro il server non è un compito che dimostra di essere lunga e complessa. Aggiornare il sistema operativo e i vari componenti di esso è un primo passo fondamentale, ma se avete dubbi circa l'integrità del vostro sistema, qui di seguito troverete alcuni elementi consente di stabilire una prima diagnosi rapida.

Per ogni punto di questo tutorial, troverete diverso e informazioni sui controlli che vengono eseguite come pure alcuni comandi utili in combinazione con questi.

Punto importante

La verifica dell'integrità del sistema è lungo e complicato. Questo articolo non ha alcun a pretendere di essere un tutorial di riferimento nel settore. Si noti inoltre che a seguito di questo articolo sarà in alcun modo garantire la sicurezza totale, lontano, ma è un punto di partenza. È semplicemente qui per presentare un approccio globale accessibile per eseguire un rapido controllo dell'integrità del sistema. Per un'ulteriore verifica, è possibile attivare il comando di un outsourcing una tantum (Contatta il nostro supporto in primo luogo ).

Una parola d'ordine : prudenza

Prima di andare avanti, è necessario un promemoria : attenzione le modifiche, eseguire backup, rinominare il file piuttosto che eliminare, ecc.

Ikoula non si assume alcuna responsabilità per la non corretta applicazione del presente articolo.

Controlli di sistema del file

Visualizzatore eventi

Un sacco di informazioni è disponibile tramite questa interfaccia e questo fornisce un'utile fonte di informazioni. È possibile accedervi rapidamente dtutti 'inizio > Eseguire > eventvwr.

L'interfaccia grafica del Visualizzatore eventi è comodo per implementare filtri diversi e trovare facilmente un errore, un avviso, ecc. |

Essere consapevoli del fatto che può essere anche pratico e veloce per sfruttare le diverse voci nel Visualizzatore eventi tramite PowerShell con i cmdlet  EventLog.

Ad esempio, è possibile filtrare un ID specifico tramite il comando :

Get-EventLog -LogName System | where {$_.EventID -eq 1074}

Operazioni pianificate

Può essere interessante per condurre un audit a livello delle anche operazioni pianificate.

Infatti, una chiamata a uno script o qualsiasi altro elemento a intervalli regolari o a seguito di vari eventi di sistema può essere una buona cosa.

Per verificare le diverse operazioni pianificate configurate sul sistema, è possibile utilizzare l'utilità grafica schtasks tramite start > Eseguire > taskschd. msc /s

Questa utilità è inoltre disponibile da un prompt di DOS con taskschd.exe.

Proprio come il Visualizzatore eventi, è possibile comandare anche le operazioni pianificate attraverso il linguaggio di PowerShell. È possibile trovare ulteriori informazioni sui cmdlet che sono disponibili sul sito Web di microsoft seguendo questo link : https://technet.Microsoft.com/en-us/library/jj649816 (v=WPS.630).aspx.

I programmi lanciati all'avvio

Alcuni programmi o script sono chiamati all'inizio del sistema. Questi possono essere facilmente identificati tramite l'utilità Msconfig È possibile avviare da start > Eseguire.

Servizi

Servizi possono essere utilizzati anche per avviare un programma indesiderato. Sono disponibili diversi metodi per consultare :

• attraverso un'interfaccia grafica con Services. msc
• attraverso un prompt di DOS con il comando NET start .

Utenti

È possibile verificare che un utente indesiderato non dispone di un account per accedere al server elencando i diversi account creato sul computer. Ci ancora una volta, avete due possibilità :

• un'interfaccia grafica è disponibile tramite start > Eseguire > lusrmgr
• un file eseguibile che è possibile eseguire da un prompt dei comandi di DOS digitando il comando Gli utenti della rete .

Il processo è iniziato ora

Un altro controllo è quello di elencare i processi attualmente lanciati sul sistema. La più ovvia per elencare questi processi è il Task Manager (taskmgr ). È inoltre possibile elencare i processi attivi da un prompt dei comandi di DOS eseguendo una query WMI tramite il seguente comando :

wmic process list full

La verifica delle firme dei sistemi file

Windows integra nativamente un'utility di verifica firma file. Questo strumento è disponibile tramite l'eseguibile Sigverif.exe .

Un file di registro verrà creato e vi permetterà di visualizzare le diverse informazioni che sono soggette a verifica dei file di sistema analizzato da Sigverif  :

********************************

Microsoft Signature Verification

Log file generated on 16/10/2015 at 14:15
OS Platform:  Windows (x64), Version:  6.3, Build: 9600, CSDVersion:  
Scan Results:  Total Files: 62, Signed: 62, Unsigned: 0, Not Scanned: 0

File                      Modified       Version             Status              Catalog              Signed By
------------------      ------------   -----------        ------------        -----------          -------------------
[c:\windows\system32]
streamci.dll             29/10/2014     2:5.1               Signed              Package_1894_for_KB3Microsoft Windows
vmbuspipe.dll            29/10/2014     2:5.1               Signed              Package_554_for_KB30Microsoft Windows
vmbusres.dll             22/08/2013     2:5.1               Signed              Package_554_for_KB30Microsoft Windows
vmdcoinstall.dll         29/10/2014     2:5.1               Signed              Package_556_for_KB30Microsoft Windows
vmstorfltres.dll         22/08/2013     2:5.1               Signed              Package_556_for_KB30Microsoft Windows
...

Lo strumento Microsoft Baseline Security Analyzer

Microsoft fornisce inoltre un'utilità denominata Microsoft Baseline Security Analyzer (spesso abbreviato nell'acronimo MBSA ) Lo troverete al seguente indirizzo : https://technet.Microsoft.com/fr-fr/security/cc184924.aspx.

Questa applicazione di terze parti esegue un numero di controlli sul sistema cioè Windows aggiorna (installato, mancante, le impostazioni di aggiornamenti automatici, ecc.) le impostazioni inserite per Internet Explorer (aree, le impostazioni di protezione, ecc.), IIS, SQL Server, Windows Firewall, account utente e molte altre cose.

Rete di audit

Il file HOST

Il file HOST si trova nella directory System32\Driver \ecc \gli host può inoltre sono state modificate al fine di shunt la risoluzione DNS per l'accesso a un host remoto. Modificando questo file, ad esempio, per puntare il server di nome di dominio con l'indirizzo IP indirizzo zzz.fr 1.1.1.1 vers 2.2.2.2 quasi senza soluzione di continuità e così essere derubati dei relativi dati, pensando che è possibile visitare il sito ospitato sul server con l'indirizzo IP 1.1.1.1

Server DNS

L'utilizzo dei server DNS che non dette "attendibile " si può anche correre un rischio. Se non vi fidate server DNS di terze parti, se lo si desidera, è possibile installare il proprio server DNS. È possibile elencare i server DNS utilizzati attualmente sul sistema attraverso il comando ipconfig /all ma anche tramite il comando ipconfig /displaydns

I processi e le connessioni associate

Inoltre potrai vedere quello che i processi attualmente in esecuzione e le connessioni che sono associate con questi processi.

Per ulteriori informazioni, è possibile eseguire il comando netstat -naob dal prompt di DOS.

È inoltre possibile aggiornare queste informazioni ogni X secondi aggiungendo questa volta di aggiornamento alla fine del comando :

netstat -naob X

Strumenti esterni

Molti strumenti nativi possono portare aiuto per controllare l'integrità del vostro sistema. Tuttavia, alcuni di loro sono utilizzabili da un prompt di DOS e ciò che rende la lettura delle informazioni restituite poco leggibile.

È pertanto possibile utilizzare strumenti di terze parti, e alcuni di essi sono più adatti come quelli offerti gratuitamente da Sysinternals.

Per ulteriori informazioni, si prega di visitare il sito Web associato : https://technet.Microsoft.com/fr-fr/Sysinternals/bb545021.aspx.

Conclusione

Ora avete ulteriori informazioni per eseguire un'analisi iniziale del vostro sistema. Questa informazione non è la più difficile, lo sfruttamento di queste informazioni è che ci sono più complesso perché è necessario avere familiarità con il sistema di processi diversi, loro porte e connessioni diverse associate.