Toolsmith Tidbit: 使用WINspect进行Windows审计

当前脚本功能集包括审计检查和枚举：

• 安装的安全产品
• 全局暴露的本地文件系统共享
• 具有本地组成员身份的域用户和组
• 注册表自启动项
• 可由认证用户组成员配置的本地服务
• 对应二进制文件可由认证用户组成员写入的本地服务
• 非system32的Windows托管服务及其关联DLL
• 具有未加引号路径漏洞的本地服务
• 非系统计划任务
• DLL劫持可能性
• 用户账户控制设置
• 无人参与安装的残留文件

我可以看到这个有用的PowerShell脚本在使用CIS Top 20安全控制进行评估时非常方便。我在我的加入域的Windows 10 Surface Book上通过特权PowerShell运行了它，并对结果感到满意。

脚本确认它以管理员权限运行，检查PowerShell版本，然后检查Windows防火墙设置。防火墙看起来不错，WINSpect还直接检查了我的Windows Defender实例及其配置。

很抱歉，没有分享我的共享或管理员用户的截图，但当你运行WINSpect时，你会发现它们被枚举出来。

WINSpect随后确认UAC已启用，并且只应在应用程序尝试进行更改时通知我，然后检查了我的注册表自启动项；两方面都没有问题，所有确认如预期。

WINSpect以快速检查可配置服务结束，SMSvcHost作为.NET的一部分是正常的，即使我不喜欢它，但flowExportService根本不需要在那里，我在测试期间对它感到非常烦恼后不久就删除了它。没有用户托管的服务，并且DLL安全搜索已启用…额外奖励。最后，没有无人参与安装的残留文件，所有计划任务对我的系统来说都是正常的。太好了，总体相当不错，谢谢WINSpect。:-)

自己尝试一下，并留意更新。Amine表示，待办事项列表中包括本地安全策略控制、管理共享配置、加载的DLL、已建立/监听的连接以及暴露的GPO脚本。

干杯…直到下次。