WINDOWS 防禦流程

# WINDOWS 防禦流程 ## 變更預設權限、移除不必要之權限： ### 1. 檢查作業系統使用者權限 `Win+R` `lusrmgr.msc` ![](https://i.imgur.com/gwdzhsR.png) ### 2. 檢查資料庫、IIS站台、AD DC等等其他角色權限。 ### 3. 將遠端桌面連線限制僅自己IP可登入。 ## 安裝NESSUS並執行全網段偵掃： ## 作業系統漏洞修補： ### 1. 檢查作業系統版本 `Win+R` `winver` ![](https://i.imgur.com/qFg7a0I.png) ### 2. 針對不同作業系統版本，至此網站下載所屬版本之漏洞修補包。已將Windows 10各版本及2012、2012R2永恆之藍之漏洞修補包放進外接式硬碟供使用。 https://www.catalog.update.microsoft.com![](https://i.imgur.com/qefR3zv.png) ## 網路環境探索：(如這次環境僅使用Ipv4，則將Ipv6訊息忽略) ### 1. 檢查當前網路連線狀態 `PowerShell` `netstat -ano` 確認開啟的服務埠有哪些，判斷主辦方記分板之IP，將其餘的IP列名單並關閉非必要服務埠。 ![](https://i.imgur.com/0ebDTnp.png) :::success 使用工具：LiveTcpUdpWatch ::: ==下列兩個檔案都需存在才能開啟!== ![](https://i.imgur.com/TC4jf2P.png) 進階選項，篩選出僅80、443port的連線狀況。 #### Step1 ![](https://i.imgur.com/2wGgcI0.png) #### Step2 ![](https://i.imgur.com/ioCgGKF.png) #### Step3 ![](https://i.imgur.com/WhVazd6.png) 盡可能的蒐集IP、Hostname、Service等等，所有訊息都不要遺漏，以利後續防火牆規則建立及其餘防禦手段。 ### 2. 建立防火牆規則 `PowerShell` `WF` 根據蒐集情資將主辦方及必要服務以外之IP、Service封鎖，於輸入規則處添加規則。 ![](https://i.imgur.com/7xvjDRk.png) ### 3. 檢視本機處理程序 :::success 使用工具：ProcessHacker ::: ![](https://i.imgur.com/JeNADmg.png) ### 4. 監看事件檢視器 `Win+R` `eventvwr.msc` | 事件ID | 說明 | | ------ | -------------- | | 4624 | 登入成功 | | 4625 | 登入失敗 | | 4672 | 系統管理者登入 | | 4720 | 新建帳戶 | ![](https://i.imgur.com/Y49m3TS.png) ## 安裝防毒、查殺軟體： ### 1. 防毒軟體： :::success 使用工具：火絨安全 ::: ![](https://i.imgur.com/Pu3ML25.png) ### 2.查殺軟體： :::success 使用工具：D盾防護 ::: ==須以系統管理員身分執行!== 執行全機檔案掃描。 ![](https://i.imgur.com/JNVoFwy.png) 支援base64解密。 ![](https://i.imgur.com/96KHGeH.png) 處理程序檢查，也有權限刪除可疑處理程序。 ![](https://i.imgur.com/S9dQ9jT.png) 可檢查使用者帳號是否異動，如發現可疑帳號新增，可直接剃除異常帳號。 ![](https://i.imgur.com/BWzwrKU.png) 可檢查當前連線狀態，開啟的服務埠及連線IP，亦可僅篩選80port顯示。 ![](https://i.imgur.com/WxK5lJL.png) ###### 參考文獻： https://bypass007.github.io/Emergency-Response-Notes/Summary/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E5%85%A5%E4%BE%B5%E6%8E%92%E6%9F%A5.html