PowerShell命令是系統(tǒng)管理中非常便捷有效的工具。近日，筆者發(fā)現(xiàn)了一組PowerShell腳本文件，它們對(duì)于系統(tǒng)安全維護(hù)頗具實(shí)用價(jià)值，筆者在此要借花獻(xiàn)佛了。

精簡(jiǎn)管理組用戶

系統(tǒng)管理組用戶過多會(huì)為系統(tǒng)造成隱患。此時(shí)想要清理其中的冗余人員，可以借助一個(gè)腳本文件完成這項(xiàng)工作。執(zhí)行該腳本，可以一次性去掉多臺(tái)機(jī)器上本地管理組中的多位用戶。此時(shí)我們只需要編寫兩個(gè)文本文件，在一個(gè)文本中編寫排列好準(zhǔn)備清理的各用戶名稱，在另一個(gè)文本中給出機(jī)器名單，然后下載該腳本文件。

下載完成后，對(duì)該腳本文件進(jìn)行兩處修改：一是將其中變量 $Computernames替換為含有機(jī)器名稱的文本文件名稱；二是將其中的變量$Admins替換為含有用戶名單的文本文件名稱，之后執(zhí)行即可。

嚴(yán)格控制SAM 訪問

SAM文件記錄了電腦里用戶的用戶名和密碼，但也造成系統(tǒng)的隱患，黑客試圖借助SAMR協(xié)議通過遠(yuǎn)程方式進(jìn)行SAM訪問，從而為以后的不軌做準(zhǔn)備。TechNet近日提供了一個(gè)腳本文件SAMRi10工具，它適用于Windows 10 & Windows Server 2016，用于阻止用戶進(jìn)行SAM 遠(yuǎn)程訪問。

阻止NetSessionEnum訪問

NetSessionEnum意 即“網(wǎng)絡(luò)會(huì)話記錄”，在系統(tǒng)默認(rèn)時(shí)所有審核通過的用戶都可以對(duì)其訪問從而獲取有關(guān)機(jī)器名、用戶名、會(huì)話時(shí)間以及IP地址等信息。TechNet上的腳本文件Net Cease則是要取消這種訪問，并對(duì)特定的會(huì)話sessions增加了審核。

探測(cè)系統(tǒng)潛在的安全隱患

TechNet上有一個(gè)腳本文件，可以對(duì)所有域控制器內(nèi)的機(jī)器的事件記錄“event logs”進(jìn)行檢測(cè)，從而發(fā)現(xiàn)哪些機(jī)器存在著異常登錄情況，從而及早發(fā)現(xiàn)異情，讓管理員采取及時(shí)采取相應(yīng)的補(bǔ)救措施。該腳本適用于Windows 7及以上版本。

另外，TechNet還有一個(gè)腳本文件可以檢測(cè)系統(tǒng)是否存在Malware以及是否存在新的自動(dòng)運(yùn)行文件。

檢測(cè)本地管理組動(dòng)態(tài)

黑客經(jīng)常通過某種方式，設(shè)法混入到本地管理組Local admin groups中而未能引起注意，為此TechNet提供了一個(gè)腳本文件，它可對(duì)遠(yuǎn)程機(jī)器進(jìn)行周期性巡問，如某機(jī)器中 的本地管理組發(fā)生變化就會(huì)通過郵件方式進(jìn)行反饋。

了解本地及遠(yuǎn)程防病毒工具

TechNet上的一個(gè)腳本文件，可以了解本地及遠(yuǎn)程機(jī)器上防病毒工具的詳情，包括殺毒工具的名稱、版本號(hào)以及當(dāng)前的運(yùn)行狀況。

切換UAC等級(jí)

UAC可對(duì)UAC等級(jí)進(jìn)行設(shè)置和切換，具體有：Low（不作任何提示）、Medium（有應(yīng)用對(duì)計(jì)算機(jī)系統(tǒng)修改但未顯示變灰時(shí)提示）、Default（有應(yīng)用對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行修改并會(huì)顯示變灰時(shí)提示）、High（任何變化均提示）。

取消已刪除賬戶的文件SID

當(dāng)賬戶從活動(dòng)目錄刪除后，文件系統(tǒng)中有關(guān)的SID并不會(huì)自動(dòng)消失。從而造成某種安全隱患，利用腳本文件可將其SID全部清理。