Algunos elementos útiles para una verificación de la integridad de su sistema bajo Windows

es:Algunos elementos útiles para una verificación de la integridad de su sistema bajo Windows he:כמה אלמנטים שימושיים עבור אימות של שלמות המערכת שלה תחת חלונות ru:Несколько полезных элементов для проверки целостности системы под Windows ja:Windows のシステムの整合性の検証のため、いくつかの有用な要素 ar:عدد قليل من العناصر المفيدة لتحقق من سلامة نظامها تحت ويندوز zh:几个有用的内容，为其在 Windows 下的系统的完整性验证的 ro:Câteva elemente utile pentru o verificare a integrității sistemului său sub Windows pl:Kilka elementów przydatnych do weryfikacji integralności systemu w systemie Windows de:Ein paar nützliche Elemente für eine Überprüfung der Integrität seines Systems unter Windows nl:Een paar nuttige elementen voor een verificatie van de integriteit van het systeem onder Windows it:Alcuni elementi utili per una verifica dell'integrità del suo sistema sotto Windows pt:Alguns elementos úteis para uma verificação da integridade do seu sistema sob Windows en:A few useful elements for a verification of the integrity of its system under Windows fr:Quelques éléments utiles pour une vérification de l'intégrité de son système sous Windows
Este artículo ha sido traducido por un software de traducción automática. Usted puede ver el origen artículo aquí.

|

Introducción

Segura de su servidor es una tarea que resulta para ser largo y complejo. Actualización de su sistema operativo y los diferentes componentes de la misma es un primer paso crítico, pero si tienes dudas sobre la integridad de su sistema, usted encontrará a continuación algunos elementos que permiten establecer un primer diagnóstico rápido.

Para cada punto de este tutorial, usted encontrará información sobre los controles que se realizan así como algunos comandos útiles en conjunto con estos.

Punto importante

La verificación de la integridad del sistema es lento y complicado. Este artículo tiene no pretender ser un tutorial de referencia en el campo. También tenga en cuenta que siguiendo este artículo en ningún caso garantizar la seguridad total, lejos pero es un punto de partida. Simplemente aquí es presentar un enfoque integral accesible para realizar una rápida comprobación de la integridad de su sistema. Para la verificación adicional, usted puede dar vuelta al comando de una sola vez outsourcing (comunicarte con nuestro primer ).

Una consigna : prudencia

Antes de ir más lejos, es necesario un recordatorio : Tenga cuidado en los cambios, realizar copias de seguridad, cambie el nombre los archivos en lugar de borrar, etc. ..

Ikoula no asume ninguna responsabilidad por la aplicación incorrecta de este artículo.

Sistema de archivos de cheques

Visor de sucesos

Mucha información está disponible a través de esta interfaz y proporciona una fuente útil de información. Puede acceder a él rápidamente desde Inicio > Ejecute > eventvwr.

La interfaz gráfica del visor de sucesos es conveniente aplicar diferentes filtros y encontrar fácilmente un error, ADVERTENCIA, etc.. |

Ten en cuenta que también puede ser práctico y rápido para explotar las diferentes entradas en el visor de sucesos a través de PowerShell con el cmdlet  Registro de eventos .

Por ejemplo, puede filtrar en una identificación específica mediante el comando :

Get-EventLog -LogName System | where {$_.EventID -eq 1074}

Tareas programadas

Puede ser interesante para llevar a cabo una auditoría a nivel de tareas también programadas.

De hecho una llamada a un script o cualquier otro elemento en intervalos regulares o después de varios eventos del sistema puede ser una buena cosa.

Para comprobar las diferentes tareas programadas configuradas en su sistema, puede utilizar la utilidad gráfica Schtasks a través de inicio > Ejecute > taskschd.msc /s

Esta utilidad también está disponible desde un prompt de DOS con taskschd.exe.

Al igual que el visor de sucesos, también puede operar las tareas a través de la lengua de PowerShell. Puede encontrar más información sobre los cmdlets que están disponibles en el sitio web de microsoft siguiente este enlace : https://technet.Microsoft.com/en-us/library/jj649816 (v=WPS.630).aspx.

Los programas lanzados en el inicio

Llaman a algunos programas o scripts al inicio del sistema. Estas pueden identificarse fácilmente mediante la utilidad Msconfig Puede iniciar desde Inicio > Ejecutar.

Servicios

Servicios también pueden usarse para iniciar un programa no deseado. Dihacia os métodos están disponibles para consultar :

• a través de una interfaz gráfica con services.msc
• a través de un indicador de DOS con el comando net start.

Usuarios

Se puede verificar que un usuario no deseado no tiene una cuenta para acceder a su servidor listado las diferentes cuentas creadas en el equipo. Una vez más, usted tiene dos posibilidades :

• una interfaz gráfica está disponible a través de inicio > Ejecute > lusrmgr
• un archivo ejecutable que puede ejecutar desde un símbolo del sistema DOS escribiendo el comando Internautas .

El proceso ahora iniciado

Otra comprobación es una lista de los procesos actualmente puesto en marcha en el sistema. Lo más obvio para enumerar estos procesos es el administrador de tareas (taskmgr ). También puede listar los procesos activos en un símbolo de DOS realizando una consulta WMI mediante el siguiente comando :

wmic process list full

La verificación de las firmas de los sistemas de archivos

Integra nativamente en Windows una utilidad de verificación de firma de archivo. Esta herramienta está disponible a través del ejecutable Sigverif.exe .

Un archivo de registro se creará y te permitirá ver la información diferentes que están sujetos a verificación de los archivos del sistema analizado por Sigverif  :

********************************

Microsoft Signature Verification

Log file generated on 16/10/2015 at 14:15
OS Platform:  Windows (x64), Version:  6.3, Build: 9600, CSDVersion:  
Scan Results:  Total Files: 62, Signed: 62, Unsigned: 0, Not Scanned: 0

File                      Modified       Version             Status              Catalog              Signed By
------------------      ------------   -----------        ------------        -----------          -------------------
[c:\windows\system32]
streamci.dll             29/10/2014     2:5.1               Signed              Package_1894_for_KB3Microsoft Windows
vmbuspipe.dll            29/10/2014     2:5.1               Signed              Package_554_for_KB30Microsoft Windows
vmbusres.dll             22/08/2013     2:5.1               Signed              Package_554_for_KB30Microsoft Windows
vmdcoinstall.dll         29/10/2014     2:5.1               Signed              Package_556_for_KB30Microsoft Windows
vmstorfltres.dll         22/08/2013     2:5.1               Signed              Package_556_for_KB30Microsoft Windows
...

La herramienta Microsoft Baseline Security Analyzer

Microsoft también proporciona una utilidad llamada Microsoft Baseline Security Analyzer (acortado a menudo a las siglas MBSA ) Que encontrarás en la siguiente dirección : https://technet.Microsoft.com/fr-fr/Security/cc184924.aspx.

Esta aplicación realiza una serie de comprobaciones en su sistema, es decir, actualizaciones de Windows (instalado, falta, la configuración de actualizaciones automáticas, etc.) la configuración para Internet Explorer (zonas, configuración de seguridad, etc..), IIS, SQL Server, Firewall de Windows, cuentas de usuario y muchas otras cosas.

Red de auditorías

El archivo HOST

El archivo HOST que se encuentra en el directorio System32\Controladores \etc\hosts puede también han sido modificados con el fin de la desviación de la resolución de DNS para el acceso a un host remoto. Modificando este archivo, por ejemplo, para indicar el servidor de nombres de dominio con la IP dirección zzz.fr 1.1.1.1 vers 2.2.2.2 casi sin problemas y así ser robado de sus datos, pensando que se puede visitar el sitio en el servidor con dirección IP 1.1.1.1

Servidores DNS

El uso de servidores DNS que no se dice "confianza " puede también corren un riesgo. Si no confías en servidores DNS de terceros si desea, puede instalar a su propio servidor DNS. Usted puede listar los servidores DNS que se utiliza actualmente en su sistema a través del comando ipconfig /all pero también mediante el comando ipconfig /displaydns

Procesos y las conexiones asociadas

También puede ver qué procesos se están ejecutando y las conexiones que están asociadas con estos procesos.

Para obtener más información, puede ejecutar el comando netstat -naob desde un símbolo del sistema DOS.

También puede actualizar esta información cada X segundos mediante la adición de este tiempo de actualización al final del comando :

netstat -naob X

Herramientas externas

Muchas herramientas nativas pueden ofrecerte ayuda para inspeccionar la integridad de su sistema. Sin embargo, algunas de ellas son utilizables desde un símbolo del sistema DOS y lo que hace que la lectura de la información devuelta poco legible.

Por lo tanto, puede utilizar herramientas de terceros, y algunos de ellos son más adecuados como los que ofrecen gratis Sysinternals.

Para obtener más información, visite el sitio web asociado : https://technet.Microsoft.com/fr-fr/Sysinternals/bb545021.aspx.

Conclusión

Ahora tienes información adicional para realizar un primer análisis de su sistema. Esta información no es la más dura, la explotación de esta información es más complejo porque tienes que estar familiarizado con el sistema de procesos diferentes, sus puertos y conexiones diferentes asociaron.