【蓝队利器】Windows安全基线检测和加固工具

免责声明：

由于传播、利用本站所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本站及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

工具介绍

WindowsBaselineAssistant(WBA)是一个用于检测和加固Windows安全基线的辅助工具，实现一键检测和加固你的Windows安全基线,并可以导出检测或加固结果。

截图

工具运行要求

.Net Framework 4.0及以上

项目依赖库

SunnyUI 3.6.3

SunnyUI.Common 3.6.3

System.ValueTuple 4.5.0

NPOI 2.5.1

自定义规则

WBA支持自定义规则以适应不同环境下的检测需求

WBA的所有规则位于item.xml文件中,其中检测规则分为registry和secedit两种,判定规则分为fixed,enum,greaternumber,lessnumber,array,equals六种.

规则格式

registry(读取注册表)

<item>
    <name>检查是否已启用并正确配置ICMP攻击保护</name>
    <description>配置ICMP攻击保护预防ICMP攻击,防止DOS攻击导致服务器停止响应与奔溃</description>
 <type>registry</type>
    <registry>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters</registry>
    <regitem>EnableICMPRedirect</regitem>
    <standard>0</standard>
 <dtype>enum</dtype>
</item>

secedit(读取config.cfg信息)

<item>
 <name>检查密码最长使用期限</name>
 <description>长期修改密码会提高密码暴露风险,所以为了提高系统的保密性.需要检查密码最长使用期限.</description>
 <type>secedit</type>
 <mark>MaximumPasswordAge</mark>
 <standard>90</standard>
 <dtype>greaternumber</dtype>
</item>

判定规则

下载地址