Windows 巡检脚本

【Windows 巡检脚本】但使书种多,会有岁稔时。这篇文章主要讲述Windows 巡检脚本相关的知识,希望能为你提供帮助。
@echo off
title 巡检脚本_CopyRight_20210826
color 3
mode con cols=59lines=40
echo=========================================================
echo正在启动“云主机Win系统安全检查脚本”
echo本脚本创建与2021.08.26,如修改,请更新此日期。
echo=========================================================
ping /n 2 127.1 > nul
echo正在创建安全巡检所需环境...
echo=========================================================
ping /n 2 127.1 > nul
echo正在检查当前用户权限...
echo=========================================================
Md "%WinDir%\\System32\\test_permissions" 2> NUL||(Echo.& Echo 请使用右键“以管理员身份运行”& & Pause > NUL& & Exit)
Rd "%WinDir%\\System32\\test_permissions" 2> NUL
ping /n 2 127.1 > nul
if exist c:\\检查结果\\ (
echo目录已存在,正在启动检查脚本...
) else (
echo目录已创建,正在启动检查脚本...
md c:\\检查结果\\
)
echo=========================================================
ping /n 2 127.1 > nul
echo检查开始,请勿关闭本窗口...
echo=========================================================
ping /n 1 127.1 > nul
echo...01.操作系统检查...
systeminfo > c:\\检查结果\\01系统信息.log
echo...02.网络地址检查...
ipconfig /all > c:\\检查结果\\02IP地址信息.log
echo...03.磁盘信息检查...
wmic logicaldisk Where DriveType="3" get caption,FreeSpace,size |find ":" > c:\\检查结果\\03磁盘信息.log
echo...04.CPU使用检查....
wmic cpu get LoadPercentage > c:\\检查结果\\04CPU信息.log
echo...05.端口信息检查...
netstat -ant > c:\\检查结果\\05端口信息.log
echo...06.系统进程检查...
tasklist > c:\\检查结果\\06进程检查-内存使用.log
echo...07.CPU使用率检查..
wmic process get Caption,KernelModeTime,UserModeTime > c:\\检查结果\\07进程检查CPU使用率.log
echo...08.启动服务检查...
net start > c:\\检查结果\\08启动服务检查.log
echo...09.系统服务检查...
wmic service > c:\\检查结果\\09系统全服务检查.log
echo...10.进程路径检查...
wmic process get name,executablepath,processid,CreationDate > c:\\检查结果\\10进程路径检查.log
echo...11.补丁信息检查...
wmic qfe get hotfixid,Description,InstalledOn,InstalledBy > c:\\检查结果\\11补丁信息检查.log
echo...12.软件信息检查...
wmic product get name,Description,InstallDate,InstallLocation,Version,PackageName > c:\\检查结果\\12软件信息检查.log
echo...13.默认共享检查...
echo N | net share > c:\\检查结果\\13默认共享检查.log > nul 2> nul
echo...14.用户信息检查...
net user > c:\\检查结果\\14用户信息检查.log
net localgroup administrators > > c:\\检查结果\\14用户信息检查.log
echo...15.启动项目检查...
reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run > c:\\检查结果\\15注册表启动项检查.log
reg query HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run > > c:\\检查结果\\15注册表启动项检查.log
echo...16.IE浏览器记录...
reg query HKEY_CURRENT_USER\\Software\\Microsoft\\Internet" "Explorer\\TypedURLs > c:\\检查结果\\16IE浏览器记录检查.log
echo...17.添加删除记录...
reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\UNINSTALL /s /v DisPlayname > c:\\检查结果\\17添加和卸载记录.log
echo...18.网络通信检查...
netstat -ano > c:\\检查结果\\18通信检查.log
echo...19.计划任务检查...
schtasks /query > c:\\检查结果\\19计划任务检查.log
echo...20.特定文件权限...
cacls %systemroot%\\system32\\cmd.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\regsvr32.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\tracert.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\netstat.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\ipconfig.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\at.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\route.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\ping.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\arp.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\ftp.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\net.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\net1.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\Wscript.exe > > c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\xcopy.exe > > c:\\检查结果\\20特定文件权限.log
echo...21.获取系统日志...
wmic nteventlog where filename="System" call BackupEventlog c:\\检查结果\\System.evt > NUL
echo...22.获取安全日志...
wmic nteventlog where filename="Security" call BackupEventlog c:\\检查结果\\Security.evt > NUL
echo...23.获取应用日志...
wmic nteventlog where filename="Application" call BackupEventlog c:\\检查结果\\Application.evt > NUL
rem624:用户帐户已创建。
rem627:用户密码已更改。
rem628:用户密码已设置。
rem630:用户帐户已删除。
rem631:全局组已创建。
rem632:成员已添加至全局组。
rem633:成员已从全局组删除。
rem634:全局组已删除。
rem635:已新建本地组。
rem636:成员已添加至本地组。
rem637:成员已从本地组删除。
rem638:本地组已删除。
rem639:本地组帐户已更改。
rem641:全局组帐户已更改。
rem642:用户帐户已更改。
rem643:域策略已修改。
rem644:用户帐户被自动锁定。
rem645:计算机帐户已创建。
rem646:计算机帐户已更改。
rem647:计算机帐户已删除。
rem648:禁用安全的本地安全组已创建。
echo 检查完成,请手动关闭此窗口
start C:\\检查结果
Pause

    推荐阅读