【Windows 巡检脚本】但使书种多,会有岁稔时。这篇文章主要讲述Windows 巡检脚本相关的知识,希望能为你提供帮助。
@echo off
title 巡检脚本_CopyRight_20210826
color 3
mode con cols=59lines=40
echo=========================================================
echo正在启动“云主机Win系统安全检查脚本”
echo本脚本创建与2021.08.26,如修改,请更新此日期。
echo=========================================================
ping /n 2 127.1 >
nul
echo正在创建安全巡检所需环境...
echo=========================================================
ping /n 2 127.1 >
nul
echo正在检查当前用户权限...
echo=========================================================
Md "%WinDir%\\System32\\test_permissions" 2>
NUL||(Echo.&
Echo 请使用右键“以管理员身份运行”&
&
Pause >
NUL&
&
Exit)
Rd "%WinDir%\\System32\\test_permissions" 2>
NUL
ping /n 2 127.1 >
nul
if exist c:\\检查结果\\ (
echo目录已存在,正在启动检查脚本...
) else (
echo目录已创建,正在启动检查脚本...
md c:\\检查结果\\
)
echo=========================================================
ping /n 2 127.1 >
nul
echo检查开始,请勿关闭本窗口...
echo=========================================================
ping /n 1 127.1 >
nul
echo...01.操作系统检查...
systeminfo >
c:\\检查结果\\01系统信息.log
echo...02.网络地址检查...
ipconfig /all >
c:\\检查结果\\02IP地址信息.log
echo...03.磁盘信息检查...
wmic logicaldisk Where DriveType="3" get caption,FreeSpace,size |find ":" >
c:\\检查结果\\03磁盘信息.log
echo...04.CPU使用检查....
wmic cpu get LoadPercentage >
c:\\检查结果\\04CPU信息.log
echo...05.端口信息检查...
netstat -ant >
c:\\检查结果\\05端口信息.log
echo...06.系统进程检查...
tasklist >
c:\\检查结果\\06进程检查-内存使用.log
echo...07.CPU使用率检查..
wmic process get Caption,KernelModeTime,UserModeTime >
c:\\检查结果\\07进程检查CPU使用率.log
echo...08.启动服务检查...
net start >
c:\\检查结果\\08启动服务检查.log
echo...09.系统服务检查...
wmic service >
c:\\检查结果\\09系统全服务检查.log
echo...10.进程路径检查...
wmic process get name,executablepath,processid,CreationDate >
c:\\检查结果\\10进程路径检查.log
echo...11.补丁信息检查...
wmic qfe get hotfixid,Description,InstalledOn,InstalledBy >
c:\\检查结果\\11补丁信息检查.log
echo...12.软件信息检查...
wmic product get name,Description,InstallDate,InstallLocation,Version,PackageName >
c:\\检查结果\\12软件信息检查.log
echo...13.默认共享检查...
echo N | net share >
c:\\检查结果\\13默认共享检查.log >
nul 2>
nul
echo...14.用户信息检查...
net user >
c:\\检查结果\\14用户信息检查.log
net localgroup administrators >
>
c:\\检查结果\\14用户信息检查.log
echo...15.启动项目检查...
reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run >
c:\\检查结果\\15注册表启动项检查.log
reg query HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run >
>
c:\\检查结果\\15注册表启动项检查.log
echo...16.IE浏览器记录...
reg query HKEY_CURRENT_USER\\Software\\Microsoft\\Internet" "Explorer\\TypedURLs >
c:\\检查结果\\16IE浏览器记录检查.log
echo...17.添加删除记录...
reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\UNINSTALL /s /v DisPlayname >
c:\\检查结果\\17添加和卸载记录.log
echo...18.网络通信检查...
netstat -ano >
c:\\检查结果\\18通信检查.log
echo...19.计划任务检查...
schtasks /query >
c:\\检查结果\\19计划任务检查.log
echo...20.特定文件权限...
cacls %systemroot%\\system32\\cmd.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\regsvr32.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\tracert.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\netstat.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\ipconfig.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\at.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\route.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\ping.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\arp.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\ftp.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\net.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\net1.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\Wscript.exe >
>
c:\\检查结果\\20特定文件权限.log
cacls %systemroot%\\system32\\xcopy.exe >
>
c:\\检查结果\\20特定文件权限.log
echo...21.获取系统日志...
wmic nteventlog where filename="System" call BackupEventlog c:\\检查结果\\System.evt >
NUL
echo...22.获取安全日志...
wmic nteventlog where filename="Security" call BackupEventlog c:\\检查结果\\Security.evt >
NUL
echo...23.获取应用日志...
wmic nteventlog where filename="Application" call BackupEventlog c:\\检查结果\\Application.evt >
NUL
rem624:用户帐户已创建。
rem627:用户密码已更改。
rem628:用户密码已设置。
rem630:用户帐户已删除。
rem631:全局组已创建。
rem632:成员已添加至全局组。
rem633:成员已从全局组删除。
rem634:全局组已删除。
rem635:已新建本地组。
rem636:成员已添加至本地组。
rem637:成员已从本地组删除。
rem638:本地组已删除。
rem639:本地组帐户已更改。
rem641:全局组帐户已更改。
rem642:用户帐户已更改。
rem643:域策略已修改。
rem644:用户帐户被自动锁定。
rem645:计算机帐户已创建。
rem646:计算机帐户已更改。
rem647:计算机帐户已删除。
rem648:禁用安全的本地安全组已创建。
echo 检查完成,请手动关闭此窗口
start C:\\检查结果
Pause
推荐阅读
- Java ASM系列((059)opcode: stack)
- 面试中的老大难-mysql事务和锁,一次性讲清楚!
- 实践400+私有云打造的云安全高可用架构详解
- 图数据库在百度汉语中的应用
- HarmonyOS基础技术赋能之分布式数据服务功能
- Python实现发送邮件(实现单发/群发邮件验证码)
- ansible+python+shell 实现SpringCloud微服务治理
- SpringBoot任意位置获取HttpServletRequest对象
- 新版PMBOK|项目管理原则核心内容