本來是想看看MBSA（Microsoft Baseline Security Analyzer），發現微軟已經早就不更新了，我記得我當初寫《網絡攻防實戰研究漏洞利用與提權》時曾經單獨介紹過MBSA用來查看系統漏洞修補情況，在微軟官方搜索了半天，都沒有找到該軟件，國內有一些網站提供該軟件下載，處于安全考慮，沒有下載到本地進行測試，意外發現一款小工具可以對Windows安全基線進行檢查和加固，其實現原來主要對Windows的注冊表值進行檢測，然后進行加固。軟件名稱WindowsBaselineAssistant，下載地址https://github.com/DeEpinGh0st/WindowsBaselineAssistant。軟件是開源軟件，可以直接編譯，也可以下載編譯后的程序

https://github.com/DeEpinGh0st/WindowsBaselineAssistant/releases/download/v1.2.1

/WindowsBaselineAssistant-v1.2.1.zip。

一、運行WindowsBaselineAssistant

       雖然是開源的，下載到本地后解壓后一共有三個文件，如圖1所示，通過火絨殺毒軟件對其殺毒，無病毒提示。

圖1 程序文件情況

軟件在Windows10下可以直接運行，Net Framework 4.0及以上，編譯則需要一些依賴項：SunnyUI 3.6.3、SunnyUI.Common 3.6.3、System.ValueTuple 4.5.0、NPOI 2.5.1、Costura.Fody 4.1.0。    

1.檢測規則

如現在要檢測重新傳輸的TCP連接閾值

檢測類型為檢索注冊表   檢索的注冊表路徑為HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\services\\Tcpip\\Parameters

檢測項為TcpMaxHalfOpenRetried

標準值為400

數據類型為DWord

檢測值要小于此值時判定符合

實現為：

<item>
  <name>檢查處于SYN_RCVD 狀態下,且至少已經進行了一次重新傳輸的TCP連接閾值</name>
  <description>xxxxxx</description>
  <type>registry</type>
  <registry>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters</registry>
  <regitem>TcpMaxHalfOpenRetried</regitem>
  <standard>400</standard>
  <assessment>lessnumber</assessment>
    <valuetype>dword</valuetype>
</item>

直接運行WindowsBaselineAssistant.exe，運行效果如圖2所示。

圖2 軟件運行主界面

二、檢測及加固

1.對系統存在的漏洞進行檢測

該工具軟件不檢測系統補丁修復情況，僅僅對一些可能造成被攻擊的設置進行檢測，如圖3所示。發現里面確實存在很多問題，主要看檢測結果，里面如果存在不符合項，則顯示紅色。

圖3 安全檢測結果

2.加固    

單擊加固，軟件自動修正注冊表中的值。即可完成加固。筆者實際測試，放方便。

3.導出結果

單擊“導出結果”，如圖4所示，會提示將加固結果導出到程序當前目錄。

圖4 導出加固結果

4.查看加固結果

打開“Windows安全基線檢測加固結果匯總表-192.168.1.37.xlsx”文件，如圖5所示，可以查看詳細的結果。

圖5 查看加固結果

5.自定義加固規則

在軟件中也提供了自定義規則，如圖6所示，根據注冊表值來進行檢測。    

圖6 自定義加固規則

三、總結及評價

軟件僅僅對一些默認設置進行檢測，通過加固可以從一定程度上增強系統的安全性，美中不足的是無法對系統高危漏洞補丁進行查看，微軟的MBSA2.3版本可以對Windows系統存在的補丁進行比對，并給出修復建議。