借助PowerShell腳本維護系統安全

PowerShell命令是系統管理中非常便捷有效的工具。近日，筆者發現了一組PowerShell腳本文件，它們對于系統安全維護頗具實用價值，筆者在此要借花獻佛了。

精簡管理組用戶

系統管理組用戶過多會為系統造成隱患。此時想要清理其中的冗余人員，可以借助一個腳本文件完成這項工作。執行該腳本，可以一次性去掉多臺機器上本地管理組中的多位用戶。此時我們只需要編寫兩個文本文件，在一個文本中編寫排列好準備清理的各用戶名稱，在另一個文本中給出機器名單，然后下載該腳本文件。

下載完成后，對該腳本文件進行兩處修改：一是將其中變量 $Computernames替換為含有機器名稱的文本文件名稱；二是將其中的變量$Admins替換為含有用戶名單的文本文件名稱，之后執行即可。

嚴格控制SAM 訪問

SAM文件記錄了電腦里用戶的用戶名和密碼，但也造成系統的隱患，黑客試圖借助SAMR協議通過遠程方式進行SAM訪問，從而為以后的不軌做準備。TechNet近日提供了一個腳本文件SAMRi10工具，它適用于Windows 10 & Windows Server 2016，用于阻止用戶進行SAM 遠程訪問。

阻止NetSessionEnum訪問

NetSessionEnum意 即“網絡會話記錄”，在系統默認時所有審核通過的用戶都可以對其訪問從而獲取有關機器名、用戶名、會話時間以及IP地址等信息。TechNet上的腳本文件Net Cease則是要取消這種訪問，并對特定的會話sessions增加了審核。

探測系統潛在的安全隱患

TechNet上有一個腳本文件，可以對所有域控制器內的機器的事件記錄“event logs”進行檢測，從而發現哪些機器存在著異常登錄情況，從而及早發現異情，讓管理員采取及時采取相應的補救措施。該腳本適用于Windows 7及以上版本。

另外，TechNet還有一個腳本文件可以檢測系統是否存在Malware以及是否存在新的自動運行文件。

檢測本地管理組動態

黑客經常通過某種方式，設法混入到本地管理組Local admin groups中而未能引起注意，為此TechNet提供了一個腳本文件，它可對遠程機器進行周期性巡問，如某機器中 的本地管理組發生變化就會通過郵件方式進行反饋。

了解本地及遠程防病毒工具

TechNet上的一個腳本文件，可以了解本地及遠程機器上防病毒工具的詳情，包括殺毒工具的名稱、版本號以及當前的運行狀況。

切換UAC等級

UAC可對UAC等級進行設置和切換，具體有：Low（不作任何提示）、Medium（有應用對計算機系統修改但未顯示變灰時提示）、Default（有應用對計算機系統進行修改并會顯示變灰時提示）、High（任何變化均提示）。

取消已刪除賬戶的文件SID

當賬戶從活動目錄刪除后，文件系統中有關的SID并不會自動消失。從而造成某種安全隱患，利用腳本文件可將其SID全部清理。