Windowsのセキュリティチェックに使えそうなコマンドについて

Pocket

セキュリティ関係のお仕事をしているにもかかわらず、Windowsを使い始めてあまりコマンドラインを使わなくなってきている為、これではまずいと思い、いろいろ調べてみようと思っています。

なぜなら、外部から攻撃してくるハッカー(クラッカー)は通常、コマンドラインをつかって情報収集した上で攻撃を仕掛けてくるので、その知識を吸収し防御に生かしていければと考えています。

WMIC コマンドでいろいろな情報を取集する

そもそもwmicとは何かということですが、最近のWindowsには「Windows Management Instrumentation」というWindows管理(計測)機能が実装されていて、それを操作するコマンドがwmicコマンドらしいです。(たぶん)

このコマンドはWindows Homeでも実装されていて、インストールした直後から利用することができます。以下はその一例です。

1.wmic qfe で適用済みのパッチ情報を入手

wmic コマンドに qfe をつけるとWindowsに適用されているパッチの一覧が表示されます。
ちなみに、qfeは、Quick Fix Engineeringの略らしいです。

以下は、適用済みパッチに関するCaption,Description,HotFixID,InstalledOn情報を表示した結果です。

wmic qfe get Caption,Description,HotfixID,InstalledOn の実行r

【コメント】
重要なパッチが適用されていない場合は、攻撃対象となりますので早急な適用が必要です。

ちなみに、systeminfo コマンドでも適用済みのパッチを確認できますが、wmic の方がこまかく情報がとれそうです。

2.wmic useraccount でユーザアカウントを確認

こちらはwmic useraccount でWindowsに登録されているアカウントと有効状態を確認した結果です。

wmic useraccount get caption,domain,disabled の実行例

【コメント】
不要なユーザは無効にしておくことをお勧めします。これらのアカウントを利用して攻撃される可能性があります。また、攻撃された結果、身に覚えのないアカウントが作成されている可能性もあります。

ちなみに、net userコマンドでもユーザアカウントの情報は取れますが、やはりwmicの方が情報を細かくとれそうです。

とりあえず現時点では気になったwmicコマンドのみ調べてみましたが、今後いろいろ追加していきたいと考えています。

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA