Windows应急响应与攻防演练防御指南

1. 端口与进程排查

1.1 端口检查

netstat -ano

• 查看所有活动连接和监听端口
• 重点关注异常的外部IP连接和非常用端口

1.2 进程关联检查

tasklist | findstr [PID]

• 根据netstat结果中的PID查找对应进程
• 检查进程路径是否合法

1.3 进程详细信息查询

wmic process | findstr "进程名"

• 获取进程的详细创建信息、执行路径等

2. 系统配置检查

2.1 计划任务检查

compmgmt.msc

• 检查"任务计划程序"中的可疑任务
• 重点关注高频执行或来源不明的任务

2.2 启动项检查

msconfig

• 或通过任务管理器"启动"选项卡
• 检查异常的自启动程序

2.3 服务检查

services.msc

• 检查服务列表中的可疑服务
• 特别注意描述为空或伪装成系统服务的项目

3. 日志与事件分析

3.1 事件查看器

eventvwr.msc

• 检查"Windows日志"中的安全、系统、应用程序日志
• 重点关注异常登录、服务启动、进程创建等事件

4. 文件系统检查

4.1 临时文件检查

• 检查各盘符下的temp目录
• 检查Windows系统目录下的temp文件夹(C:\Windows\Temp)

4.2 最近访问文件

%UserProfile%\Recent

• 检查用户最近访问的文件记录
• 查找可疑文档、脚本文件等

4.3 文件修改时间

• 使用dir /t命令查看文件修改时间
• 对比系统异常时间段内修改的文件

5. 账户与权限检查

5.1 用户账户检查

net user
net localgroup administrators

• 列出所有用户账户
• 检查管理员组中的异常账户

5.2 注册表用户检查

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

• 通过注册表检查隐藏用户
• Names子键下为用户名列表

5.3 当前会话检查

query user

• 查看当前登录会话
• 发现异常远程连接

6. 系统信息收集

6.1 系统补丁信息

systeminfo

• 查看系统安装的补丁
• 识别可能存在的漏洞

6.2 环境变量检查

path
pathex

• 检查PATH环境变量是否被篡改
• 查找异常路径注入

7. 安全加固措施

7.1 第三方软件检查

• 检查WWW、FTP等对外服务
• 限制目录浏览和写权限

7.2 弱口令检查

• 检查RDP、SSH、FTP等服务
• 确保使用强密码

7.3 远程端口修改

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

• 修改PortNumber值更改默认RDP端口
• 配置防火墙只允许指定IP访问

8. 入侵后处理

1. 系统重装：被入侵系统不可信，建议重装
2. 密码重置：所有系统账户改为复杂密码
3. 端口安全：修改默认远程端口并限制访问
4. 定期备份：重要业务数据定期备份
5. 补丁更新：及时更新系统和应用补丁

9. 工具推荐

• D盾：用于查杀Webshell和恶意脚本
• 流量分析设备：检测异常网络流量
• 杀毒软件：全盘扫描恶意程序

总结

攻防演练中的应急响应需要快速、全面地检查系统各个层面，从端口、进程到账户、文件，每个环节都可能成为攻击者的入口点。防守方应建立标准化的检查流程，在演练前做好系统加固，演练中快速响应，演练后彻底清理并总结经验。