Содержание статьи
- Утилиты аудита безопасности Windows
- MBSA — Microsoft Baseline Security Analyzer
- SekChek Security Auditing
- Windows SEC-AUDIT (PowerShell script)
- Windows-audit (PowerShell script)
- Windows-Workstation-and-Server-Audit (PowerShell script)
- SQL Audit Script at TechEd 2014 (PowerShell script)
- Microsoft Windows Server Best Practice Analyzer
- Hardentools for Windows
- SAMRi10 — Hardening SAM Remote Access in Windows 10 / Server 2016
- Заключение
Здравствуйте, друзья! Сегодня у нас обзор основных инструментов аудита и настройки native-опций безопасности Windows. Я расскажу про необходимый набор утилит для любого системного администратора и аудитора информационной безопасности. Так что, если вы имеете хотя бы малейшее отношение к этим сферам, обязательно прочитайте статью .
Еще по теме: Аудит событий в Windows с помощью Sysmon
Утилиты аудита безопасности Windows
В этой статье мы сконцентрируем свое внимание на бесплатных или open source инструментах, которые будут доступны абсолютно каждому. В следующем обзоре утилит аудита безопасности Windows речь пойдет о платных инструментах.
MBSA — Microsoft Baseline Security Analyzer
MBSA — старейшая утилита проверки security settings от самой Microsoft. Первые релизы были ориентированы на Windows XP и Server 2003. С тех пор минуло уже более десяти лет, а эта тулза остается актуальной и по сей день! Ее версия 2.3 поддерживает все редакции ОС вплоть до Windows 10 и Server 2016.
Изначальными задачами утилиты было определять состояние безопасности Windows в соответствии с рекомендациями Microsoft, искать распространенные неверные конфиги безопасности и отсутствующие обновления security patch, но, помимо этого, утилита предлагает конкретные рекомендации, как улучшить безопасность, которые, правда, сводятся к довольно стандартному чек-листу. Впрочем, для программы, вышедшей в середине прошлого десятилетия, это было огромное достижение!
MBSA обеспечивает подобную проверку, обращаясь к постоянно пополняемой Microsoft базе данных, которая содержит информацию обо всех обновлениях и критических патчах, выпущенных для каждого из продуктов Microsoft (IE, IIS, MS SQL Server, MDAC, MSXML и так далее). Работать с утилитой можно через графический интерфейс и командную строку.
Для MBSA есть возможность запуска сканирования как локально, так и по сети через командную строку при помощи запуска исполняемого файла mbsacli.exe. Команда имеет ряд ключей и дополнительных опций, которые позволяют управлять сканированием.
Создание сценариев сканирования
На практике, чтобы обеспечить постоянный и систематический мониторинг безопасности ИТ-инфраструктуры, системным администраторам приходилось запускать утилиту каждый раз вручную. Однако нам будет интересен сценарий запуска MBSA периодически по расписанию, который позволит утилите в автоматическом режиме отправлять отчеты на адреса электронной почты админов, а это в разы увеличит уровень информированности о состоянии безопасности корпоративной сети.
К примеру, перед нами стоит такая задача: необходимо провести проверку компьютеров (диапазон IP-адресов) с использованием данных службы WSUS и сохранять отчет в определенной директории (формат отчета: <имя компьютера> – <время>). Тогда команда запуска MBSA из CLI будет выглядеть следующим образом:
|
mbsacli.exe /r [начальный IP-адрес]—[конечный IP-адрес] /q /wa /o %IP%—%T% /u [домен/имя пользователя] /p [пароль пользователя] /rd [директория, куда будут сохраняться отчеты] |
Остается добавить это задание в «Планировщик заданий Windows», который и будет выполнять необходимые нам действия в определенное время.
Результаты сканирования
После окончания сканирования с опциями по умолчанию MBSA создает файл отчета в папке профиля пользователя, вошедшего в систему. В GUI-интерфейсе утилиты результаты сканирования отображаются с помощью различных значков в зависимости от того, была ли найдена уязвимость или проблема безопасности на проверяемом хосте.
Классический светофор — красный (критический), желтый (средний), зеленый (рекомендуемая настройка) уровень индикации. Синяя звездочка используется для обычных проверок (например, проверки, включен ли аудит), а синий информационный значок MBSA используется для проверок, которые просто предоставляют информацию о компьютере (например, версия ОС). Для проверок обновлений безопасности используется красный восклицательный значек, когда MBSA подтверждает, что обновление для системы безопасности отсутствует или не удалось выполнить проверку безопасности.
После заверешения сканирования единственного хоста MBSA автоматически запускает окно View security report и отображает результаты сканирования. Если же было выполнено сканирование нескольких компьютеров, то результат стоит просматривать в режиме Pick a security report to view.
Создаваемый MBSA отчет разбивается на пять категорий:
- Security Update Scan Results;
- Windows Scan Results;
- Internet Information Services (IIS) Scan Results;
- SQL Server Scan Results;
- Desktop Application Scan Results.
В MBSA начиная с версии 2.0 в отчете также выдаются идентификаторы (Common Vulnerabilities and Exposures Identifier, CVE-ID) типичных опасностей и уязвимых мест.
Любые манипуляции с системой в режиме суперпользователя требуют особо пристального внимания и повышенной ответственности. Делайте только то, в чем твердо уверены. Не пренебрегайте резервными копиями и снапшотами.
SekChek Security Auditing
Еще одна отличная бесплатная утилита из нашего арсенала — это SekChek от одноименной компании-разработчика. Инструмент поддерживает большое количество платформ — Novеll Netware, Unix/Linux, IBM iSeries и, конечно же, Windows. Утилита доступна в двух вариантах — Classic и Local.
SekChek Classic предоставляет эксперту огромный и подробный отчет о проверке хоста/подсети в форматах MS Word, Excel и баз данных Access, вычисляет общий рейтинг безопасности, сформированный на основе статистики из реальных средних показателей отрасли, а также подробное описание найденных проблем безопасности и общие рекомендации по их устранению.
Кроме сканера, в пакет SekChek Classic входят еще и приятные дополнительные модули:
- для шифрования сгенерированного отчета;
- документация для первого знакомства с программой
- и некоторые полезные free tools.
Вот общий список security settings, которые проверяет SekChek Classic:
- System Configuration;
- System Accounts Policy;
- Audit Policy Settings;
- Registry Key Values;
- User Accounts Defined On Your System;
- Local Groups and their Members;
- Global Groups and their Members;
- Last Logons, 30 Days and Older;
- Passwords, 30 Days and Older;
- Passwords that Never Expire;
- Invalid Logon Attempts Greater than 3;
- Users not Allowed to Change Passwords;
- Accounts with Expiry Date;
- Disabled Accounts;
- Rights and Privileges (Users, Groups);
- Trusted and Trusting Domains;
- Local Accounts;
- Servers and Workstations;
- RAS Privileges;
- Services and Drivers on the Machine;
- Server Roles and Features;
- Task Scheduler Settings;
- Security Updates, Patches and Hot-Fixes;
- Products Installed;
- Current Network Connections;
- Domain Controllers in the Domain;
- Logical Drives;
- Network Shares;
- Home Directories, Logon Scripts, Profiles;
- File Permissions and Auditing.
После установки и первого запуска утилиты будет предложено сформировать профиль аудитора и заполнить контактные данные, которые будут автоматически добавляться к отчетам. После этого генерируется секретный ключ и пароль, которыми шифруется файл с результатами тестов. Заполненный профиль тестирования необходимо отдельно сгенерировать, нажав на кнопку Create в строке Create Scan Software.
После чего в директории с программой извлекается исполняемый файл с именем по умолчанию SekClient.exe, который аудитор и должен запускать для инициации тестирования. Файл SekClient.exe нужно запустить от имени администратора и дальше, следуя пошаговому руководству мастера, инициировать сканирование. И нужно помнить, что для проверки каталога Active Directory вам потребуются права доменного админа.
SekChek Local — это второй вариант утилиты, также содержащий набор автоматизированных средств проверки и тестирования безопасности.
В отличие от версии Classic эту версию предпочтительнее запускать с целью тестирования контроллера домена и каталога Active Directory. Механизм генерации этой версии программы состоит из трех встроенных модулей анализа:
- SekChek для SAM;
- SekChek для AD;
- SekChek для SQL.
На сайте разработчика есть небольшая инструкция с описанием запуска утилиты на контроллере домена и создания Access базы данных отчетов. Кроме этого для ознакомления предоставлен пример отчета с репортом.
Чтобы начать процесс тестирования, надо запустить исполняемый файл SekChekLocal.exe от имени администратора и, выбрав опцию SAM для локальной машины или AD для контроллера домена, в пару кликов запустить сканирование.
Для тех, кто еще не определился с выбором версии — Classic или Local, на официальном сайте есть подробное сравнение возможностей и целевого назначения каждой утилиты. С полным списком деморепортов также можно ознакомиться на отдельной страничке сайта разработчика.
Вот общий список security settings, которые проверяет SekChek Local:
- System Configuration;
- System Accounts Policy;
- Audit Policy Settings;
- Registry Key Values;
- User Accounts Defined On Your System;
- Local Groups and their Members;
- Global Groups and their Members;
- Last Logons, 30 Days and Older;
- Passwords, 30 Days and Older;
- Passwords that Never Expire;
- Invalid Logon Attempts Greater than 3;
- Users not Allowed to Change Passwords;
- Accounts with Expiry Date;
- Disabled Accounts;
- Rights and Privileges (Users, Groups);
- Trusted and Trusting Domains;
- Local Accounts;
- Servers and Workstations;
- RAS Privileges;
- Services and Drivers on the Machine;
- Server Roles and Features;
- Task Scheduler Settings;
- Security Updates, Patches and Hot-Fixes;
- Products Installed;
- Current Network Connections;
- Domain Controllers in the Domain;
- Logical Drives;
- Network Shares;
- Home Directories, Logon Scripts, Profiles;
- File Permissions and Auditing.
Следует отметить, что основной недостаток этой утилиты, который сразу бросается в глаза: не очень современный интерфейс в стиле девяностых. Проблема в нем не только эстетическая — он очень толсто намекает на тот факт, что ПО больше не обновляется, а сам вендор прекратил свое существование. Хотя сайт по-прежнему функционирует и предлагает возможность скачивать утилиты.
Windows SEC-AUDIT (PowerShell script)
Скрипт SEC-AUDIT, выложенный в GitHub-репозиторий автором Sikkandar-Sha и написанный на PowerShell, служит для аудита и проверки настроек безопасности Windows Server. Как вы, наверное, уже догадались, этот скрипт, так же как и предыдущие программы, абсолютно бесплатен, а исходный код выложен в публичный доступ.
После запуска скрипт проверяет параметры безопасности, элементы управления, политики, применяемые на отдельной машине или контроллере домена. Скрипт сравнивает текущее и рекомендуемое значение параметра, контроля или политики безопасности, которые должны соответствовать известным стандартам безопасности и рекомендациям производителя. Как отмечает автор, этот PowerShell-скрипт пригодится в ситуациях, когда запуск автоматизированных инструментов аудита, таких как OpenVAS или Nessus (с настроенной политикой аудита конфигураций), не разрешен или по каким-то причинам затруднителен.
Что касается эталонных рекомендаций по безопасности от Microsoft, вы можете ознакомиться с ними на официальной странице MSDN для Windows 10 и Active Directory.
Запуск и использование
По умолчанию выполнение сценариев PowerShell в системе запрещено, поскольку в скриптах, особенно тех, что загружены из Сети, может находиться вредоносный код, который причинит системе ущерб. Поэтому по соображениям безопасности скрипты PowerShell в идеале должны быть подписаны цифровой подписью. Такой подход называется политика выполнения.
Для наших целей, если вы уверены в чистоте запускаемых скриптов, можно отключить проверку выполнения данной политики. Для этого запускаем консоль PowerShell от имени администратора и вводим команду
|
Set—ExecutionPolicy RemoteSigned |
Этот скрипт можно сохранить в любую директорию (к примеру, на диске С:\) и запустить с правами администратора. Перед выполнением скрипта убедитесь, что для политики выполнения сценария PowerShell установлено значение «Неограниченно». Кроме этого данную настройку можно форсировать, выполнив в окне PowerShell команду
|
Set—ExecutionPolicy Unrestricted —Force |
После того как скрипт отработает, то есть проведет все проверки, вывод результатов можно найти в директории, из которой он запускался.
Hardening — это термин из мира информациоонной безопасности. Он обозначает процесс обеспечения безопасности системы (программы) за счет снижения ее уязвимости и, как правило, с использованием исключительно штатных утилит или механизмов защиты.
Windows-audit (PowerShell script)
Windows-audit — очередной PowerShell-скрипт для аудита и проверки безопасности серверов Windows Server 2003+, разработанный claranet. Скрипт собирает большой массив информации об одном или нескольких целевых серверах Windows и сериализует эту информацию на жесткий диск. Полученный файл отчета можно сконвертировать в таблицу Excel или даже базу данных SQL, притом используя фильтры, чтобы включать в отчет только необходимые индикаторы.
До запуска скрипта еще раз убедитесь, что в PowerShell форсирована политика выполнения с опцией «Неограниченно», либо форсируйте ее вручную:
|
Set—ExecutionPolicy Unrestricted |
После этого скопируйте скрипт в любую директорию на диске C:\ и создайте текстовый файл с именем Node Hints, который может содержать имена хостов NetBIOS и DNS, а также IP-адреса и блоки CIDR тех подсетей, которые необходимо просканировать. Каждая новая строка должна начинаться с оператора include> или exclude<, за которым следуют параметры NetBIOS | DNS | IP | CIDR. Пример заполнения вы можете посмотреть в прилагаемой к скриптам папке.
После этого в файле Get-AuditData.ps1 надо вручную подставить несколько параметров: PSCredential, PSCredential, ThreadCount. После чего можете запускать основные скрипты: сначала Get-AuditData.ps1, а после его выполнения — Compile-AuditData.ps1. Пример запуска скрипта:
|
.\Get—AuditData.ps1 —PSCredential $MyPSCredential —NodeHintsFile «.\nodehints.txt» —ThreadCount 128; |
В файле Compile-AuditData.ps1 до запуска тоже следует вручную подставить несколько параметров: CompilationType, Filter, SQLServerName, SQLDatabaseName. Синтаксис можно посмотреть в файле справки. Пример запуска скрипта:
|
.\Compile—AuditData.ps1 —CompilationType «Excel» —Filter «Example»; |
После выполнения вы найдете файл с именем Filtered-Audit-Data-Example.xlsx в папке Examples директории, в которой лежит скрипт.
Windows-Workstation-and-Server-Audit (PowerShell script)
Очередной скрипт для аудита безопасности Windows Windows-Workstation-and-Server-Audit, также написанный на PowerShell разработчиком Аланом Ренуфом (Alan Renouf). Скрипт проверяет рабочую станцию или сервер Windows на все распространенные требования безопасности. Вывод отчета о работе скрипта содержит следующие блоки:
- основная информация о системе;
- установленные security pach и hotfix;
- конфиг локальной политики безопасности;
- NIC-конфигурация;
- уставленное ПО;
- локальные и сетевые ресурсы;
- принтеры и другая периферия, подключенная к хосту;
- сведения безопасности из журналов Windows.
С данным скриптом все очень просто: он уже содержит все необходимые переменные и конструктивные блоки. Остается только распаковать его на диск C:\ и запустить под администратором.
SQL Audit Script at TechEd 2014 (PowerShell script)
Этот скрипт, как следует из названия, предназначен для аудита СУБД MS SQL Server. Скрипт состоит из двух файлов: SQLAuditv02.ps1, который непосредственно собирает данные с системы, и Compilereports.ps1, который преобразует полученный отчет из CSV-файла в удобочитаемый формат электронных таблиц Excel.
Обратите внимание, что по замыслу разработчиков эти скрипты необходимо скопировать и запустить из директории на локальном диске C:\Temp, изменив при необходимости в SQLAuditv02.ps1 первые три переменные ($SQLServer, $dir, $SQLDBName). После чего запуск скрипта не потребует каких-либо дополнительных действий и может быть отправлен на исполнение от имени администратора.
Собранная информация группируется по следующим блокам:
- Server Properties;
- Windows Info;
- Version Info;
- SQL Server Install Date;
- Configuration Values;
- DB File Names and paths;
- DB Properties;
- Server Hardware;
- Fixed Drive Freespace;
- IO Util by DB;
- System Memory;
- Process Memory;
- SQL Log file freespace;
- CM File Sizes;
- CM DB Statistics;
- CM Index Frag.
Как только скрипт отработает, мы получим отчет в виде HTML-файла, который можно открыть любым браузером.
Как видно, скрипт не собирает данные о безопасности и не проводит каких-либо compliance-проверок уровня защищенности. Но он все равно может оказаться нам полезным, ведь в целом полученная информация позволяет сформировать представление о запущенном экземпляре MS SQL Server, а проанализировав данные Configuration Values, DB Properties, можно выудить часть security settings.
Microsoft Windows Server Best Practice Analyzer
Начиная с версии Windows Server 2008 R2 в серверных редакциях ОС появились встроенные инструменты для анализа установленных компонентов на соответствие рекомендациям — Best Practice Analyzer. Для более старых версий BPA можно скачать (страница удаленна с сайта Microsoft) инсталляционным файлом с официальной страницы Microsoft. В серверных ОС 2008 R2 и выше BPA устанавливается на этапе первичной инсталляции системы и всегда остается доступен из оснастки Server Manager.
После запуска программы проверяется ряд критических и некритических параметров Windows based ИТ-инфраструктуры, например: все ли первичные контроллеры домена сконфигурированы к валидному источнику времени, все ли домены имеют два работающих DC, все ли юниты OU в Active Directory защищены от случайного удаления, есть ли их резервные копии, корректно ли настроены зоны DNS, работают ли репликации Group Policy и FRS. Да, кстати, BPA отлично отработает и на MS SQL Server. Поскольку BPA является компонентом Windows Server, этот инструмент поставляется «из коробки» и не требует никаких вложений.
Хотя утилита BPA не ориентирована чисто на безопасность, она очень подходит для первичного сбора данных и оценки health-индикаторов AD, которые, в свою очередь, потом сказываются на общем индексе Windows Hardening.
BPA можно запускать не только из MMC-оснастки, но и из консоли. Для автоматизации сбора информации с локального сервера вы можете использовать приведенный ниже скрипт:
|
#Get-BPAResults.ps1 # Microsoft Windows Server Best Practice Analyzer on CLI mode #v.1.0 Import—Module ServerManager Import—Module BestPractices $ResultDir = «C:\Temp\» foreach ($BPAModel in Get-BpaModel) { $BPAinstance = $BPaModel.Id $FileName = $BPAinstance.Substring($BPAinstance.LastIndexOf(«/«)+1) Invoke-BpaModel $BPAinstance Get-BPAResult $BPAinstance | ConvertTo-Html > ($ResultDir + $FileName + «.html«) } |
Результат анализа системы, проведенного BPA по каждой отдельной роли сервера, будет сохранен в отдельном HTML-файле в папке C:\Temp.
Hardentools for Windows
Hardentools — это бесплатная небольшая программа, не требующая установки, предназначенна для отключения/включения ряда возможностей в операционных системах Windows и пользовательском ПО (MS Office, Adobe Reader и другие). Одним кликом вы можете менять доступные опции security settings, к примеру отключить Windows Script Host, опасное выполнение AсtivX, форсировать выполнение ASR (Win10), переход в Adobe Reader protection mode, Disable Adobe JavaScript и тому подобное. Если вам лень возиться с консолями MMC и лезть руками в реестр, правя и добавляя специфические ключи, то это то, что вам надо!
По сути, Hardentools — это привычный твикер системы, только ориентированный исключительно на опции безопасности. Нельзя сказать, что утилита предоставляет широкие возможности и огромное количество редактируемых параметров, но в некоторых ситуация для быстрого создания базового уровня защиты хоста, на который не распространяются доменные политики безопасности, очень даже подойдет.
SAMRi10 — Hardening SAM Remote Access in Windows 10 / Server 2016
SAMRi10 (страница удаленна с сайта Microsoft) — это еще одна утилита для аудита безопасности Windows, а точнее, еще один PowerShell-скрипт от Microsoft, призванный обеспечить защиту базы данных учетных записей пользователей (Security Account Manager, SAM). После запуска скрипт форсирует включение политики, запрещающей делать удаленный вызов и использование SAM с целью перечисления списка членов домена (пользователей).
Чтобы запустить скрипт, будет достаточно распаковать его в любую удобную папку (к примеру, на том же диске C:\) и запустить от имени администратора в консоли PowerShell:
Вот так будет выглядеть старт исполнения SAMRi10:
А вот так — завершение работы скрипта:
Почему SAMRi10 так важен?
Существует ряд атак, которые проводятся на SAM с целью получить логины и хеши пользователя на локальной машине (например, отдельно стоящем контроллере домена). Более подробно о скрипте и теории безопасности SAM можно почитать на страничке GitHub.
Результаты получения списка членов домена (пользователей) до форсирования SAMRi10:
А вот результат той же команды, но уже после форсирования SAMRi10. Как мы видим, не авторизованным в группе админов членам домена запрещено получать список перечисления:
Microsoft отмечает, что использование SAMRi10 никак не помешает работе легитимных администраторов, и приводит пример, как DC на базе Windows Server 2016 будет реагировать на удаленные запросы к SAM в зависимости от привилегий учетной записи, сгенерировавшей этот запрос:
- Domain Admin account: запрос будет выполнен;
- Non-privileged User account: вызовет ошибку Access is denied;
- член группы Remote SAM Users: запрос будет выполнен.
Заключение
Первая часть нашего обзора лучших утилит аудита безопасности Windows. Мы рассмотрели самые популярное и широко используемые бесплатные и open source инструменты аудита безопасности десктопных и серверных версий Windows. С помощью этого нехитрого арсенала вы с легкостью сможете прочекать свой ноут или корпоративную серверную станцию на предмет исходной защищенности, а также, следуя советам и подсказкам, которые есть в части утилит, оттюнинговать и улучшить уровень защищенности (hardening state) Windows.
Скоро ждите вторую часть нашего обзора, в которой мы рассмотрим уже коммерческие версии инструментов аудита безопасности Windows — а они, как правило, обладают еще большими возможностями, функциями и фичами и наверняка будут полезны доменным ИТ-администраторам.
Еще по теме: Утилиты аудита безопасности Linux
— 14 min read
Table of Content
System auditing is the process of collecting and analyzing information about a computer’s use, events, and security. This information can be used to detect and prevent security breaches, troubleshoot problems, and ensure compliance with regulations and policies.
System auditing is important because it provides visibility into what is happening on a computer system. Without auditing, it is difficult to detect and respond to security threats and other issues.
System auditing is primarily used by organizations that need to ensure the security and reliability of their computer systems. This includes government agencies, financial institutions, and healthcare organizations.
There are several advantages to using free open-source auditing systems, including:
- Cost: Open-source software is typically free to use, which can be a significant cost savings for organizations.
- Customizability: Open-source software can be modified to meet specific needs, which can be especially important for organizations with unique requirements.
- Transparency: Because the source code is available, open-source software is often considered more transparent and trustworthy than proprietary software.
In this post, we offer you the best open-source free auditing solutions that you can use for free. However, some of these tools requires experiances to run install, configure and run.
1- OS X Auditor
OS X Auditor is a free Mac OS X computer forensics tool.
OS X Auditor parses and hashes the following artifacts on the running system or a copy of a system you want to analyze:
- the kernel extensions
- the system agents and daemons
- the third party’s agents and daemons
- the old and deprecated system and third party’s startup items
- the users’ agents
- the users’ downloaded files
- the installed applications
It extracts:
- the users’ quarantined files
- the users’ Safari history, downloads, topsites, LastSession, HTML5 databases and localstore
- the users’ Firefox cookies, downloads, formhistory, permissions, places and signons
- the users’ Chrome history and archives history, cookies, login data, top sites, web data, HTML5 databases and local storage
- the users’ social and email accounts
- the WiFi access points the audited system has been connected to (and tries to geolocate them)
GitHub — jipegit/OSXAuditor: OS X Auditor is a free Mac OS X computer forensics tool
OS X Auditor is a free Mac OS X computer forensics tool — GitHub — jipegit/OSXAuditor: OS X Auditor is a free Mac OS X computer forensics tool
GitHubjipegit
2- Lynis (macOS and Unix auditing)
Lynis is a security auditing tool for systems based on UNIX like Linux, macOS, BSD, and others. It performs an in-depth security scan and runs on the system itself. The primary goal is to test security defenses and provide tips for further system hardening.
It will also scan for general system information, vulnerable software packages, and possible configuration issues. Lynis was commonly used by system administrators and auditors to assess the security defenses of their systems. Besides the «blue team,» nowadays penetration testers also have Lynis in their toolkit.
Typical users of the software:
- System administrators
- Auditors
- Security officers
- Penetration testers
- Security professionals
GitHub — CISOfy/lynis: Lynis — Security auditing tool for Linux, macOS, and UNIX-based systems. Assists with compliance testing (HIPAA/ISO27001/PCI DSS) and system hardening. Agentless, and installation optional.
Lynis — Security auditing tool for Linux, macOS, and UNIX-based systems. Assists with compliance testing (HIPAA/ISO27001/PCI DSS) and system hardening. Agentless, and installation optional. — GitHu…
GitHubCISOfy
Lynis — Security auditing and hardening tool for Linux/Unix
Lynis is an open source security auditing tool. Part of Lynis Enterprise Suite, its main goal is to audit and harden Unix and Linux based systems.
CISOfyCISOfy
Mergen is an open-source, native macOS application for auditing and checking the security of your Mac. It scans your system for security issues based in the Center for Internet Security (CIS) Benchmark, and checks various settings and configurations related to security and privacy.
Mergen provides a comprehensive list of features to help secure Mac devices, including checking Gatekeeper and Secure Kernel Extension Loading status, disabling various sharing options, enabling automatic updates and security responses, and checking various settings related to time, location, and auditing.
GitHub — sametsazak/mergen: Mergen is an open-source, native macOS application for auditing and checking the security of your MacOS.
Mergen is an open-source, native macOS application for auditing and checking the security of your MacOS. — GitHub — sametsazak/mergen: Mergen is an open-source, native macOS application for auditin…
GitHubsametsazak
4- Knox (macOS)
A set of Tools to repurpose system auditing for non-security uses. Allows observability and introspection into processes and their lifecycle, granular file access, causes or sources of errors, info about networking use, and more. Based on macOS system auditing API «Basic Security Module» (aka BSM).
GitHub — kastiglione/knox: Know what’s happening via libbsm
Know what’s happening via libbsm. Contribute to kastiglione/knox development by creating an account on GitHub.
GitHubkastiglione
5- System Audit Script
A bash script that performs a quick system audit, outputs results to a file, and displays machine type, IP, hostname, DNS, memory, CPU, SUID files, and top 10 processes. The script will not run as root and will exit if executed as root.
GitHub — PKHarsimran/Terminal-bash-Programming-: A bash script that performs a quick system audit, outputs results to a file, and displays machine type, IP, hostname, DNS, memory, CPU, SUID files, and top 10 processes. The script will not run as root and will exit if executed as root.
A bash script that performs a quick system audit, outputs results to a file, and displays machine type, IP, hostname, DNS, memory, CPU, SUID files, and top 10 processes. The script will not run as…
GitHubPKHarsimran
6- Scout Suite (Cloud Auditing)
Scout Suite is an open source multi-cloud security-auditing tool, which enables security posture assessment of cloud environments. Using the APIs exposed by cloud providers, Scout Suite gathers configuration data for manual inspection and highlights risk areas. Rather than going through dozens of pages on the web consoles, Scout Suite presents a clear view of the attack surface automatically.
Scout Suite was designed by security consultants/auditors. It is meant to provide a point-in-time security-oriented view of the cloud account it was run in. Once the data has been gathered, all usage may be performed offline.
GitHub — nccgroup/ScoutSuite: Multi-Cloud Security Auditing Tool
Multi-Cloud Security Auditing Tool. Contribute to nccgroup/ScoutSuite development by creating an account on GitHub.
GitHubnccgroup
7- django-auditlog
django-auditlog (Auditlog) is a reusable app for Django that makes logging object changes a breeze. Auditlog tries to use as much as Python and Django’s built in functionality to keep the list of dependencies as short as possible. Also, Auditlog aims to be fast and simple to use.
Auditlog is created out of the need for a simple Django app that logs changes to models along with the user who made the changes (later referred to as actor). Existing solutions seemed to offer a type of version control, which was found excessive and expensive in terms of database storage and performance.
The core idea of Auditlog is similar to the log from Django’s admin. Unlike the log from Django’s admin (django.contrib.admin) Auditlog is much more flexible. Also, Auditlog saves a summary of the changes in JSON format, so changes can be tracked easily.
GitHub — jazzband/django-auditlog: A Django app that keeps a log of changes made to an object.
A Django app that keeps a log of changes made to an object. — GitHub — jazzband/django-auditlog: A Django app that keeps a log of changes made to an object.
GitHubjazzband
8- Audited
Audited (previously acts_as_audited) is an ORM extension that logs all changes to your models. Audited can also record who made those changes, save comments and associate models related to the changes.
GitHub — collectiveidea/audited: Audited (formerly acts_as_audited) is an ORM extension that logs all changes to your Rails models.
Audited (formerly acts_as_audited) is an ORM extension that logs all changes to your Rails models. — GitHub — collectiveidea/audited: Audited (formerly acts_as_audited) is an ORM extension that log…
GitHubcollectiveidea
9- Laravel auditing (PHP)
This package will help you understand changes in your Eloquent models, by providing information about possible discrepancies and anomalies that could indicate business concerns or suspect activities.
Laravel Auditing allows you to keep a history of model changes by simply using a trait. Retrieving the audited data is straightforward, making it possible to display it in various ways.
GitHub — owen-it/laravel-auditing: Record the change log from models in Laravel
Record the change log from models in Laravel. Contribute to owen-it/laravel-auditing development by creating an account on GitHub.
GitHubowen-it
10- SSH Auditor
ssh-auditor will automatically:
- Re-check all known hosts as new credentials are added. It will only check the new credentials.
- Queue a full credential scan on any new host discovered.
- Queue a full credential scan on any known host whose ssh version or key fingerprint changes.
- Attempt command execution as well as attempt to tunnel a TCP connection.
- Re-check each credential using a per credential
scan_interval— default 14 days.
GitHub — ncsa/ssh-auditor: The best way to scan for weak ssh passwords on your network
The best way to scan for weak ssh passwords on your network — GitHub — ncsa/ssh-auditor: The best way to scan for weak ssh passwords on your network
GitHubncsa
11- twa (Web)
A tiny web auditor with strong opinions.
GitHub — trailofbits/twa: A tiny web auditor with strong opinions.
A tiny web auditor with strong opinions. Contribute to trailofbits/twa development by creating an account on GitHub.
GitHubtrailofbits
12- Otseca
Open source security auditing tool to search and dump system configuration. It allows you to generate reports in HTML or RAW-HTML formats.
It is an ideal solution for:
- System admins
- Security researchers
- Security professionals
- Pentesters
- Hackers
GitHub — trimstray/otseca: Open source security auditing tool to search and dump system configuration. It allows you to generate reports in HTML or RAW-HTML formats.
Open source security auditing tool to search and dump system configuration. It allows you to generate reports in HTML or RAW-HTML formats. — GitHub — trimstray/otseca: Open source security auditing…
GitHubtrimstray
13- Rudder
Rudder is an easy to use, web-driven, role-based solution for IT Infrastructure Automation & Compliance.
Rudder is made of several components:
- A central server (written in Scala) that defines the configurations to apply and collects application reports, with a focus on continuously checking configurations and centralising real-time status data. A graphical builder lowers the technical level required to define policies. Each policy can be independently set to be automatically checked or enforced on a policy or host level.
- Agents installed on the managed nodes. As they are very lightweight (10 to 20 MB of RAM at peak) and blazingly fast (they are written in C and takes less than 10 seconds to verify 100 rules), they run on almost every kind of device, so you’ll be managing physical and virtual servers in the data center, cloud instances, and embedded IoT devices in the same way. Installation is self-contained, via a single package, and can auto-update to limit agent management burden.
- Relay servers (optional) that allows managing nodes in different networks, or on different site through a single entry point.
- Rudder is designed for critical environments where a security breach can mean more than a blip in the sales stats. Built-in features include change requests, audit logs, and strong authentication.
The workflow offers different users options at their own level:
- Non-expert users can define parameters in a central interface, and Rudder will automatically make sure that your IT services are installed, configured, running and in good health. All actions (checks, warnings, fixed errors…) are reported upon immediately in the user interface, keeping drift from nominal behaviour low.
- Expert users can configure how to implement these parameters on different systems, or build upon the pre-defined library provided using the CLI or API.
- Managers can consult compliance reports and access audit logs.
Rudder is an established project with several tens of thousands of managed nodes, in companies from small to biggest-in-their-field. Typical deployments manage 100s to 1000s of nodes. The biggest known deployments are about 10k nodes on a single Rudder server.
GitHub — Normation/rudder: Rudder is a configuration and security automation platform. Manage your Cloud, hybrid or on-premises infrastructure in a simple, scalable and dynamic way.
Rudder is a configuration and security automation platform. Manage your Cloud, hybrid or on-premises infrastructure in a simple, scalable and dynamic way. — GitHub — Normation/rudder: Rudder is a c…
GitHubNormation
14- Hardlog: Practical Tamper-Proof System Auditing Using a Novel Audit Device
Prototype source code for the Hardlog research paper, presented at IEEE S&P (Oakland) 2022. If you find this repository useful, please cite our paper/repository.
Hardlog requires two machines—audit device and host—connected through a USB-3.0 interface. While there are numerous machine configurations that should work, we provide below the specifications for machines that we tested with.
Audit Device
We used a RockPro64 development board, equipped with an RK3399 ARM CPU. The board came with 2 GB of main memory. We attached a 250 GB SSD (tested with WD SN550 and Samsung 950 Pro) using its PCIe interface. On the software side, the board was running Armbian 21.05 (Buster) with Linux v4.4.213. The details about building the correct software toolchain (including OS) is provided below.
Host
The host machine came with an Intel (c) Core i7-8700 x86 CPU with 16 GB of DDR4 memory. The host machine had a 512 GB SSD (Samsung 970 Pro), connected through PCIe 3. On the software side, the machine ran Elementary OS Hera 5.1.7 with Linux v5.4.97. We also partly tested with a vanilla Ubuntu 20.04 OS.
GitHub — microsoft/HardLog: Practical Tamper-Proof System Auditing
Practical Tamper-Proof System Auditing. Contribute to microsoft/HardLog development by creating an account on GitHub.
GitHubmicrosoft
15- go-audit
go-audit is an alternative to the auditd daemon that ships with many distros. After having created an auditd audisp plugin to convert audit logs to json, I became interested in creating a replacement for the existing daemon.
Goals
- Safe : Written in a modern language that is type safe and performant
- Fast : Never ever ever ever block if we can avoid it
- Outputs json : Yay
- Pluggable pipelines : Can write to syslog, local file, Graylog2 or stdout. Additional outputs are easily written.
- Connects to the linux kernel via netlink (info here and here)
GitHub — slackhq/go-audit: go-audit is an alternative to the auditd daemon that ships with many distros
go-audit is an alternative to the auditd daemon that ships with many distros — GitHub — slackhq/go-audit: go-audit is an alternative to the auditd daemon that ships with many distros
GitHubslackhq
16- Lunar Lockdown UNix Auditing and Reporting
This scripts generates a scored audit report of a Unix host’s security. It is based on the CIS and other frameworks. Where possible there are references to the CIS and other benchmarks in the code documentation.
Why a shell script? I wanted a tool that was able to run on locked down systems where other tools may not be available. I also wanted a tool that ran on all versions of UNIX. Having said that there are some differences between sh and bash, so I’ve used functions only from sh.
There is no warranty implied or given with this script. My recommendation is to use this script in audit mode only, and address each warning individually via policy, documentation and configuration management.
I am by no means a coder, so there are bound to be bugs and better ways to approach things in this script, so a sincere thank you to the people who have provided feedback, updates and patches to fix bugs/features in code.
Supported systems:
- Linux: RHL, CentOS, Sceintfic Linux, SLES, Debian, Ubuntu, Amazon Linux,
- Solaris
- macOS
- FreeBSD
- AIX
- ESXi
Windows support would require the installation of additional software, so I haven’t looked into it. Having said that, Windows support may come in the future via bash.
Supported services:
- AWS
- Docker
- Kubernetes (not complete)
- Apache (not complete)
GitHub — lateralblast/lunar: A UNIX security auditing tool based on several security frameworks
A UNIX security auditing tool based on several security frameworks — GitHub — lateralblast/lunar: A UNIX security auditing tool based on several security frameworks
GitHublateralblast
17- Prowler
Prowler is an Open Source security tool to perform AWS, GCP and Azure security best practices assessments, audits, incident response, continuous monitoring, hardening and forensics readiness.
It contains hundreds of controls covering CIS, NIST 800, NIST CSF, CISA, RBI, FedRAMP, PCI-DSS, GDPR, HIPAA, FFIEC, SOC2, GXP, AWS Well-Architected Framework Security Pillar, AWS Foundational Technical Review (FTR), ENS (Spanish National Security Scheme) and your custom security frameworks.
Prowler is licensed as Apache License 2.0 as specified in each file.
GitHub — prowler-cloud/prowler: Prowler is an Open Source Security tool for AWS, Azure and GCP to perform Cloud Security best practices assessments, audits, incident response, compliance, continuous monitoring, hardening and forensics readiness. Includes CIS, NIST 800, NIST CSF, CISA, FedRAMP, PCI-DSS, GDPR, HIPAA, FFIEC, SOC2, GXP, Well-Architected Security, ENS and more.
Prowler is an Open Source Security tool for AWS, Azure and GCP to perform Cloud Security best practices assessments, audits, incident response, compliance, continuous monitoring, hardening and fore…
GitHubprowler-cloud
- https://github.com/drduh/macOS-Security-and-Privacy-Guide
Why Application Security is Non-Negotiable
The resilience of your digital infrastructure directly impacts your ability to scale. And yet, application security remains a critical weak link for most organizations.
Application Security is no longer just a defensive play—it’s the cornerstone of cyber resilience and sustainable growth.
In this webinar, Karthik Krishnamoorthy (CTO of Indusface) and Phani Deepak Akella (VP of Marketing – Indusface), will share how AI-powered application security can help organizations build resilience by
Discussion points
Protecting at internet scale using AI and behavioral-based DDoS & bot mitigation.
Autonomously discovering external assets and remediating vulnerabilities within 72 hours, enabling secure, confident scaling.
Ensuring 100% application availability through platforms architected for failure resilience.
Eliminating silos with real-time correlation between attack surface and active threats for rapid, accurate mitigation
In today’s increasingly digital world, data security is of utmost importance. One powerful tool that helps maintain security is the Windows Security Auditing feature. This feature allows organizations to track and monitor various activities on their Windows systems, providing valuable insight into potential security threats and vulnerabilities.
When it comes to auditing, the Windows Security Auditing feature offers a wide range of capabilities. It can monitor user logon and logoff events, changes made to files and folders, successful and failed attempts to access resources, use of privileges and rights, and even network connections. By auditing these activities, organizations can identify suspicious behavior, detect unauthorized access attempts, and promptly respond to security incidents.
The Windows Security Auditing feature allows professionals to audit various activities on a Windows system. It enables the auditing of logon events, account management activities, object access, policy changes, privilege usage, and system events. By enabling auditing, professionals can monitor and track user activities, changes made to the system, and security events. This feature aids in the identification of potential security breaches and helps in maintaining system integrity and compliance with security standards.
Introduction to Windows Security Auditing Feature
The Windows Security Auditing feature is a powerful tool that allows system administrators to monitor and track activities on a Windows-based computer or network. It provides a detailed log of security-related events, which can be crucial for identifying potential security breaches, troubleshooting issues, and ensuring compliance with regulatory standards.
With the Windows Security Auditing feature, various aspects of a system’s security can be audited. This article will explore the different areas that can be audited using this feature, highlighting the importance and benefits of each.
User Account Management
User Account Management auditing is essential for tracking user activity, identifying suspicious or unauthorized access attempts, and ensuring accountability. By enabling auditing for user account management, administrators can monitor a range of events, including:
- Account creation and deletion
- Account lockouts
- Failed logon attempts
- Password changes
- Group membership changes
By auditing user account management, administrators can detect and respond to any suspicious activity promptly. This helps in enforcing user policies, identifying potential security threats, and maintaining the integrity of user accounts.
Recommended Configuration
To fully utilize the auditing capabilities of the Windows Security Auditing feature for user account management, it is recommended to enable auditing for the following object types:
| Object Type | Selected |
| User | Success, Failure |
| Group | Success, Failure |
By selecting the appropriate object types and auditing options, administrators can ensure that all relevant events related to user account management are recorded in the security logs.
Event Log Analysis
All audited user account management events are logged in the Windows Security Event Log. To effectively analyze this log, administrators can utilize event log management tools or perform manual analysis. By reviewing the logged events, administrators can:
- Identify potential security breaches
- Detect patterns of unauthorized access attempts
- Track user activity for compliance purposes
- Investigate user account lockouts and failed logon attempts
Regular event log analysis is a vital practice for maintaining the security of user accounts and identifying any potential security threats or breaches.
File and Folder Access
Auditing file and folder access is crucial for tracking and monitoring who has accessed or modified files and folders on a Windows system. It provides a crucial audit trail that can help in investigating data breaches, unauthorized access, and compliance violations. With file and folder access auditing, administrators can monitor:
- File and folder access
- Permission changes
- File and folder deletions
- File and folder modifications
By auditing file and folder access, administrators can maintain data integrity, detect unauthorized access attempts or modifications, and ensure compliance with data protection regulations.
Configuring File and Folder Auditing
To enable auditing for file and folder access, administrators need to configure the appropriate auditing settings. This can be done through the file or folder properties dialog in Windows Explorer. Recommended settings for auditing file and folder access include:
| Security Principal | Access Type | Audit Settings |
| Everyone | Success, Failure | Full Control |
| Administrators | Success, Failure | Full Control |
By configuring the auditing settings as recommended, administrators can ensure that all relevant file and folder access events are audited and logged for analysis.
Event Log Analysis and Monitoring
The events generated from file and folder auditing can be analyzed and monitored using event log management tools or by manually reviewing the Windows Security Event Log. This analysis enables administrators to:
- Detect unauthorized access attempts
- Identify patterns of file and folder modifications
- Investigate suspicious or unauthorized file deletions
- Ensure compliance with data protection regulations
Regular monitoring and analysis of the file and folder access events are essential for maintaining data security and detecting any potential breaches or compliance violations.
Logon and Logoff Events
Auditing logon and logoff events provides a comprehensive view of user activity and helps administrators detect unauthorized access attempts, potential security breaches, and anomalies in user behavior. By auditing logon and logoff events, administrators can track:
- Successful logons and logoffs
- Failed logon attempts
- Logon and logoff time
- Logon and logoff locations
Auditing logon and logoff events allows administrators to detect any unauthorized access attempts, identify potential security threats, and monitor user activity for compliance purposes.
Recommended Auditing Configuration
To effectively audit logon and logoff events, administrators should configure the appropriate auditing settings. The recommended auditing configuration for logon and logoff events includes:
| Logon/Logoff Event | Audit Settings |
| Successful logon/logoff | Success |
| Failed logon attempts | Failure |
By configuring the auditing settings as recommended, administrators can ensure that all relevant logon and logoff events are properly audited and recorded.
Analyzing Logon and Logoff Events
The logged logon and logoff events can be analyzed using event log management tools or by manually reviewing the Windows Security Event Log. By analyzing these events, administrators can:
- Detect unusual logon times or locations
- Investigate failed logon attempts
- Identify patterns of unauthorized logons
- Review logon durations and logoff times for compliance purposes
Regular analysis of logon and logoff events assists administrators in maintaining the security of the system and detecting any potential security breaches or violations.
Object Access
Auditing object access allows administrators to track and monitor access to various Windows objects, such as files, folders, registry keys, and printers. By auditing object access, administrators can gain insights into who accessed the objects, when they were accessed, and the type of access performed. This helps in:
- Detecting unauthorized access attempts
- Identifying potential security breaches
- Maintaining accountability
- Ensuring compliance with data protection regulations
Object access auditing provides a comprehensive audit trail for critical resources, allowing administrators to monitor and respond to any suspicious or unauthorized activity.
Configuring Object Access Auditing
To audit object access, administrators need to configure the appropriate auditing settings for each object. This can be done through the object’s properties in Windows Explorer or the Group Policy Editor. Recommended auditing settings for object access include:
| Security Principal | Access Type | Audit Settings |
| Everyone | Success, Failure | Full Control |
| Administrators | Success, Failure | Full Control |
By configuring the auditing settings as recommended, administrators can ensure that all relevant object access events are audited and recorded for analysis.
Analyzing Object Access Events
Object access events can be analyzed using event log management tools or by manually reviewing the Windows Security Event Log. By analyzing these events, administrators can:
- Detect unauthorized access attempts to critical objects
- Identify patterns of unauthorized access
- Review access times and types for compliance purposes
Regular analysis of object access events helps administrators maintain the security of critical resources and identify any potential security breaches or compliance violations.
Advanced Auditing Capabilities
In addition to the core auditing features discussed above, the Windows Security Auditing feature offers advanced capabilities that can further enhance the security of a Windows system. These advanced auditing features include:
- Process tracking: Auditing of process creation, termination, and modifications.
- Registry auditing: Auditing changes made to the Windows Registry.
- Account logon auditing: Auditing of account logon events.
- Policy change auditing: Auditing changes made to Windows security policies.
- Privilege use auditing: Auditing of user privileges and the use of certain rights.
Enabling and configuring these advanced auditing capabilities provides administrators with a comprehensive view of all critical aspects of system security, allowing them to effectively monitor and respond to potential security incidents.
Conclusion
What Can Be Audited Using the Windows Security Auditing Feature
The Windows Security Auditing Feature allows organizations to monitor and track various activities within their Windows operating system. This powerful tool ensures the security of sensitive data and helps identify potential security breaches. Here are some key areas that can be audited using this feature:
- Account Management: Windows Security Auditing can track changes made to user accounts, such as account creation, deletion, password changes, and group membership modifications. This helps identify any unauthorized access attempts or suspicious activities.
- Logon and Logoff Events: The feature can record logon and logoff events, including successful and failed attempts. This allows administrators to track user activity, detect unauthorized access, and troubleshoot login-related issues.
- Object Access: Windows Security Auditing can monitor access and modifications made to specific files, folders, and registry keys. This helps in identifying potential data breaches or unauthorized changes made to critical system components.
- Policy Changes: The feature can track changes made to security policies, group policies, and audit policies. This enables organizations to ensure compliance with security standards and detect any unauthorized policy modifications.
- Privilege Use: Windows Security Auditing records attempts to use elevated privileges, such as changing system time, accessing administrative tools, or running privileged commands. This helps in identifying misuse of administrative rights and potential security risks.
Key Takeaways
- Windows Security Auditing can be used to audit user logon and logoff activities.
- The Windows Security Auditing feature can track file and folder access and modifications.
- Events related to system and application activities can be audited using the Windows Security Auditing feature.
- Windows Security Auditing can help track changes made to user and group accounts.
- The Windows Security Auditing feature can monitor and record changes made to security policies.
Frequently Asked Questions
Here are some commonly asked questions about what can be audited using the Windows Security Auditing Feature:
1. Which events can be audited using the Windows Security Auditing Feature?
The Windows Security Auditing Feature allows you to audit a wide range of events, including logon events, object access, policy change, privilege use, system events, and detailed tracking of account logon activity.
You can choose which specific events to audit based on your organization’s security requirements and compliance regulations.
2. How can I enable auditing using the Windows Security Auditing Feature?
To enable auditing using the Windows Security Auditing Feature, you need to configure the Audit Policy settings in the Group Policy Management Console (GPMC) or through local security policy settings on individual Windows machines.
By enabling auditing, you can start tracking the events specified in the audit policies and collect the audit logs for analysis and monitoring purposes.
3. Can I filter and review the audit logs generated by the Windows Security Auditing Feature?
Yes, the Windows Security Auditing Feature provides the ability to filter and review the audit logs generated. You can use tools such as Event Viewer or centralized log management solutions to analyze and search for specific events based on various criteria including specific users, event types, or time ranges.
By reviewing the audit logs, you can identify potential security incidents, track user activity, and gain valuable insights into your organization’s security posture.
4. Are there any performance impacts when enabling auditing using the Windows Security Auditing Feature?
Enabling auditing using the Windows Security Auditing Feature can have some performance impacts, especially if you are auditing a large number of events or if your system resources are already under heavy usage.
It is recommended to carefully select the events to be audited and regularly monitor the system performance to ensure efficient operation.
5. How can I ensure the security and integrity of the audit logs generated by the Windows Security Auditing Feature?
To ensure the security and integrity of the audit logs generated by the Windows Security Auditing Feature, it is important to implement proper log management practices.
This includes protecting the audit logs from unauthorized access or tampering, implementing secure logging mechanisms, and regularly backing up and archiving the logs for future reference.
To conclude, the Windows Security Auditing feature is a powerful tool that allows users to monitor and track various activities on their Windows systems. With this feature, important security events such as login attempts, file accesses, and changes to system configurations can be audited and logged for analysis. This helps organizations detect and investigate potential security breaches, ensuring the protection of sensitive data and maintaining the integrity of their systems.
By enabling auditing and defining the appropriate audit policies, users can gain valuable insights into the security of their Windows environment. They can identify suspicious activities, track user behavior, and spot any anomalies that may indicate potential threats. With the ability to customize audit settings and generate detailed reports, the Windows Security Auditing feature empowers users to proactively monitor and enhance the security posture of their systems, contributing to a more robust and secure IT infrastructure.
Description
WINspect is part of a larger project for auditing different areas of Windows environments.
It focuses on enumerating different parts of a Windows machine to identify security weaknesses
and point to components that need further hardening.
Features
This current version of the script supports the following features :
- Checking for installed security products.
- Checking for DLL hijackability (Authenticated Users security context).
- Checking for User Account Control settings.
- Checking for unattended installs leftovers.
- Enumerating world-exposed local filesystem shares.
- Enumerating domain users and groups with local group membership.
- Enumerating registry autoruns.
- Enumerating local services that are configurable by Authenticated Users group members.
- Enumerating local services for which corresponding binary is writable by Authenticated Users group members.
- Enumerating non-system32 Windows Hosted Services and their associated DLLs.
- Enumerating local services with unquoted path vulnerability.
- Enumerating non-system scheduled tasks.
TODO-LIST
- Local Security Policy controls.
- Administrative shares configs.
- User-defined COM.
- Suspicious loaded DLLs.
- Established/listening connections.
- Exposed GPO scripts.
Supported Powershell Version
This version was tested in a powershell v2.0 environment.
Contributions
You are welcome to contribute and suggest any improvements.
If you want to point to an issue, Please file an issue.
Direct contributions
Fork the repository && File a pull request && You are good to go 
Need Help
If you have questions or need further guidance on using the tool, please file an issue.
License
This project is licensed under The GPL terms.
