基于PowerShell的windows安全基线检查开发——审核
2017-10-11 本文已影响160人
Magicknight
这次使用PowerShell实现windows server 2008、2012上的审核策略
secedit /export /cfg model.inf
$tmpContent = Get-Content model.inf
for ($i=0; $i -le $tmpContent.length; $i++)
{
if($tmpContent[$i] -like 'Audit*')
{
if($tmpContent[$i] -like 'AuditAccountLogon = *')
{
if($tmpContent[$i] -like 'AuditAccountLogon = 3')
{
"审核帐户登录事件: Passed"
}else{
"审核帐户登录事件: Failed"
}
}
elseif($tmpContent[$i] -like 'AuditAccountManage = *')
{
if($tmpContent[$i] -like 'AuditAccountManage = 3')
{
"审核帐户管理: Passed"
}else{
"审核帐户管理: Failed"
}
}
elseif($tmpContent[$i] -like 'AuditProcessTracking = *')
{
if($tmpContent[$i] -like 'AuditProcessTracking = 3')
{
"审计目录服务访问: Passed"
}else{
"审计目录服务访问: Failed"
}
}
elseif($tmpContent[$i] -like 'AuditLogonEvents = *')
{
if($tmpContent[$i] -like 'AuditLogonEvents = 3')
{
"审核登录事件: Passed"
}else{
"审核登录事件: Failed"
}
}
elseif($tmpContent[$i] -like 'AuditPolicyChange = *')
{
if($tmpContent[$i] -like 'AuditPolicyChange = 3')
{
"审核策略更改: Passed"
}else{
"审核策略更改: Failed"
}
}
elseif($tmpContent[$i] -like 'AuditDSAccess = *')
{
if($tmpContent[$i] -like 'AuditDSAccess = 3')
{
"审核特权使用: Passed"
}else{
"审核特权使用: Failed"
}
}
elseif($tmpContent[$i] -like 'AuditObjectAccess = *')
{
if($tmpContent[$i] -like 'AuditObjectAccess = 3')
{
"审核对象访问: Passed"
}else{
"审核对象访问: Failed"
}
}
elseif($tmpContent[$i] -like 'AuditSystemEvents = *')
{
if($tmpContent[$i] -like 'AuditSystemEvents = 3')
{
"审核系统事件: Passed"
}else{
"审核系统事件: Failed"
}
}
}
}
Remove-Item model.inf -Recurse -Force -ErrorAction:Continue```
