TechTarget Italy & 01net Network SearchCIO.it SearchNetworking.it SearchSecurity.it 01net 01netCIO 01netPMI 01netTRADE 01netNETS iTechStudio Digifocus Applicando CIO Club IlSoftware
TechTarget Italia SearchCIO.it SearchNetworking.it Osservatorio Sicurezza
Cerca
in
I tool "segreti" per aumentare la sicurezza di Windows
Trucchi e suggerimenti
I tool "segreti" per aumentare la sicurezza di Windows
Non tutti sanno dell’esistenza di un set di strumenti che, avviati dalla linea di comando, consentono una gestione puntuale di diversi aspetti di security.
18 Settembre 2007

C'è un insieme di tool di sicurezza di Windows di cui si parla molto poco ma che risultano molto utili per gli amministratore di sistema e di security, sempre alla ricerca di strumenti efficaci per il lavoro quotidiano.

Stiamo parlando di una serie di ingegnosi tool della linea di comando che risultano estremamente validi praticamente in tutto il contesto della sicurezza delle informazioni. Il vantaggio di questi strumenti è che sono molto agili, veloci ed estremamente efficaci per ottenere rapidamente informazioni puntuali sull'architettura di sistema e di rete.

Per poterli usare, semplicemente cliccate su Start/Esegui, scrivete cmd.exe per avviare una sessione DOS e siete pronti per cominciare a digitare i comandi seguenti:

Tool di comando

Come usare questo comando per la sicurezza

dir

ping -a e ping -t per determinare i nomi degli host e se un guest è ancora attivo

tracert

tracert -d per determinare il modo in cui il vostro sistema sta comunicando con un host remoto

find

dir c:\ /s /b | find "SSN" per cercare nel disco fisso locale del testo specifico come “SSN”

findstr

findstr /s /i confidenziale *.* per cercare nella directory corrente e in tutte le sottodirectory un testo specifico come “confidenziale”

nslookup

nslookup -type=ANY domain_name per visualizzare tutti i record DNS di uno dominio specifico

nbtstat

nbtstat -A remote_host_IP_address per visualizzare nel NetBIOS di un sistema remoto una table name, il nome del computer, il domain name, il MAC address e possibilmente l'utente attualmente “loggato”

net
  1. net view hostname per visualizzare le condivisioni su un sistema remoto
  2. net account per visualizzare le policy degli user account locali al fine di verificare le password, ecc.
  3. net share per visualizzare le condivisioni locali
  4. net user per visualizzare i nomi degli utenti locali.

Quando usato con lo switch /add e uno username e una password, consente di aggiungere degli utenti al sistema locale (funziona ottimamente una volta che avete ottenuto un prompt di comando remoto usando Metaspoit durante il vostro test di sicurezza)

netsh

netsh interface ip set address name="Local Area Connection" static ip_address network_mask default_gateway per mettere a punto rapidamente un indirizzo IP statico nella vostra interfaccia di rete di default
netsh interface ip set address "Local Area Connection" dhcp per ottenere rapidamente le informazioni della configurazione IP via DHCP

netstat

netstat -a -o per determinare le connessioni UDP e TCP correntemente in uso assieme all'ID di processo che possiede ogni collegamento. Usatelo per identificare quale l'applicazione sta comunicando e con chi

Sc

sc stop service_name per arrestare un servizio di Windows
sc start service_name per iniziare un servizio di Windows

taskkill

taskkill /pid e il taskkill /im per eliminare i processi pendenti, come uno scanner di sicurezza o un potenziale malware caricato nella memoria

tasklist

tasklist /svc mostra i servizi connessi con ogni processo di Windows
tasklist /n dll_name mostra tutti i processi usando una DLL specifica
tasklist /fi /m "imagename eq process" mostra le DLL caricate in uno specifico processo di Windows

wmic

Windows Management Interface Command-line (WMIC) vi permette di controllare sia i sistemi locali sia quelli remoti. I comandi che riguardano per sicurezza includono:

  1. wmic /output:c:\temp\stuff.html process list /format:htable per la visualizzazione di tutti i processi attualmente funzionanti in una tabella HTML
  2. wmic /record:c:\temp\investigate.xml process list full per la registrazione dei vostri comandi. Per un eventuale indagine, scriveteli in un file come traccia che include la data, il tempo, il nome dell'utente, il comando digitato e e l'output ottenuto.
  3. wmic useraccount list full per la visualizzazione di una lista degli utenti sulla macchina locale
  4. wmic /user:userID /password:password /node:hostname share list full per la visualizzazione di una lista delle condivisioni sulla macchina remota (è richiesto l'accesso come amministratore)
  5. wmic qfe list full per la visualizzazione di una lista delle patch e dei pacchetti di servizio installati sulla macchina locale

 

Il Sole 24 ORE S.p.A.

Sede Legale in Milano, Via Monte Rosa, 91 - Sede Operativa: Via Carlo Pisacane, 1 - Pero (MI)

Partita Iva - Codice Fiscale 00777910159 - Dati societari