CN109165513B - 系统配置信息的巡检方法、装置和服务器 - Google Patents
系统配置信息的巡检方法、装置和服务器 Download PDFInfo
- Publication number
- CN109165513B CN109165513B CN201811071087.6A CN201811071087A CN109165513B CN 109165513 B CN109165513 B CN 109165513B CN 201811071087 A CN201811071087 A CN 201811071087A CN 109165513 B CN109165513 B CN 109165513B
- Authority
- CN
- China
- Prior art keywords
- inspection
- command
- item
- routing
- configuration information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007689 inspection Methods 0.000 title claims abstract description 434
- 238000000034 method Methods 0.000 title claims abstract description 77
- 238000004891 communication Methods 0.000 claims abstract description 30
- 230000000875 corresponding effect Effects 0.000 description 60
- 238000007726 management method Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 238000006243 chemical reaction Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种系统配置信息的巡检方法、装置和服务器;其中,该方法包括:在与目标设备建立通信连接后,逐一将目标设备的巡检项组中的每个巡检项作为当前巡检项;巡检项组中的每个巡检项包括巡检命令和该巡检命令对应的合规信息,巡检项组包含的巡检命令的类型为WMI类型、注册表类型和Secedit类型;执行当前巡检项中的巡检命令,得到目标设备的配置信息;根据当前巡检项中包括的合规信息和配置信息,生成当前巡检项的巡检结果;根据巡检项组中的每个巡检项的巡检结果生成目标设备的巡检结果。本公开通过多种类型的巡检命令可以得到目标设备较为完整的配置信息,实现对Windows设备的全面巡检,从而提高了系统安全性。
Description
技术领域
本公开涉及系统巡检技术领域,尤其是涉及一种系统配置信息的巡检方法、装置和服务器。
背景技术
为了提高终端对病毒木马等恶意软件的免疫力,需要有效封堵和修复终端的安全漏洞。通过符合规范的安全配置,可以限制或禁止存在安全隐患的漏洞被恶意软件利用,从而提高系统的安全保护功能,增强终端抵抗安全风险的能力。
工程师可以逐台手动校验终端的安全配置,但是当终端数量较多时,这种方式费时费力且效率低下。另一种方式中可以通过终端操作系统中预留的交互接口获取系统的配置信息,如Windows操作系统中的WMI(Windows Management Instrumentation,Windows管理规范)命令和CMD(Command,命令提示符)命令,进而对获取到的配置信息进行安全数据处理;但是这种方式获取到的配置信息有限,难以对系统进行全面巡检,影响系统的安全性。
发明内容
有鉴于此,本公开的目的在于提供一种系统配置信息的巡检方法、装置和服务器,以得到目标设备较为完整的配置信息,实现对Windows设备的全面巡检,从而提高系统安全性。
为了实现上述目的,本公开采用的技术方案如下:
第一方面,本公开提供了一种系统配置信息的巡检方法,该方法应用于服务器,该方法包括:在与目标设备建立通信连接后,逐一将目标设备的巡检项组中的每个巡检项作为当前巡检项;其中,目标设备为与服务器通信连接的Windows设备,巡检项组中的每个巡检项包括巡检命令和该巡检命令对应的合规信息,巡检项组包含的巡检命令的类型为WMI类型、注册表类型和Secedit类型;执行当前巡检项中的巡检命令,得到目标设备的配置信息;根据当前巡检项中包括的合规信息和配置信息,生成当前巡检项的巡检结果;根据巡检项组中的每个巡检项的巡检结果生成目标设备的巡检结果。
第二方面,本公开提供了一种系统配置信息的巡检装置,该装置设置于服务器,该装置包括:当前巡检项确定模块,用于在与目标设备建立通信连接后,逐一将目标设备的巡检项组中的每个巡检项作为当前巡检项;其中,目标设备为与服务器通信连接的Windows设备,巡检项组中的每个巡检项包括巡检命令和该巡检命令对应的合规信息,巡检项组包含的巡检命令的类型为WMI类型、注册表类型和Secedit类型;命令执行模块,用于执行当前巡检项中的巡检命令,得到目标设备的配置信息;第一结果生成模块,用于根据当前巡检项中包括的合规信息和配置信息,生成当前巡检项的巡检结果;第二结果生成模块,用于根据巡检项组中的每个巡检项的巡检结果生成目标设备的巡检结果。
第三方面,本公开提供了一种服务器,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现上述系统配置信息的巡检方法。
第四方面,本公开提供了一种机器可读存储介质,机器可读存储介质存储有机器可执行指令,机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现上述系统配置信息的巡检方法。
上述系统配置信息的巡检方法、装置和服务器,巡检项组中巡检命令的类型包含为WMI类型、注册表类型和Secedit类型;服务器与目标设备建立通信连接后,逐一将目标设备的巡检项组中的每个巡检项作为当前巡检项,并执行巡检项中的巡检命令,从而得到目标设备的配置信息;再根据巡检项中包括的合规信息和该配置信息,生成巡检项的巡检结果,进而得到目标设备的巡检结果。该方式通过多种类型的巡检命令可以得到目标设备较为完整的配置信息,实现对Windows设备的全面巡检,从而提高了系统安全性。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施方式,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施方式提供的一种系统配置信息巡检的硬件环境示意图;
图2为本公开实施方式提供的一种系统配置信息的巡检方法的流程图;
图3为本公开实施方式提供的另一种系统配置信息的巡检方法的流程图;
图4为本公开实施方式提供的另一种系统配置信息的巡检方法中,Secedit类型的巡检命令的执行流程图;
图5为本公开实施方式提供的另一种系统配置信息的巡检方法的流程图;
图6为本公开实施方式提供的一种系统配置信息的巡检装置的结构示意图;
图7为本公开实施方式提供的一种服务器的结构示意图。
具体实施方式
为使本公开实施方式的目的、技术方案和优点更加清楚,下面将结合附图对本公开的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本公开一部分实施方式,而不是全部的实施方式。基于本公开中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本公开保护的范围。
在企事业单位和个人日常办公的PC(Personal Computer,个人计算机)电脑、服务器等终端中,Windows操作系统目前占据主流市场,因此,本实施方式中将安装有Windows操作系统的设备(简称Windows设备)作为待巡检的目标设备;对安装其他操作系统设备的巡检方式与之类似。
为了便于理解,如图1所示的系统配置信息巡检的硬件环境的示意图,其中,图1中的服务器为执行巡检任务的服务器,该服务器与各类待巡检的目标设备(包括Windows主机、Windows PC机和其他Windows设备等)连接在同一网络中,服务器与目标设备之间通过通信协议连通。通常,该服务器还配置有一个数据库,该数据库用于存储与执行巡检任务相关的数据,服务器通过这些数据对目标设备的系统配置信息进行巡检,该巡检过程也可以称为合规巡检。
上述合规巡检属于对目标设备的安全配置进行检查,通过预先定义的合规信息与当前目标设备中系统的配置信息进行比较,判断该目标设备的配置是否合乎规定,根据判断结果确定当前配置信息的巡检通过或巡检失败。
而现有的合规巡检通常采用WMI命令和CMD命令,由于WMI命令受到自身的局限性,需要使用命名空间进行相关命令的分组或者划分,通常仅能获取默认命令空间(如命名空间/root/cimv2)或者某些单一命名空间中的配置信息,使得获取到的配置信息有限、不够全面;而通过CMD命令获取目标设备的配置信息时,可以从注册表中获取到大部分的配置信息,但仍有部分配置信息无法通过注册表进行获取,如本地策略及组策略中数据;因此,通过CMD命令获取配置信息,并对系统巡检的方式依然不够全面,影响系统的安全性。
基于上述问题,本公开实施方式提供了一种系统配置信息的巡检方法、装置和服务器;该技术可以应用于对各类目标设备进行配置信息巡检的过程中,下面进行具体描述。
本公开实施方式首先提供一种系统配置信息的巡检方法,该方法应用于服务器,如图2所示,该方法包括如下步骤:
步骤S202,在与目标设备建立通信连接后,逐一将目标设备的巡检项组中的每个巡检项作为当前巡检项;其中,目标设备为与服务器通信连接的Windows设备,巡检项组中的每个巡检项包括巡检命令和该巡检命令对应的合规信息,该巡检项组包含的巡检命令的类型为WMI类型、注册表类型和Secedit类型;
由上文可知,WMI命令和CMD命令(该CMD命令属于注册表类型的巡检命令的一种)都仅能获取到系统的一部分配置信息;为了获取较为完整的目标设备的配置信息,本实施方式中将巡检项中的巡检命令的类型划分为WMI类型、注册表类型和Secedit类型;根据各种配置信息的属性、存储方式等参数,选择对应类型的巡检命令,从而使各类巡检命令相互配合,获取完整的配置信息。
其中,WMI类型的巡检命令主要用于获取指定命名空间中的配置信息,本实施方式中,还可以设置命名空间的选择接口,通过该选择接口可以使工程师根据客户的巡检需求选择特定的命名空间,如用户自定义的命名空间;上述注册表类型的巡检命令用于获取注册表中的配置信息;Secedit类型的巡检命令主要用于获取与本地安全策略与组策略相关的配置信息,以补充WMI类型和注册表类型的巡检命令无法获得配置信息。
步骤S204,执行当前巡检项中的巡检命令,得到目标设备的配置信息。
具体地,可以根据该巡检命令的命令类型执行该巡检命令;在实际实现时,服务器的数据库中可能预先保存有多种巡检命令,这些巡检命令根据命令类型划分为多组,如WMI类型组、注册表类型组和Secedit类型组;因此,当某一巡检命令对应的巡检项被添加至目标设备的巡检项组时,根据巡检命令来源于哪个类型组,服务器即可获知该巡检命令的命令类型;另外,该巡检命令中还可以设置有命令类型的标识,根据该标识识别巡检命令的命令类型;进而再根据该命令类型执行该巡检命令。
步骤S206,根据当前巡检项中包括的合规信息和上述配置信息,生成当前巡检项的巡检结果。
具体可以对合规信息和配置信息进行比对、运算等多种方式得到当前巡检项的巡检结果;其中一种方式中,获取到配置信息后,将该配置信息与对应的合规信息进行比对,如果配置信息符合合规信息,则当前巡检项的巡检结果为通过;如果配置信息不符合合规信息,则当前巡检项的巡检结果为失败。
例如,当前巡检项中,巡检命令获取的配置信息为目标设备的账户密码的修改时间,合规信息为小于180天;如果巡检命令获取到的配置信息为:账户密码修改时间为30天,说明该配置信息符合合规信息,该巡检项的巡检结果为通过;而如果获取到的配置信息为:账户密码修改时间为200天,说明该配置信息不符合合规信息,该巡检项的巡检结果为失败。
步骤S208,根据巡检项组中的每个巡检项的巡检结果生成目标设备的巡检结果。
当目标设备的巡检组中包含多个巡检项时,可以根据巡检项的排列顺序,逐一执行各个巡检项;每个巡检项执行完毕后,其对应的巡检结果可以保存在缓存区中,当巡检项组中所有的巡检项执行完毕后,汇聚所有的巡检项的巡检结果作为该目标设备的巡检结果;例如,该目标设备的巡检结果可能包含Windows日志配置、Windows口令配置、Windows账户配置、Windows组策略配置等多种配置信息的巡检结果。另外,该目标设备的巡检结果还可以包含对各项巡检项的巡检结果的统计结果,例如,该目标设备的巡检通过率,以及该目标设备的配置信息修复建议等。该目标设备的巡检结果可以以PDF文档或其他文档类型进行保存并供用户下载。
上述系统配置信息的巡检方法,巡检项组中巡检命令的类型划分为WMI类型、注册表类型和Secedit类型;服务器与目标设备建立通信连接后,逐一将目标设备的巡检项组中的每个巡检项作为当前巡检项,并执行巡检项中的巡检命令,从而得到目标设备的配置信息;再根据巡检项中包括的合规信息和该配置信息,生成巡检项的巡检结果,进而得到目标设备的巡检结果。该方式通过多种类型的巡检命令可以得到目标设备较为完整的配置信息,实现对Windows设备的全面巡检,从而提高了系统安全性。
本公开实施方式还提供另一种系统配置信息的巡检方法,该方法在上述实施方式基础上实现,该实施方式中的巡检方法中,重点描述了不同类型的巡检命令的具体执行过程;如图3所示,该方法具体包括如下步骤:
步骤S302,提供巡检项列表供用户选择;其中,该巡检项列表中的巡检项包括WMI类型的巡检命令、注册表类型的巡检命令和Secedit类型的巡检命令,以及各个巡检命令对应的合规信息。
步骤S304,将用户选择的巡检项组合为目标设备的巡检项组。
服务器中可以预先安装有系统配置信息的巡检系统;该巡检系统中设置有可供工程师操作的交互面板;该交互面板可以分区域地显示上述WMI类型、注册表类型和Secedit类型这三种类型巡检命令;工程师根据目标设备的巡检需求,从不同区域中显示的巡检命令中选择需要的巡检命令,并整理至指定的位置区域中;而巡检命令与合规信息相互关联,当巡检命令被选出并添加至巡检项组中时,该巡检命令对应的合规信息也添加至巡检项组中;巡检命令和对应的合规信息组合成一个巡检项。
巡检项是进行配置合规巡检的最小单元,一个巡检项代表一个配置检查项,配置了巡检命令和合规信息(也可以称为安全阈值),通过运行巡检命令可获取当前Windows系统中配置信息(也可以称为配置值),合规信息存放符合标准的安全值,该安全值作为衡量系统配置信息是否符合安全的标准。巡检项是与Windows系统交互的最小单元。
除上述采用自定义的方式为目标设备设置巡检项组之外,工程师还可以提前配置目标设备与巡检项组的对应关系;尤其是对于较为典型类型的目标设备,例如,PC机,其巡检需求通常相类似,工程师可以为该目标设备或该类型的目标设备预先配置巡检项组;当需要对该目标设备进行巡检时,选定该目标设备,即可自动获得巡检项组。当然,上述自定义巡检项组和自动获得巡检项组的方式还可以相互结合,例如,当工程师选定目标设备时,自动获得默认的巡检项目组,工程师再根据目标设备的实际需求,基于该巡检项目组进行修改,从而得到该目标设备对应的巡检项组。
为了保证巡检效率,设置的巡检项组可以对同一类、或安全配置需求相同的多台目标设备(该目标设备也可以称为待巡检的Windows设备系统或Windows对象)进行巡检,根据预设的顺序逐一巡检各台目标设备。
步骤S306,获取目标设备的IP地址,与目标设备建立通信连接;获取该目标设备的账户和密码,登录目标设备的操作系统,得到该系统的访问权限和操作权限。
服务器可以通过ping扫描或其他通信方式与目标设备建立通信连接;例如,服务器首先对待巡检的目标设备的IP地址发送ping扫描命令,如果接收到目标设备的回应信息,说明该目标设备在线,并与服务器成功建立通信连接。
管理员在对设定范围内的目标设备进行管理和监控时,通常会记录该目标设备的IP地址,以及该目标设备的系统账户和密码(该系统账户和密码具体可以为目标设备的管理员账户和管理员密码),形成一个目标设备的信息列表;执行巡检任务的服务器可以通过该信息列表获取目标设备的IP地址、账户和密码等信息,以通过IP地址与目标设备建立通信连接,通过账户和密码登录目标设备的操作系统,获得系统的访问和操作权限。通常,只要目标设备和服务器连接在同一网络中,即可实现二者之间的通信连接;例如,服务器设置在城市A,目标设备设置在城市B,二者通过因特网连接;服务器获取到目标设备的IP地址后,即可ping通目标设备。
为了能够顺利建立通信连接,目标设备通常需要开启以下服务:COM+事件系统服务(COM+Event System)、远程访问自动联机管理器(Remote Access Auto ConnectionManager)、远程访问连接管理器(Remote Access Connection Manager)、远程过程调用(Remote Procedure Call,简称RPC)、远程过程调用定位器(Remote Procedure CallLocator)、远程注册表服务(Remote Registry)、Server服务、Windows管理规范(WindowsManagement Instrumentation)、Windows管理工具驱动程序扩展服务(WindowsManagement Instrumentation Driver Extensions)、WMI性能适配器(WMI PerformanceAdapter)、工作站(Workstation)等;同时,目标设备还需要设置Windows防火墙允许远程控制,以便Windows配置合规巡检系统的服务器与目标设备连接正常。服务器与目标设备建立通信连接后,下面开始执行巡检项组中的各个巡检项。
步骤S308,设置i的初始值为1,其中,i为巡检项组中各个巡检项的顺序标识。
步骤S310,将巡检项组中第i个巡检项作为当前巡检项。
步骤S312,根据预先存储的巡检命令与命令类型的对应关系,确定当前巡检项中的巡检命令的命令类型;如果当前巡检项中的巡检命令为WMI类型的巡检命令,执行步骤S314;如果当前巡检项中的巡检命令为注册表类型的巡检命令,执行步骤S316;如果当前巡检项中的巡检命令为Secedit类型的巡检命令,执行步骤S318。
上述巡检命令与命令类型的对应关系可以通过多种方式获得;例如,如上文中所述,工程师在巡检项列表中选择目标设备的巡检命令时,服务器可以自动识别该巡检项中的巡检命令是从哪个类型组选择的,根据类型组确定该巡检命令的命令类型,具体还可以通过某一标识符标识该巡检命令的命令类型。在执行上述步骤S312时,通过标识符即可获知当前巡检项中的巡检命令的命令类型。
在另外一种方式中,不同命令类型的巡检命令通常具有指定的命令格式,或者命令中携带有指定的内容;例如,WMI类型的巡检命令通常以“SELECT”开头,注册表类型的巡检命令通常以“reg query”开头,Secedit类型的巡检命令通常以“Secedit”开头;通过识别巡检命令开头的关键字,即可知当前巡检项中的巡检命令的命令类型。
步骤S314,提取巡检命令中的命名空间和WQL(WMI Query Language,Windows管理规范查询语言)命令语句;应用WQL命令语句查询目标设备的命名空间中的配置信息;执行步骤S324。
WMI类型的巡检命令是核心的Windows管理技术,作为一种规范和基础结构,通过WMI命令可以访问、配置、管理和监视目标设备上几乎所有的Windows资源。为了便于管理,目标设备的配置信息可能分布在不同的命名空间中;巡检命令中的命名空间通常是待获取的配置信息所属的命名空间;如果命名空间设置错误,则无法查询到对应的配置信息。上述WQL命令语句以SELECT开头,SELECT后跟随待查询的配置信息的属性名;通过该属性名,即可查询得到对应的配置信息。
步骤S316,提取巡检命令中的注册表项路径和注册表项标识;按照注册表项路径和注册表项标识查询目标设备,得到注册表项标识对应的注册表项的配置信息;执行步骤S324。
注册表类型的巡检命令以“reg query”开头,该“reg query”后紧跟上述注册表项路径;该注册表项路径后追加字符“/v/f”,该字符后追加上述注册表项标识,最后以字符串“/e”结尾。其中,“/v”、“/f”和“/e”都是通过reg命令管理注册表的命令参数;具体地,“/v”代表的是指定的注册表项的查询;“/f”代表的是一种强制模式开关,如果添加了“/f”,即指定了搜索数据或搜索模式,且无需向用户提示相关信息;例如,当“/v”和“/f”连用时(即上述“/v/f”),代表只在指定的注册表项标识下搜索,且无需返回提示信息;“/v/f”后添加的就是该指定的注册表项标识。“/e”代表只返回完全匹配,即该巡检命令返回的结果需要与上述注册表项标识完全匹配,如果不添加“/e”,则默认返回的是与该注册表项标识完全匹配和部分匹配的所有匹配结果。
通过该巡检命令即可从注册表中查找到注册表项标识对应的注册表项的配置信息。
例如,一种注册表类型的巡检命令:reg query HKEY_LOCAL
_MACHINE\SYSTEM\CurrentControlSet\Services/v/f
"TcpMaxHalfOpenRetried"/e。
其中,“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”是注册表项路径;"TcpMaxHalfOpenRetried"是注册表项标识。该注册表项标识对应的注册表项的配置信息是:发送了一次重传的SYN_RCVD状态中的TCP连接阈值。上述巡检命令中,“/v/f”后面的"TcpMaxHalfOpenRetried"就是指定的注册表项标识,“/v/f”代表的是指在该"TcpMaxHalfOpenRetried"的注册表项标识下进行搜索,且无需返回提示信息。“/e”代表的是该巡检命令返回的信息需要与该"TcpMaxHalfOpenRetried"的注册表项标识完全匹配。
通过上述注册表类型的巡检命令可以方便快捷地获取注册表项相关的配置信息。
步骤S318,提取巡检命令中的配置文件名和巡检关键字;
Secedit类型的巡检命令属于Windows NT系列中的命令,是Windows系统中组策略工具的命令行版本,通过跟一个组策略模板比较来配置分析系统组策略安全。Secedit类型的巡检命令通常以“Secedit”开头,Secedit后追加字符“/export”,该字符代表导出目标设备的组策略安全数据库;/export后紧跟导出的文件名,该文件名的前缀可以由工程师预先设置,该文件名的后缀通常为“.cfg”,即该文件为cfg类型的文件;当然,导出的配置文件还可以设置为其他类型,此时文件名的后缀改用对应格式即可。文件名之后,再追加字符“/find”,/find后即上述巡检关键字。
例如,一种Secedit类型的巡检命令:Secedit/export/cfg imc_cci_secws.cfg/find PasswordHistorySize;其中,cfg imc_cci_secws.cfg是配置文件名,PasswordHistorySize是巡检关键字。通过该巡检命令可以得到的配置信息是目标设备当前Windows系统组策略配置中设置的“强制密码历史个数”信息。
步骤S320,导出目标设备中的组策略安全数据库为配置文件,该配置文件命名为上述配置文件名;
通常,目标设备中仅存在一个组策略安全数据库,该数据库的文件类型为SDB文件,命名通常为“secedit.sdb”;而Secedit类型的巡检命令就是针对组策略安全数据库相关的执行命令,因此通过上述Secedit类型的巡检命令中的“/export”字符,即可导出该组策略安全数据库。
步骤S322,如果上述巡检关键字中包含有账户信息,将该账户信息转换为SID(Security Identify,安全标识符)标示符格式的巡检关键字;并在上述配置文件中查找各个巡检关键字对应的配置信息。
由组策略安全数据库导出的配置文件中通常包含下述六部分内容:编码规则、系统访问策略、审核策略、注册表值、用户权限分配和版本信息;各部分内容中的每条配置信息通过“A=B”的形式表达,配置文件中可以通过Map<A,B>的数据结构形式存放该配置信息。其中,A代表该配置信息的策略,B代表该策略对应的信息;例如,系统访问策略中的配置信息:MinimumPasswordLength=7,可以表示成:
Map<MinimumPasswordLength,7>;其中,“MinimumPasswordLength”即该条配置信息中的策略,“7”是该策略对应的信息;该配置信息表达的是当前目标设备的密码长度的最小值为7个字符。
在大多情况下,配置信息中的信息通过上述数值的形式表达;该数值形式的配置信息可以直接与巡检项中的合规信息进行对比,无需进一步的转化处理;而在目标设备的Windows界面中,这些数值可能会被转化成汉字或英文进行展示,例如,数值“0”对应的是“失败”,数值“1”对应的是“成功”等,这些根据数值代表的默认含义进行转化即可,不影响本实施方式中的巡检过程。
但是对于用户权限分配中的配置信息,通常用SID标示符表示;每个SID标示符代表一个账户信息。用户在首次创建该账户信息时,目标设备或管理该目标设备的服务器为该账户信息分配一个SID标示符,该SID标示符可以唯一地标识该账户信息,进而保存该SID标示符与账户信息的对应关系。因此,通过调用相应的命令从目标设备中调取账户信息与SID标示符的对应关系,从而可以从该对象关系中查找到巡检关键字为账户信息时,该账户信息对应的SID标示符,再将该账户信息替换为查找到的SID标示符。例如当前巡检命令为对用户权限分配中的配置信息进行巡检,此时巡检关键字中包含有账户信息为“张三”的巡检关键字,因此在查找该巡检关键字对应的配置信息之前,查找“张三”对应的SID标示符为S-1-5-32-545,将“张三”转换为S-1-5-32-545,巡检命令再基于S-1-5-32-545查找配置信息,完成该巡检命令。
一条配置信息中的信息可以包含有多个SID标示符;SID标示符通常以“*S”开头,例如,一种配置信息的示例为:
SeNetworkLogonRight=*S-1-1-0,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551;该配置信息可以以Map<SeNetworkLogonRight,*S-1-1-0,*S-1-5-32-544,*S-1-5-32-545,*S-1-5-32-551>的形式进行存储。
当然,作为另一种可行的实现方式,也可以先检查上述配置文件中是否包含SID标示符,如果包含,将配置文件中的SID标示符转换为对应的账户信息。若不包含,则维持配置文件不变。再使用上述巡检关键字查找该配置文件,得到各个巡检关键字对应的配置信息。这种方式可以使配置文件的可读性更强,检查配置文件中是否包含SID标示符的开销相比于转换巡检关键字中的账户信息为SID标示符的方式,会略大些。
通过上述Secedit类型的巡检命令,将组策略安全数据库导出为配置文件,再从配置文件中获取配置信息,该方式可以避免直接访问组策略安全数据库对数据库中数据进行篡改的可能性,防止恶意命令或误操作命令导致目标设备系统宕机或数据丢失,保证了巡检过程不会对目标设备的系统安全造成影响。
步骤S324,根据巡检项中包括的合规信息和上述配置信息,生成巡检项的巡检结果;
步骤S326,判定i是否等于N;N为巡检项组中巡检项的总数;如果否,执行步骤S328;如果是,执行步骤S330;
步骤S328,i=i+1,执行步骤S310;
步骤S330,根据巡检项组中的每个巡检项的巡检结果生成目标设备的巡检结果。
另外,在配置目标设备的巡检项组或者执行巡检项组中各类巡检命令执行过程中,服务器或目标设备可以对巡检命令进行检测,当检测到巡检命令中带有删除、篡改、伪造等对目标设备的系统安全产生危害的敏感命令时,生成告警信息以提供工程师,确保输入至目标设备的巡检命令的合法性与正确性。
上述系统配置信息的巡检方法中,服务器与目标设备建立通信连接后,逐一将目标设备的巡检项组中的每个巡检项作为当前巡检项,并确定当前巡检项中的巡检命令的命令类型;根据命令类型,执行该巡检命令,从而得到目标设备的配置信息;再根据巡检项中包括的合规信息和该配置信息,生成巡检项的巡检结果,进而得到目标设备的巡检结果。该方式通过多种类型的巡检命令可以得到目标设备较为完整的配置信息,实现对Windows设备的全面巡检,从而提高了系统安全性。
本公开实施方式还提供另一种系统配置信息的巡检方法,该方法在上述实施方式基础上实现,该方法进一步描述Secedit类型的巡检命令的执行过程以及对SID标示符的转换过程。
Secedit类型的巡检命令通过字符“/find”划分为两部分,前一部分为包含Secedit开头、字符“/export”和配置文件名,后一部分包含字符“/find”和巡检关键字。其中,前一部分可以由后台系统自动执行,执行结果为得到组策略安全数据库的cfg类型的配置文件;后一部分中字符“/find”代表的命令由本实施方式自定义得到,通过执行“/find”可以从配置文件中查询得到巡检关键字对应的配置信息。
如图4所示,本实施方式中的系统配置信息的巡检方法中,Secedit类型的巡检命令的执行步骤包括:
步骤S402,解析Secedit类型的巡检命令,得到该巡检命令的前一部分和后一部分;其中,前一部分包括配置文件名;后一部分包括巡检关键字;
如果一条巡检命令中需要巡检的配置项有多个,则可以配置多个巡检关键字,各个巡检关键字之间可以通过逗号分隔。例如:当前巡检命令中需要对张三、李四的账户进行巡检,则可以配置巡检关键字为“张三,李四”。
步骤S404,执行该巡检命令的前一部分,得到上述配置文件名命名的目标设备中组策略安全数据库的cfg类型的配置文件;
步骤S406,执行该巡检命令的后一部分,判断上述巡检关键字是否包含账户信息;如果是,执行步骤S408;如果否,执行步骤S412。
步骤S408,通过预存的SID标示符与账户信息的对应关系,确定上述账户信息对应的SID标示符,该账户信息替换为对应的SID标示符,以该SID标示符作为该账户信息的巡检关键字,然后执行步骤S412。
步骤S412,在上述配置文件中查找各个巡检关键字对应的配置信息,并绑定存储巡检关键字与对应的配置信息。
绑定存储配置信息与对应的巡检关键字时,可以通过Map<A,B>的数据结构形式存放该配置信息,Map结构中的A为巡检关键字(Key)的存放内容,Map结构中的B为该巡检关键字A对应的配置信息。
上述方式中描述了Secedit类型的巡检命令的具体执行过程,以及配置信息中账户信息转换为SID标示符的过程。通常,Windows操作系统的账户包含用户账户和用户组账户,因此上述账户信息也包括用户账户信息和用户组账户信息两种;为了得到上述SID标示符与账户信息的对应关系,需要通过不同的CMD命令从对应的位置获取SID标示符与用户账户信息的对应关系,以及SID标示符与用户组账户信息的对应关系;基于此,上述SID标示符与账户信息的对应关系,具体通过下述方式获得:
步骤1,构建存放SID标示符与用户账户信息的对应关系,以及存放SID标示符与用户组账户信息的对应关系的数据结构;该数据结构可以为Map<SID标示符,用户账户信息>,Map<SID标示符,用户组账户信息>。
步骤2,调用CMD命令:wmic group get name,sid,该CMD命令用于得到SID标示符与用户组账户信息,并保存至上述对应的数据结构中;
步骤3,调用CMD命令:wmic useraccount get name,sid,该CMD命里用于得到SID标示符与用户账户信息,并保存至上述对应的数据结构中。
通过上述步骤可以得到SID标示符与账户信息的对应关系,在执行Secedit类型的巡检命令时,可以查询该对应关系转换配置信息中的SID标示符。
上述实施方式中,具体描述了WMI类型的巡检命令、注册表类型的巡检命令和Secedit类型的巡检命令的具体执行过程,以及对配置信息中SID标示符的转换过程;下述实施方式中,进一步描述对获取到的配置信息进行比对并生成巡检结果的过程;如图5所示,该方法包括如下步骤:
步骤S502,提供巡检项列表供用户选择;将用户选择的巡检项组合为目标设备的巡检项组。
步骤S504,获取目标设备的IP地址,与目标设备建立通信连接;获取该目标设备的账户和密码,登录目标设备的操作系统,得到该系统的访问权限和操作权限。
步骤S506,设置j的初始值为1,其中,j为巡检项组中各个巡检项的顺序标识。
步骤S508,将巡检项组中第j个巡检项作为当前巡检项。
步骤S510,根据预先存储的巡检命令与命令类型的对应关系,确定当前巡检项中的巡检命令的命令类型;如果当前巡检项中的巡检命令为WMI类型的巡检命令,执行步骤S512;如果当前巡检项中的巡检命令为注册表类型的巡检命令,执行步骤S514;如果当前巡检项中的巡检命令为Secedit类型的巡检命令,执行步骤S516。
步骤S512,提取巡检命令中的命名空间和WQL(WMI Query Language,Windows管理规范查询语言)命令语句;应用WQL命令语句查询目标设备的命名空间中的配置信息;执行步骤S522。
步骤S514,提取巡检命令中的注册表项路径和注册表项标识;按照注册表项路径和注册表项标识查询目标设备,得到注册表项标识对应的注册表项的配置信息;执行步骤S522。
步骤S516,提取巡检命令中的配置文件名和巡检关键字。
步骤S518,导出目标设备中的组策略安全数据库为配置文件,该配置文件命名为上述配置文件名。
步骤S520,在配置文件中查找巡检关键字对应的配置信息。
步骤S522,提取该巡检项中包括的合规信息,该合规信息包括规则内容和匹配规则;
根据不同配置信息的属性,巡检项的合规信息中可以封装多种信息,如规则内容和匹配规则;举例而言,规则内容为“A”,匹配规则为“等于”;当配置信息为“A”时,该配置信息与规则内容的关系为相等,该关系与合规信息中的匹配规则相符,因此,该巡检项对该配置信息的巡检结果即为通过;而当配置信息为“B”时,该配置信息与规则内容的关系为不相等,该关系与合规信息中的匹配规则不相符,因此,该巡检项对该配置信息的巡检结果即为失败。
具体地,合规信息中的规则内容可以理解为符合巡检规则的内容数据;匹配规则包括空、包括、不包括、等于、大于等于、小于等于、不等于和正则匹配等;对于某些巡检项,合规信息中还可以包含关系类型,该关系类型包括“且关系”、“或关系”等。该关系类型与上述匹配规则可以组合成多种规则类型。
步骤S524,比对配置信息与规则内容是否符合匹配规则;如果是,步骤S526;如果否,步骤S528;
步骤S526,设置该巡检项的巡检结果为通过巡检,执行步骤S530。
步骤S528,设置该巡检项的巡检结果为巡检失败。
例如,某一巡检项中的巡检命令为:Secedit/export/cfg imc_cci_secws.cfg/find SeNetworkLogonRight;下述表1为该巡检项中的合规信息,该合规信息仅包含规则内容和匹配规则,关系类型为空。
表1
| 关系类型 | 规则内容 | 匹配规则 |
| Backup Operators | 等于 |
上述巡检命令为Secedit类型的巡检命令,将目标设备中的组策略安全数据库导出为配置文件cfg imc_cci_secws.cfg;再从该配置文件中查找巡检关键字SeNetworkLogonRight对应的配置信息。根据上述合规信息,如果该巡检关键字对应的配置信息与上述规则内容“Backup Operators”相等,即可确定该巡检项巡检通过;如果不相等,该巡检项巡检失败。
对于合规信息中的关系类型,可以适用于配置信息中包含有多个数据的情况;多个数据之间经关系类型运算后,运算结果与上述规则内容的关系是否与匹配规则相符,如果相符,该巡检项对该配置信息的巡检结果即为通过;例如,关系类型为“和”,规则内容为“C”,匹配规则为“小于”;如果配置信息中包含有两个数据,分别为数值范围1和数值范围2;数值范围1和数值范围2经“和”运算后,得到数值范围3;判断该数值范围3是否小于规则内容“C”,如果小于,该巡检项对该配置信息的巡检结果即为通过;如果数值范围3中存在一个数值不小于规则内容“C”,可以判定该巡检项对该配置信息的巡检结果失败。
当前巡检项巡检结束后,可以将对应的巡检结果进行缓存,然后进入下一个巡检项的巡检过程。
步骤S530,判定i是否等于N;N为巡检项组中巡检项的总数;如果否,执行步骤S532;如果是,执行步骤S534;
步骤S532,i=i+1,执行步骤S508;
步骤S534,根据巡检项组中的每个巡检项的巡检结果生成目标设备的巡检结果。
上述系统配置信息的巡检方法中,巡检项的合规信息中包括规则内容和匹配规则,如果巡检命令获取到的配置信息与该规则内容的关系符合该匹配规则,则当前巡检项巡检通过;如果不符合,则当前巡检项巡检失败,从而生成当前巡检项的巡检结果,进而得到目标设备的巡检结果。该方式通过多种类型的巡检命令可以得到目标设备较为完整的配置信息,实现对Windows设备的全面巡检,从而提高了系统安全性。
上述实施方式中,服务器可以逐个执行目标设备的巡检项组中的巡检项,从而得到该目标设备的巡检结果;服务器还可以预先设置当前巡检的目标设备组,逐一对组中的每台目标设备进行巡检,每台目标设备预先配置巡检项组;如果目标设备类型相同,这些目标设备也可以共用同一巡检项组;相对于逐台目标设备巡检的方式,自动对多台目标设备巡检可以进一步提高巡检效率。
需要说明的是,上述各方法实施方式均采用递进的方式描述,每个实施方式重点说明的都是与其他实施方式的不同之处,各个实施方式之间相同相似的部分互相参见即可。
对应于上述方法实施方式,参见图6所示的一种系统配置信息的巡检装置的结构示意图,该装置设置于服务器,该装置包括:
当前巡检项确定模块60,用于在与目标设备建立通信连接后,逐一将目标设备的巡检项组中的每个巡检项作为当前巡检项;其中,目标设备为与服务器通信连接的Windows设备,巡检项组中的每个巡检项包括巡检命令和该巡检命令对应的合规信息,巡检项组中的巡检命令的类型为WMI类型、注册表类型和Secedit类型;
命令执行模块61,用于执行当前巡检项中的巡检命令,得到目标设备的配置信息;
第一结果生成模块62,用于根据当前巡检项中包括的合规信息和配置信息,生成当前巡检项的巡检结果;
第二结果生成模块63,用于根据巡检项组中的每个巡检项的巡检结果生成目标设备的巡检结果。
上述系统配置信息的巡检装置,巡检项组中巡检命令的类型划分为WMI类型、注册表类型和Secedit类型;服务器与目标设备建立通信连接后,逐一将目标设备的巡检项组中的每个巡检项作为当前巡检项,并执行巡检项中的巡检命令,从而得到目标设备的配置信息;再根据巡检项中包括的合规信息和该配置信息,生成巡检项的巡检结果,进而得到目标设备的巡检结果。该方式通过多种类型的巡检命令可以得到目标设备较为完整的配置信息,实现对Windows设备的全面巡检,从而提高了系统安全性。
进一步地,上述装置还包括:列表提供模块,用于提供巡检项列表供用户选择;其中,巡检项列表中的巡检项包括WMI类型的巡检命令、注册表类型的巡检命令和Secedit类型的巡检命令,以及各个的巡检命令对应的合规信息;巡检项组确定模块,用于将用户选择的巡检项组合为目标设备的巡检项组。
进一步地,上述命令执行模块还用于:根据预先存储巡检命令与命令类型的对应关系,确定当前巡检项中的巡检命令的命令类型;按照确定的命令类型执行当前巡检项中的巡检命令。
进一步地,上述命令执行模块还用于:如果当前巡检项中的巡检命令为Secedit类型的巡检命令,提取巡检命令中的配置文件名和巡检关键字;导出目标设备中的组策略安全数据库为配置文件,该配置文件命名为上述配置文件名;如果所述巡检关键字中包含有账户信息,将所述账户信息转换为SID标示符格式的巡检关键字;在该配置文件中查找各个巡检关键字对应的配置信息。
进一步地,上述命令执行模块还用于:如果当前巡检项中的巡检命令为WMI类型的巡检命令,提取巡检命令中的命名空间和WQL命令语句;应用WQL命令语句查询目标设备的命名空间中的配置信息;或者,如果当前巡检项中的巡检命令为注册表类型的巡检命令,提取巡检命令中的注册表项路径和注册表项标识;按照注册表项路径和注册表项标识查询目标设备,得到注册表项标识对应的注册表项的配置信息。
进一步地,上述第一结果生成模块还用于:提取巡检项中包括的合规信息,合规信息包括规则内容和匹配规则;比对配置信息与规则内容是否符合匹配规则;如果是,设置巡检项的巡检结果为通过巡检。
本实施方式提供了一种与上述方法实施方式相对应的服务器。图7为该服务器的结构示意图,如图7所示,该设备包括处理器701和存储器700;其中,存储器700用于存储一条或多条计算机指令,一条或多条计算机指令被处理器执行,以实现上述系统配置信息的巡检方法。
图7所示的服务器还包括总线702和通信接口703,处理器701、通信接口703和存储器700通过总线702连接。该服务器可以是网络边缘设备。
其中,存储器700可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。总线702可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
通信接口703用于通过网络接口与至少一个用户终端及其它网络单元连接,将封装好的IPv4报文或IPv6报文通过网络接口发送至用户终端。
处理器701可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器701中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器701可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processor,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施方式中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施方式所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器700,处理器701读取存储器700中的信息,结合其硬件完成前述实施方式的方法的步骤。
本发明实施方式还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,该机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现上述系统配置信息的巡检方法,具体实现可参见方法实施方式,在此不再赘述。
本发明实施方式所提供的服务器,其实现原理及产生的技术效果和前述方法实施方式相同,为简要描述,装置实施方式部分未提及之处,可参考前述方法实施方式中相应内容。
在本申请所提供的几个实施方式中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施方式仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施方式的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
最后应说明的是:以上所述实施方式,仅为本公开的具体实施方式,用以说明本公开的技术方案,而非对其限制,本公开的保护范围并不局限于此,尽管参照前述实施方式对本公开进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,其依然可以对前述实施方式所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本公开实施方式技术方案的精神和范围,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应所述以权利要求的保护范围为准。
Claims (14)
1.一种系统配置信息的巡检方法,其特征在于,所述方法应用于服务器,所述方法包括:
在与目标设备建立通信连接后,逐一将所述目标设备的巡检项组中的每个巡检项作为当前巡检项;其中,所述目标设备为与所述服务器通信连接的Windows设备,所述巡检项组中的每个巡检项包括巡检命令和该巡检命令对应的合规信息,所述巡检项组包含的巡检命令的类型为WMI类型、注册表类型和Secedit类型;
执行所述当前巡检项中的巡检命令,得到所述目标设备的配置信息;
根据所述当前巡检项中包括的合规信息和所述配置信息,生成所述当前巡检项的巡检结果;
根据所述巡检项组中的每个巡检项的巡检结果生成所述目标设备的巡检结果。
2.根据权利要求1所述的方法,其特征在于,所述逐一将当前巡检项组中的每个巡检项作为当前巡检项的步骤之前,还包括:
提供巡检项列表供用户选择;其中,所述巡检项列表中的巡检项包括WMI类型的巡检命令、注册表类型的巡检命令和Secedit类型的巡检命令,以及各个所述的巡检命令对应的合规信息;
将所述用户选择的巡检项组合为所述目标设备的巡检项组。
3.根据权利要求1所述的方法,其特征在于,执行所述当前巡检项中的巡检命令的步骤包括:
根据预先存储的巡检命令与命令类型的对应关系,确定所述当前巡检项中的巡检命令的命令类型;
按照确定的所述命令类型执行所述当前巡检项中的巡检命令。
4.根据权利要求1所述的方法,其特征在于,执行所述当前巡检项中的巡检命令的步骤包括:
如果所述当前巡检项中的巡检命令为Secedit类型的巡检命令,提取所述巡检命令中的配置文件名和巡检关键字;
导出所述目标设备中的组策略安全数据库为配置文件;所述配置文件命名为所述配置文件名;
如果所述巡检关键字中包含有账户信息,将所述账户信息转换为SID标示符格式的巡检关键字;
在所述配置文件中查找各个所述巡检关键字对应的配置信息。
5.根据权利要求1所述的方法,其特征在于,执行所述当前巡检项中的巡检命令的步骤包括:
如果所述当前巡检项中的巡检命令为WMI类型的巡检命令,提取所述巡检命令中的命名空间和WQL命令语句;应用所述WQL命令语句查询所述目标设备的所述命名空间中的配置信息;
或者,
如果所述当前巡检项中的巡检命令为注册表类型的巡检命令,提取所述巡检命令中的注册表项路径和注册表项标识;按照所述注册表项路径和注册表项标识查询所述目标设备,得到所述注册表项标识对应的注册表项的配置信息。
6.根据权利要求1-5任一项所述的方法,其特征在于,根据所述巡检项中包括的合规信息和所述配置信息,生成所述巡检项的巡检结果的步骤包括:
提取所述巡检项中包括的合规信息,所述合规信息包括规则内容和匹配规则;
比对所述配置信息与所述规则内容是否符合所述匹配规则;
如果是,设置所述巡检项的巡检结果为通过巡检。
7.一种系统配置信息的巡检装置,其特征在于,所述装置设置于服务器,所述装置包括:
当前巡检项确定模块,用于在与目标设备建立通信连接后,逐一将所述目标设备的巡检项组中的每个巡检项作为当前巡检项;其中,所述目标设备为与所述服务器通信连接的Windows设备,所述巡检项组中的每个巡检项包括巡检命令和该巡检命令对应的合规信息,所述巡检项组包含的巡检命令的类型为WMI类型、注册表类型和Secedit类型;
命令执行模块,用于执行所述当前巡检项中的巡检命令,得到所述目标设备的配置信息;
第一结果生成模块,用于根据所述当前巡检项中包括的合规信息和所述配置信息,生成所述当前巡检项的巡检结果;
第二结果生成模块,用于根据所述巡检项组中的每个巡检项的巡检结果生成所述目标设备的巡检结果。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
列表提供模块,用于提供巡检项列表供用户选择;其中,所述巡检项列表中的巡检项包括WMI类型的巡检命令、注册表类型的巡检命令和Secedit类型的巡检命令,以及各个所述的巡检命令对应的合规信息;
巡检项组确定模块,用于将所述用户选择的巡检项组合为所述目标设备的巡检项组。
9.根据权利要求7所述的装置,其特征在于,所述命令执行模块还用于:
根据预先存储的巡检命令与命令类型的对应关系,确定所述当前巡检项中的巡检命令的命令类型;
按照确定的所述命令类型执行所述当前巡检项中的巡检命令。
10.根据权利要求7所述的装置,其特征在于,所述命令执行模块还用于:
如果所述当前巡检项中的巡检命令为Secedit类型的巡检命令,提取所述巡检命令中的配置文件名和巡检关键字;
导出所述目标设备中的组策略安全数据库为配置文件;所述配置文件命名为所述配置文件名;
如果所述巡检关键字中包含有账户信息,将所述账户信息转换为SID标示符格式的巡检关键字;
在所述配置文件中查找各个所述巡检关键字对应的配置信息。
11.根据权利要求7所述的装置,其特征在于,所述命令执行模块还用于:
如果所述当前巡检项中的巡检命令为WMI类型的巡检命令,提取所述巡检命令中的命名空间和WQL命令语句;应用所述WQL命令语句查询所述目标设备的所述命名空间中的配置信息;
或者,
如果所述当前巡检项中的巡检命令为注册表类型的巡检命令,提取所述巡检命令中的注册表项路径和注册表项标识;按照所述注册表项路径和注册表项标识查询所述目标设备,得到所述注册表项标识对应的注册表项的配置信息。
12.根据权利要求7-11任一项所述的装置,其特征在于,所述第一结果生成模块还用于:
提取所述巡检项中包括的合规信息,所述合规信息包括规则内容和匹配规则;
比对所述配置信息与所述规则内容是否符合所述匹配规则;
如果是,设置所述巡检项的巡检结果为通过巡检。
13.一种服务器,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1至6任一项所述的方法。
14.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1至6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811071087.6A CN109165513B (zh) | 2018-09-13 | 2018-09-13 | 系统配置信息的巡检方法、装置和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811071087.6A CN109165513B (zh) | 2018-09-13 | 2018-09-13 | 系统配置信息的巡检方法、装置和服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109165513A CN109165513A (zh) | 2019-01-08 |
| CN109165513B true CN109165513B (zh) | 2021-08-06 |
Family
ID=64879295
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811071087.6A Active CN109165513B (zh) | 2018-09-13 | 2018-09-13 | 系统配置信息的巡检方法、装置和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109165513B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111491002B (zh) * | 2019-01-29 | 2023-12-05 | 杭州海康威视系统技术有限公司 | 设备巡检方法、装置、被巡检设备、巡检服务器及系统 |
| CN111679291B (zh) * | 2020-06-17 | 2022-12-06 | 四川智动木牛智能科技有限公司 | 基于三维激光雷达的巡检机器人目标定位配置方法 |
| CN115334142A (zh) * | 2022-08-05 | 2022-11-11 | 阿里云计算有限公司 | 设备信息采集方法、设备迁移方法、装置、设备及介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8607328B1 (en) * | 2005-03-04 | 2013-12-10 | David Hodges | Methods and systems for automated system support |
| CN102663298B (zh) * | 2012-04-06 | 2014-12-17 | 北京空间飞行器总体设计部 | 面向终端计算机的安全在线检查系统 |
| CN102902919B (zh) * | 2012-08-30 | 2015-11-25 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN107231267B (zh) * | 2016-03-25 | 2023-01-17 | 中兴通讯股份有限公司 | 一种通讯网络巡检的方法、装置及巡检客户端 |
| CN106776185A (zh) * | 2016-12-26 | 2017-05-31 | 中国建设银行股份有限公司 | 计算机设备硬件巡检方法及装置 |
| CN108062470A (zh) * | 2017-12-13 | 2018-05-22 | 广东电网有限责任公司电力科学研究院 | 一种计算机信息安全加固方法 |
-
2018
- 2018-09-13 CN CN201811071087.6A patent/CN109165513B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109165513A (zh) | 2019-01-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| CN111209565B (zh) | 水平越权漏洞检测方法、设备及计算机可读存储介质 | |
| US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN109800258B (zh) | 数据文件部署方法、装置、计算机设备及存储介质 | |
| CN109165513B (zh) | 系统配置信息的巡检方法、装置和服务器 | |
| CN107147671B (zh) | 一种基于网站路由访问权限控制方法、访问方法及系统 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US20170034200A1 (en) | Flaw Remediation Management | |
| CN110943984B (zh) | 一种资产安全保护方法及装置 | |
| CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN111835737B (zh) | 基于自动学习的web攻击防护方法、及其相关设备 | |
| CN112131577A (zh) | 一种漏洞检测方法、装置、设备及计算机可读存储介质 | |
| CN112579997B (zh) | 一种用户权限配置方法、装置、计算机设备及存储介质 | |
| CN113704772A (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
| CN113923008B (zh) | 一种恶意网站拦截方法、装置、设备及存储介质 | |
| CN113472798B (zh) | 一种网络数据包的回溯解析方法、装置、设备及介质 | |
| CN111752819A (zh) | 一种异常监控方法、装置、系统、设备和存储介质 | |
| CN108959659A (zh) | 一种大数据平台的日志接入解析方法和系统 | |
| CN110278123B (zh) | 检查方法、装置、电子设备及可读存储介质 | |
| CN111385253B (zh) | 一种面向配电自动化系统网络安全的脆弱性检测系统 | |
| CN114969450B (zh) | 一种用户行为分析方法、装置、设备及存储介质 | |
| KR102514214B1 (ko) | 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 | |
| US11784996B2 (en) | Runtime credential requirement identification for incident response |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230615 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |