Windows应急流程及实战演练

windows 应急流程及实战演练 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。   常见的应急响应事件分类： web 入侵：网页挂马、主页篡改、Webshell 系统入侵：病毒木马、勒索软件、远控后门 网络攻击：DDOS 攻击、DNS 劫持、ARP 欺骗 针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些 Window 服务器入侵排查的思路。 0x01 入侵排查思路 一、检查系统账号安全 1、查看服务器是否有弱口令，远程管理端口是否对公网开放。 检查方法： 据实际情况咨询相关服务器管理员。 2、查看服务器是否存在可疑账号、新增账号。 检查方法： 打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。 3、查看服务器是否存在隐藏账号、克隆账号。 检查方法： a、打开注册表