分析技术安全评估结果的最佳方法是什么？

Question

我想在我公司的客户端计算机上进行一次技术安全评估，重点是Windows 10。

到目前为止，我的想法是在客户机上执行几个Powershell脚本，并将结果收集到一个中心点。例如，Powershell脚本应该分析当前版本的防病毒签名，列出已安装的软件或本地用户。

最后，我想回答以下问题：“哪些客户端有旧版本的防病毒数据库？”、“哪些客户端安装了未经授权的软件？”、“哪些客户端有未经授权的本地用户？”等等，我也想看看趋势，所以我想存储日志文件的时间依赖。

分析这样的日志文件的最好方法是什么？我需要像日志管理工具这样的工具吗?还是说它太好了？或者，是否存在用于这一目的的现有软件？你会如何解决这个问题？

Answer 1

我觉得你想做的是漏洞扫描。我知道Nessus有识别病毒定义是否过时的功能：

Nessus将生成一个发现，如果扫描目标有一个反病毒代理部署与病毒检测规则过时。我们经常收到特性请求，要求我们允许客户设置一个宽限期(以天为单位)，以避免生成此警报。本周，在“反病毒软件检查”标题下增加了这样一种偏好：

来源：https://www.tenable.com/blog/keeping-anti-virus-in-check

我并不主张或反对Nessus作为漏洞扫描器，但这听起来像是您正在寻找的东西。

powershell的想法在理论上是好的，但在实践中却是相当糟糕的。如何确保您所管理的每个工作站都成功运行脚本和报告？

Answer 2

你的方法不是最好的。如果您希望您的公司windows 10安全，购买并安装一个适当的杀毒软件，确保他们有最新的数据库。通过域控制器(如windows、update等)执行安全选项。

如果不是您的公司邮箱，您不应该信任它们，并将它们的访问限制在最低限度，很可能是在单独的LAN上。这种做法是“正常的”。

此外，分析不同的框集是非常复杂和难以自动化的，而且没有工具可以做到。

当你有一个反病毒在所有他们，你有工具来控制他们从中央控制台。如果你有不同的抗病毒，那么你就没有这样的控制。