Windows系统信息收集

网络配置信息收集

网络配置信息收集

ipconfig /all

用户列表配置收集

用户列表配置收集

net user
net localgroup administrators
query user ||qwinsta

进程列表信息收集

进程列表信息收集

tasklist /v
wmic process list brief

操作系统&软件信息收集

操作系统&软件信息收集

systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"
wmic product get name,version
powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"

端口列表信息收集

端口列表信息收集

netstat –ano

补丁列表信息收集

补丁列表信息收集

systeminfo
wmic qfe get description,installedOn

本机共享信息收集

本机共享信息收集

net share
wmic share get name,path,status

防火墙配置信息收集

防火墙配置信息收集: 关闭防火墙

Windows Server 2003系统及之前版本
netsh firewall set opmode disable

Windows Server 2003之后系统版本
netsh advfirewall set allprofiles state off

查询防火墙相关配置 查看防火墙配置
netsh firewall show config

自定义防火墙日志储存位置
netsh advfirewall set currentprofile logging filename "C:\windows\temp\fw.log"

修改防火墙配置 Windows Server 2003系统及之前版本,允许指定程序全部连接

netsh firewall add allowedprogram c:\nc.exe "allow nc" enable


Windows Server 2003之后系统版本
允许指定程序连入

netsh advfirewall firewall add rule name="pass nc" dir=in action=allow program="C:\\nc.exe"


允许指定程序连出

netsh advfirewall firewall add rule name="Allow nc" dir=out action=allow program="C:\\nc.exe"


允许3389端口放行

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

查询并开启远程连接服务

查询并开启远程连接服务 查询3389服务状态

* REG query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
* REG query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
* REG query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumberREG query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumberset /a Port=0xd3d


Windows Server 2008和Windows Server 2012开启3389方法
* wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1
* wmic /namespace:\\root\cimv2\terminalservices path win32_tsgeneralsetting where (TerminalName='RDP-Tcp') call setuserauthenticationrequired 1
* reg add "HKLM\SYSTEM\CURRENT\CONTROLSET\CONTROL\TERMINAL SERVER" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f


Windows Server 2003开启3389方法
* wmic path win32_terminalservicesetting where (__CLASS !="") call setallowtsconnections 1

任务计划信息收集

任务计划信息收集

at
schtasks /query /fo LIST /v