借助PowerShell脚本维护系统安全

PowerShell命令是系统管理中非常便捷有效的工具。近日，笔者发现了一组PowerShell脚本文件，它们对于系统安全维护颇具实用价值，笔者在此要借花献佛了。

精简管理组用户

系统管理组用户过多会为系统造成隐患。此时想要清理其中的冗余人员，可以借助一个脚本文件完成这项工作。执行该脚本，可以一次性去掉多台机器上本地管理组中的多位用户。此时我们只需要编写两个文本文件，在一个文本中编写排列好准备清理的各用户名称，在另一个文本中给出机器名单，然后下载该脚本文件。

下载完成后，对该脚本文件进行两处修改：一是将其中变量 $Computernames替换为含有机器名称的文本文件名称；二是将其中的变量$Admins替换为含有用户名单的文本文件名称，之后执行即可。

严格控制SAM 访问

SAM文件记录了电脑里用户的用户名和密码，但也造成系统的隐患，黑客试图借助SAMR协议通过远程方式进行SAM访问，从而为以后的不轨做准备。TechNet近日提供了一个脚本文件SAMRi10工具，它适用于Windows 10 & Windows Server 2016，用于阻止用户进行SAM 远程访问。

阻止NetSessionEnum访问

NetSessionEnum意 即“网络会话记录”，在系统默认时所有审核通过的用户都可以对其访问从而获取有关机器名、用户名、会话时间以及IP地址等信息。TechNet上的脚本文件Net Cease则是要取消这种访问，并对特定的会话sessions增加了审核。

探测系统潜在的安全隐患

TechNet上有一个脚本文件，可以对所有域控制器内的机器的事件记录“event logs”进行检测，从而发现哪些机器存在着异常登录情况，从而及早发现异情，让管理员采取及时采取相应的补救措施。该脚本适用于Windows 7及以上版本。

另外，TechNet还有一个脚本文件可以检测系统是否存在Malware以及是否存在新的自动运行文件。

检测本地管理组动态

黑客经常通过某种方式，设法混入到本地管理组Local admin groups中而未能引起注意，为此TechNet提供了一个脚本文件，它可对远程机器进行周期性巡问，如某机器中 的本地管理组发生变化就会通过邮件方式进行反馈。

了解本地及远程防病毒工具

TechNet上的一个脚本文件，可以了解本地及远程机器上防病毒工具的详情，包括杀毒工具的名称、版本号以及当前的运行状况。

切换UAC等级

UAC可对UAC等级进行设置和切换，具体有：Low（不作任何提示）、Medium（有应用对计算机系统修改但未显示变灰时提示）、Default（有应用对计算机系统进行修改并会显示变灰时提示）、High（任何变化均提示）。

取消已删除账户的文件SID

当账户从活动目录删除后，文件系统中有关的SID并不会自动消失。从而造成某种安全隐患，利用脚本文件可将其SID全部清理。