在 ISO 27001 資安稽核 Windows 系統時,通常會使用以下常見的 Command 指令來檢查系統的安全狀態:
✅ 檢查 Windows 版本與更新狀態
winver
systeminfo
wmic qfe list full /format:table
✅ 列出所有使用者帳戶
net user
✅ 檢查使用者群組與權限
net localgroup
net localgroup Administrators
net localgroup "Remote Desktop Users"
✅ 檢查特定使用者的詳細資訊
net user <帳戶名稱>
✅ 檢查最近登入的使用者
quser
✅ 查看遠端登入紀錄
query user
✅ 檢查帳戶鎖定原則
net accounts
✅ 檢查密碼策略
net accounts /domain
✅ 檢查密碼策略 (透過 Local Security Policy)
secedit /export /cfg C:\temp\secpol.cfg && type C:\temp\secpol.cfg
✅ 檢查 Active Directory 帳戶 (適用於 AD 環境)
powershell
Get-ADUser -Filter * -Property Name,Enabled,LastLogonDate | Select-Object Name,Enabled,LastLogonDate
✅ 檢查所有網路連線
netstat -ano
✅ 檢查開放的連接埠
netstat -an | findstr LISTENING
✅ 檢查 DNS 設定
ipconfig /all
✅ 檢查目前的網路分享
net share
✅ 檢查防火牆規則
netsh advfirewall firewall show rule name=all
✅ 檢查遠端桌面狀態
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections
✅ 檢查是否啟用了 Telnet 服務 (安全性風險)
sc query telnet
✅ 檢查 Windows Defender 狀態
sc query windefend
✅ 檢查是否啟用了 BitLocker 磁碟加密
manage-bde -status
✅ 檢查失敗的登入嘗試
wevtutil qe Security "/q:*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4625)]]" /c:10 /f:text /rd:true
✅ 檢查成功的登入記錄
wevtutil qe Security "/q:*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4624)]]" /c:10 /f:text /rd:true
✅ 列出已安裝的應用程式
wmic product get name,version
✅ 列出系統開機時執行的程式 (可疑自啟動項目)
wmic startup get caption,command
✅ 檢查開機時載入的驅動程式
driverquery
✅ 檢查目前執行的程序 (可篩選可疑進程)
tasklist /v
✅ 檢查是否有不明的管理員帳戶
net localgroup Administrators
✅ 檢查關鍵系統目錄的權限 (確保非管理員不可修改)
icacls C:\Windows\System32
✅ 檢查 C:\Program Files 是否有異常權限
icacls "C:\Program Files"
✅ 檢查目前的共享資料夾
net share
✅ 檢查系統時間 (確保未遭篡改)
w32tm /query /status
✅ 檢查是否啟用了 LSA 保護 (提升系統安全性)
reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL
✅ 檢查是否啟用了 Credential Guard
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LsaCfgFlags
這些指令可以幫助你進行 Windows 安全性檢查,確保系統符合 ISO 27001 的安全標準。如需更深入的自動化檢測,可考慮使用 PowerShell 腳本來進行更詳細的資安掃描,例如 Get-EventLog、Get-Process 來篩選可疑的安全事件。