TryHackMe 第5天 | Pre Security (四)

news2024/11/18 19:53:17

该学习路径讲解了网络安全入门的必备技术知识,比如计算机网络、网络协议、Linux命令、Windows设置等内容。过去三篇已经对前三块内容进行了简单介绍,本篇博客将记录 Windows设置 部分。

Windows Fundamentals Part 1

对于 Windows ,肯定会感觉比 Linux 熟悉一点,毕竟目前大部分人接触到的 OS 都是 Windows 系统。但是我们可以保证会日常使用,不能保证对这个系统完全知晓。 

NTFS

像 桌面、工具栏、菜单 这些,就不多赘述了。我们直接从 文件系统 开始。

目前 Windows 系统使用的文件系统是 NTFS (New technology file system)。在 NTFS 之前,Windows 的文件系统是 FAT16/FAT32 (File allocation table) 和 HPFS (High performance file system)。直到现在,FAT 依然可以在 USB、MicroSD卡等设备上出现,但在个人的 Windows 电脑或服务器上已经销声匿迹了。

NTFS 也被称为 journaling file system,日志文件系统。正是因为发生故障时,NTFS 可以使用日志文件中存储的信息自动修复磁盘上的文件或文件夹。这一点 FAT 做不到。除此之外,NTFS 还做到了之前文件系统做不到的事情:

  • 支持大于 4GB 的文件
  • 可为文件或文件夹设置特定权限
  • 可压缩文件或文件夹
  • 加密性

其中,对于“设置特定权限”可以多讲一点。NTFS 可以设置的特权如下图所示:

我们可以通过 右键 文件或文件夹,查看其权限:

NTFS 还支持 ADS (Alternate data streams,备用数据流) 。ADS 是 NTFS 特有的文件属性,每个文件至少都会有一个数据流 ($DATA),而 ADS 允许文件包含多个数据流。

简单点说就是,ADS 允许其他文件“寄宿”在某个文件上,这样资源管理器只能看到宿主文件,看不到寄宿文件。从安全角度看,一些恶意攻击者可能会利用 ADS 隐藏数据。但 ADS 并非只能用于恶意攻击,有时候当我们从互联网下载文件时,会有标识符写入 ADS,这些标识符可以让系统识别出该文件是从互联网上下载而来的。

Windows\System32

默认情况下,C:\Windows 包含 Windows 操作系统的文件夹。该文件夹不一定必须在 C 盘,技术上来说它可以位于其他文件夹中。实际上,这由 环境变量 决定,Windows 目录的系统环境变量是 %windir% 。

对于环境变量, Microsoft 是这样解释的:Environment variables store information about the operating system environment. This information includes details such as the operating system path, the number of processors used by the operating system, and the location of temporary folders. 简单来说,环境变量存储了有关操作系统环境的信息,包括操作系统路径、使用的处理器数量以及临时文件夹的位置等信息。

在 Windows 文件夹下的 System32 文件夹存放着对操作系统至关重要的文件,所以对这个文件夹进行的操作一定要慎之又慎!

User account

在 Windows 系统中,用户分为:Administrator (管理员)以及 Standard user (标准用户)。前者可以 添加/删除用户、修改组、修改系统设置等;后者只能更改归属于该用户的文件/文件夹,不能执行系统级更改。

我们有两种方法可以查看系统中的用户。

第一种、点击 开始菜单,然后搜索 Other user。或者更简单的,进入 系统设置,找到 Other user 即可(具体操作可能会由于不同版本的 Windows 而有所不同,但基本思路大致相似):

如果当前登录账户是 管理员,则会如图上所示有个“添加账户”按钮。如果当前登录账户是标准用户的话,就不会出现这个按钮。

创建了的新用户在首次登录系统时,会由系统自动生成用户配置文件,保存在 C:\Users 目录下。每个用户配置文件都有相同的文件夹,其中包括 Desktop、Documents、Downloads、Music、Pictures 等。

第二种、就是通过 Local user and group management 来查看。它需要通过 CMD (右键“开始菜单”,点击运行。或者 Win + R 快捷键直接调出),输入 lusrmgr.msc 进入:

由于我的机器是 Windows 11 系统,所以其不适用。正常来讲,这个界面会有 “用户” 和 “组” 两个文件夹。“组” 里面可以看到所有本地组的名称和它们各自的简要说明。每个组都设置了权限,用户由 管理员 分配/添加到组中。当用户被分配到一个组时,该用户会继承该组的权限。一个用户可以被分配到多个组。这和 Linux 的 用户 和 用户组 很像。

大多数家庭用户都是以 管理员 身份登录 Windows,管理员权限会增加系统被入侵的风险,因为这种高权限使恶意软件更容易感染系统。普通用户登录系统时,如果碰到要进行提升权限才能操作的情况时,UAC (User account control) 就派上了用场。

当账户类型为普通用户时,在面对需要提升权限的操作时,UAC 会提示用户确认是否允许运行该操作。比如以普通用户身份登入系统后,我们要安装一个软件,我们会发现软件图标上有个“盾牌”,这就是 UAC 的效果。

当我们双击打开该软件要安装时,由于需要提升权限,所以触发了 UAC 的确认:

只有在正确输入了 管理员 密码后,UAC 才允许该操作继续进行。

Windows Fundamentals Part 2

这一部分主要讲讲 System configuration (系统配置),它用于高级故障排除,主要目的是帮助诊断启动问题。

Basic

查看系统配置有多种方法,其中一种就是通过“开始菜单”:

系统配置界面由五个部分组成:

  • General,常规
  • Boot,引导
  • Services,服务
  • Startup,启动
  • Tools,工具

在 General 界面中,可以选择启动时要加载哪些设备和服务,分为 Normal (正常启动)、Diagnostic (诊断启动)和 Selective (有选择的启动)三种。

在 Boot 界面中,我们可以定义操作系统的各种启动选项。

Services 界面中列出了为系统配置的所有服务,无论它们状态如何(运行或停止)。

在 Startup 界面中,会看到一串小字。这表示启动项的管理交由 任务管理器 (taskmgr) 来处理。

Tools 界面列出了系统中各种实用程序,并且附带简要说明。当我们想使用其中某一个工具时,选中,然后点击“启动”按钮即可。 

Change UAC Settings

在 Tools 中,有个 “更改 UAC 设置” 工具,它用于更改 UAC 的发起通知的程度。可以根据需要将 UAC 进行调整甚至完全关闭:

Computer management

Tools 还有一个工具叫做 计算机管理(compmgmt)。它由三个部分组成:System tools(系统工具)、Storage(存储)和 Services and Applications(服务和应用程序)

System tools

我们一个个地介绍下来。

任务计划程序 (Task Scheduler) 用于创建和管理计划任务,这些计划任务可以让电脑在我们指定的时间自动执行。计划任务可以配置在任何时候运行,也可以配置为在登录或注销时运行。


事件查看器 (Event Viewer) 允许我们查看计算机上发生的事件,这些信息通常用于诊断问题和调查在系统上执行地操作。记录的事件有五种类型,如下图所示:

关于 Windows 系统的日志记录在 Windows Log 中,分为 应用程序 (Application)、安全 (Security) 和 系统 (System) 日志:

这三类日志的简要概述如下:


共享文件夹 (Shared Folders) 能看到他人可以连接的共享和共享文件夹的完整列表。

在 共享 中,是 Windows 的默认共享 C$ 和 Windows 创建的默认远程管理共享 (default remote administration shares) ,如 ADMIN$。

在 会话 中,可以看到当前连接到共享的用户列表。所有已连接用户访问的文件或文件夹都会列在“打开文件”中:


性能 (Performance) 用于查看实时或日志文件中的性能数据,它可用于排除计算机系统 (本地或远程)的性能问题。


设备管理器 (Device Manager) 允许我们查看和配置硬件,比如禁止连接到计算机的任何硬件。

Storage

存储 中有 Windows Server Backup 和 磁盘管理 (Disk Management) 两部分。顺带一提,前者只有当操作系统是 Windows Server 时才会出现,如果只是个人操作系统只有 磁盘管理。

Services and Applications

此处包含了 Services 和 WMI 控件

Services 不仅可以启用和禁止服务,还可以查看服务的属性:

WMI 控件可以配置和控制 Windows 管理工具 (Windows management instrumentation) 服务。

WMI 允许脚本语言 (如VBScript 或 Windows PowerShell)在本地和远程管理 Windows 个人电脑和服务器。微软还为 WMI 提供了一个命令行界面,称为 Windows Management Instrumentation ommand-line (WMIC)。不过在 Windows 10 的版本 21H1 中 WMIC 被弃用,用 Windows PowerShell 取代。

System information

Tools 中的 系统信息 (msinfo32) 收集有关计算机的信息,并显示硬件、系统组件和软件环境的综合视图,我们可以利用它来诊断计算机问题。

系统摘要 中会显示计算机的一般技术规格,如处理器品牌和型号:

硬件资源 中显示的信息不适合普通计算机用户。所以不多讲。

组件 下可以看到计算机安装的硬件设备的具体信息。

软件环境 部分可以看到操作系统内置软件和已安装软件的相关信息。

在该工具最下方有一个搜索栏,可以快速搜索到我们想要的信息:

Resource monitor

资源监视器 也是 Tools 界面中的一个工具,该工具用于显示每个进程和总的 CPU、内存、磁盘和网络使用信息,此外还提供有关哪些进程正在使用单个文件句柄和模块的详细信息。

Command prompt

命令提示符 (cmd) 和 Linux 的终端很像,在早期的 Windows 中,cmd 是和操作系统交互的唯一方式。

像 Linux 终端一样,接下来也会介绍几个在 cmd 中常用的命令。

  • hostname,输出主机名
  • whoami,当前登入的用户名
  • ipconfig,显示计算机的网络地址设置
  • netstat,显示协议统计数据和当前的 TCP/IP 网络连接
  • net,管理网络资源。该网络支持子命令。

正如 Linux 中的 man 命令,Windows 中的每条命令也有帮助手册。想参阅某条命令的手册时,只需在该命令后加 /?,以 netstat 为例:

但也不是所有的命令都能用 /? 显示手册的,比如上面提到的 net 命令,要查看它的手册需要使用 net help 命令。

Registry Editor

Tools 还有一个工具,注册表编辑器 (regedit) 。Windows 注册表是一个中央分级数据库,用于存储一个或多个用户、应用程序和硬件设备配置系统所需的信息。

注册表包含了 Windows 在运行过程中不断引用的信息,比如:

  • 每个用户的配置文件
  • 计算机安装的应用程序以及每个应用程序可创建的文件类型
  • 文件夹和应用程序图标的属性表设置
  • 系统有哪些硬件
  • 正在使用的端口

注意注册表不要随意更改,不然可能会影响计算机的正常使用。

Windows Fundamentals Part 3

这一部分主要包括 Windows 系统的安全功能。

Windows updates

先从 Windows 更新开始。更新 可以为 Windows 系统和其他微软产品 (如 Windows Defender)提供安全更新和功能增强。我们可以在 设置 界面中打开 更新 界面,也可以通过 CMD 命令 control /name Microsoft.WindowsUpdate 打开 更新 界面。

多年以来,Windows 用户习惯将 更新 推迟几天或者完全不更新,造成这一情况的原因之一就是每次更新都需要重启。微软在 Windows 10 中对 更新 进行了一些处理,使其不能被推迟直到被遗忘亦或是被忽略,现在的 更新 虽然能被推迟,但最终总会更新。更新 依然需要重启,但是微软提供了有关重启安排的几个选项供用户选择。

Windows security

Windows Security 是管理保护设备和数据的工具整合。它可以在 设置 中被找到。

图标上的颜色代表了当前的不同情况:

  • 绿色表示设备受到了充分保护,没有任何建议采取的措施
  • 黄色表示有安全建议供用户参考
  • 红色表示警告,提示用户需要立即注意

接下来简单介绍一下其中四个部分:

  • Virus & threat protection,病毒和威胁防护
  • Firewall & network protection,防火墙和网络保护
  • APP & browser control,应用和浏览器控制
  • Device security,设备安全性
Virus & threat protection

这一块由两部分构成:Current threats 和 Virus & threat protection settings。由于本人的机子安装了 火绒,所以这一块被 火绒 全权接管了,看不到这两个部分,所以从网上找到了这两部分的截图。

这一部分被用于防范病毒和威胁。

首先是 Current threats

它可以显示出当前电脑上存在的病毒或威胁情况。

在 Scan options 里可以设置扫描选项,有 快速扫描、全盘扫描和自定义扫描。

Threat history 中可以查看 上一次扫描的时间、已经被隔离的威胁 和 被允许运行的威胁。

接着是 Virus & threat protection settings

这一部分用于配置病毒和威胁防护体系。

在 Virus & threat protection settings 中的 Manage settings 里有诸多设置,可以按照用户需求启用或关闭这些功能。当然除非有 100% 的把握,否则不要乱动这些设置,不然电脑十分容易受到威胁攻击。

Firewall & network protection

网络流量通过端口进出设备,防火墙则用于控制哪些端口允许通过,哪些端口不允许通过。

防火墙分为了三种配置:域、专用 和 公共。

域 配置文件适用于主机系统可以向域控制器进行身份验证的网络。

专用 配置文件是用户指定的配置文件,用于指定的私人或家庭网络。如我们日常使用的家庭 Wi-Fi和有线网就使用的是 专用配置。

公共 配置文件时默认配置文件,用于指定公共网络。如机场或咖啡厅的 Wi-Fi就属于公共网络,它们适用于 公共配置。

我们可以对允许某个应用程序适用 专用配置 或 公共配置。

还可以通过 Windows Defender Firewall 进行高级设置,配置流量进出规则。Windows Defender Firewall 可以通过在 CMD 上输入命令 WF.msc 访问。

APP & browser control

这一部分关于 Microsoft Defender SmartScreen,它可以防止钓鱼或恶意软件网站和应用程序以及潜在恶意文件的下载。

Microsoft Defender SmartScreen 可以通过检查网络上未识别的应用程序和文件来保护设备,Check apps and files 中配置的是它的检查等级。

Exploit protection 则是 Windows 内置的漏洞利用保护功能,可以帮助设备免受漏洞攻击。

Device security

顾名思义,这用于保护设备安全性。

Core isolation 用于保护内存完整性,防止在进程中插入恶意代码的攻击。

 

在 Windows 10 及以上系统中,还有一个 安全处理器,这展示了 TPM (Trusted platform module,受信任的平台模块) 的相关信息。

TPM 旨在提供基于硬件的安全相关功能。TPM 芯片是一种安全加密处理器,用于执行加密操作。该芯片包含了多种物理安全机制,具有防篡改功能,恶意软件无法篡改 TPM 的安全功能。

BitLocker

据微软的说法,BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,可以解决丢失、被盗或不当退役的计算机的数据被盗或暴露的威胁。

在安装了 TPM 芯片的设备上,BitLocker 可以发挥出最佳保护。根据微软的说法,BitLocker 和 TPM 配合使用,可以帮助保护用户数据,并确保计算机在系统离线时未被篡改。

Volume Shadow Copy Service

卷影复制服务 (Volume Shadow Copy Service, VSS) 会为要备份的数据创建一致的影拷贝(也称快照或时间点拷贝)。

卷影副本存储在已启用保护每个驱动器上的系统卷信息文件夹中。

如果在打开系统保护的前提下,开启了 VSS,那么就可以在高级系统设置下执行如下任务:

  • 创建还原点 (restore point)
  • 执行系统还原
  • 配置还原设置
  • 删除还原点

从安全角度来看,恶意软件编写者可以利用这一功能,在恶意软件中编写代码来查找并删除这些卷影副本。这样就会导致用户无法从勒索软件攻击中恢复,除非用户有离线或者异地卷影备份。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2184100.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

只需10秒,昂首资本发现短线交易4个优点

在金融市场,短线交易已经成为投资者追求高效收益的重要工具。那么,这种交易的本质究竟是怎样的?以下是昂首资本对短线交易的深入解析,以及其优缺点的详细分析。 短线交易的本质可以这样描述:交易会有相当小的止损&…

LeetCode 983.最低票价

在一个火车旅行很受欢迎的国度,你提前一年计划了一些火车旅行。在接下来的一年时间里,你要旅行的日子将以名为 days 的数组给出。每一项是一个 1 到 365 的整数。 火车票有三种不同的销售方式: 一张为期一天的通行证售价为cost[0]美元 一张为…

Stable Diffusion绘画 | 来训练属于自己的模型:素材准备篇

首先要说明的是,模型训练,需要显卡持续不间断地一致运行, 快则0.5-1小时左右,慢的话可能需要跑上几小时,甚至是几天, 原因跟显卡的配置和训练设置参数都有关系。 模型训练与显卡配置: 训练 L…

从零开始搭建UVM平台(七)-加入monitor

书接上回: 从零开始搭建UVM平台(一)-只有uvm_driver的验证平台 从零开始搭建UVM平台(二)-加入factory机制 从零开始搭建UVM平台(三)-加入objection机制 从零开始搭建UVM平台(四&…

sadTalker本地编译

SadTalker一款开源的可生成逼真的人像动画的工具。它利用深度学习技术,根据输入的图像和音频,生成具有生动表情和动作的视频。用户可以通过上传照片或使用预设的模型,轻松创建个性化的动画内容. 以上是官网的图, 下边是本地部署生成的,效果差…

Vue+NestJS项目实操(图书管理后台)

一、项目搭建 前端基于vben进行二次开发 在Github下载vben框架,搜索vben即可 下载地址:https://github.com/vbenjs/vue-vben-admin 下载完成后,进行安装依赖,使用命令: // 下载依赖 pnpm install// 运行项目 pnpm …

麒麟系统命令失效快速修复

麒麟系统命令失效快速修复 1、问题描述2 问题原因3、解决方法 💐The Begin💐点点关注,收藏不迷路💐 1、问题描述 麒麟操作系统中,所有命令突然无法使用。 2 问题原因 /usr目录权限可能被错误修改。 3、解决方法 准…

MySQL基础篇 - 多表查询

01 多表关系 【1】概念:项目开发中,在进行数据库表结构设计时,会根据业务需求及业务模块之间的关系,分析并设计表结构,由于业务之间相互关联,所以各表结构之间也存在着各种联系,基本上分为三种…

安装epic games错误码2738解决(安装ue错误码2738)

这个错误不好找到解决方案,尝试删除注册表以及通过电脑管家下载安装都不生效,仍然会错误2738。直到找到了这个解决方案。 1.cmd然后右键以管理员身份运行, 2.cd %windir%\syswow64进入该目录 3.reg delete “HKCU\SOFTWARE\Classes\Wow6432No…

HBuilder X中搭建vue-cli项目(一)

一、前端项目结构 传统结构:一个项目中有很多HTML文件,一个HTML文件就是一个网页。他们之间彼此独立,互相没有联系,我们每次导入其它前端文件时,需要给每一个HTML文件都导入,需要导入的文件一旦过多,就会很麻烦,并且整体看来很乱。 现代结构:在一个nod…

骨传导耳机哪款值得买?五款好评优选骨传导耳机分享!

科技发展的今天,产品设计的重心逐渐转向满足用户的行为与健康需求。耳机,已成为现代生活中不可缺少的电子配件,无论是出于日常习惯、隐私保护,还是在公共场合的礼貌,耳机都与我们形影不离。 随着耳机在日常生活中的地…

用 API 实现 AI 视频摘要:动手制作属于你的 AI 视频小助手

AI 视频摘要想必你一定不陌生,在各大视频平台,比如 B 站,评论区的 AI 视频小助手就如雨后春笋般遍地都是。 今天,让我们来填了这“护城河”,站到墙上看一看它的全貌。 简而言之,AI 视频摘要的工作流程如下&…

使用socket编程来实现一个简单的C/S模型(TCP协议)

前置 所使用到的函数查看本专栏中:socket的概念和常用函数介绍 1.C/S模型 - TCP 下图是基于TCP协议的客户端/服务器程序的一般流程: 服务器调用socket()、bind()、listen()完成初始化后,调用accept()阻塞等待,处于监听端口的状…

第7课-C/C++ 高效内存管理

1. C/C 内存分布 在 C 和 C 中,内存可以分为多个区域,包括栈、堆、数据段、代码段等。这些区域分别用来存储不同类型的数据。通过以下示例代码,我们可以直观地理解这些区域的作用: int globalVar 1; // 全局变量 sta…

停止模式下USART为什么可以唤醒MCU?

在MCU的停止模式下,USART之类的外设时钟是关闭的,但是USART章节有描述到在停止模式下可以用USART来对MCU进行唤醒: 大家是否会好奇在外设的时钟被关闭的情况下,USART怎么能通过接收中断或者唤醒事件对MCU进行唤醒的呢&#xff1…

2024双十一有什么值得买?分享五款优质好物提高幸福感!

双十一购物节即将到来,这是一年中各平台打折力度最大的时期。然而,在众多品牌和款式中,我们往往难以做出选择。今天,我将为大家介绍一些在双十一期间值得入手的高品质商品,让我们一起寻找心仪之选! 1、水陆…

【微服务】初识

基础概念 集群 集群是将一个系统完整的部署到多个服务器,每个服务器提供系统的所有服务,多个服务器可以通过负载均衡完成任务,每个服务器都可以称为集群的节点。 分布式 分布式是将一个系统拆分为多个子系统,多个子系统部署在…

入门案例解析

parent aliyun上下载的却没有parent——但是在下面导入了 这里进行了继承——且继承得里面进行了依赖管理(插件管理也是如此) 不同版本的SpringBoot的依赖版本会有一些不同 starter 这就可以让我使用某个技术开发就可以使用某个技术的starter …

PDSCH(物理下行共享信道)简介

文章目录 PDSCH(物理下行共享信道)简介1. Transport block CRC attachment2. LDPC base graph selection3. Code block segmentation And Code Block CRC Attachment4. Channel Coding5. Rate Matching6. Code Block Concatenation7. Scrambling8. Modul…

DBC差异比较工具DBCCompare_原理介绍(四)

DBC比对工具UI图片 DBC比对工具:功能详解与源码分析 在现代汽车开发和诊断过程中,DBC(Database Container)文件扮演着至关重要的角色。它们详细描述了CAN(Controller Area Network)网络中各消息和信号的详…