TryHackMe 第5天 | Pre Security (四)

该学习路径讲解了网络安全入门的必备技术知识，比如计算机网络、网络协议、Linux命令、Windows设置等内容。过去三篇已经对前三块内容进行了简单介绍，本篇博客将记录 Windows设置 部分。

Windows Fundamentals Part 1

对于 Windows ，肯定会感觉比 Linux 熟悉一点，毕竟目前大部分人接触到的 OS 都是 Windows 系统。但是我们可以保证会日常使用，不能保证对这个系统完全知晓。

NTFS

像桌面、工具栏、菜单这些，就不多赘述了。我们直接从文件系统开始。

目前 Windows 系统使用的文件系统是 NTFS (New technology file system)。在 NTFS 之前，Windows 的文件系统是 FAT16/FAT32 (File allocation table) 和 HPFS (High performance file system)。直到现在，FAT 依然可以在 USB、MicroSD卡等设备上出现，但在个人的 Windows 电脑或服务器上已经销声匿迹了。

NTFS 也被称为 journaling file system，日志文件系统。正是因为发生故障时，NTFS 可以使用日志文件中存储的信息自动修复磁盘上的文件或文件夹。这一点 FAT 做不到。除此之外，NTFS 还做到了之前文件系统做不到的事情：

支持大于 4GB 的文件
可为文件或文件夹设置特定权限
可压缩文件或文件夹
加密性

其中，对于“设置特定权限”可以多讲一点。NTFS 可以设置的特权如下图所示：

我们可以通过右键文件或文件夹，查看其权限：

NTFS 还支持 ADS (Alternate data streams，备用数据流) 。ADS 是 NTFS 特有的文件属性，每个文件至少都会有一个数据流 ($DATA)，而 ADS 允许文件包含多个数据流。

简单点说就是，ADS 允许其他文件“寄宿”在某个文件上，这样资源管理器只能看到宿主文件，看不到寄宿文件。从安全角度看，一些恶意攻击者可能会利用 ADS 隐藏数据。但 ADS 并非只能用于恶意攻击，有时候当我们从互联网下载文件时，会有标识符写入 ADS，这些标识符可以让系统识别出该文件是从互联网上下载而来的。

Windows\System32

默认情况下，C:\Windows 包含 Windows 操作系统的文件夹。该文件夹不一定必须在 C 盘，技术上来说它可以位于其他文件夹中。实际上，这由 环境变量 决定，Windows 目录的系统环境变量是 %windir% 。

对于环境变量， Microsoft 是这样解释的：Environment variables store information about the operating system environment. This information includes details such as the operating system path, the number of processors used by the operating system, and the location of temporary folders. 简单来说，环境变量存储了有关操作系统环境的信息，包括操作系统路径、使用的处理器数量以及临时文件夹的位置等信息。

在 Windows 文件夹下的 System32 文件夹存放着对操作系统至关重要的文件，所以对这个文件夹进行的操作一定要慎之又慎！

User account

在 Windows 系统中，用户分为：Administrator （管理员）以及 Standard user （标准用户）。前者可以添加/删除用户、修改组、修改系统设置等；后者只能更改归属于该用户的文件/文件夹，不能执行系统级更改。

我们有两种方法可以查看系统中的用户。

第一种、点击开始菜单，然后搜索 Other user。或者更简单的，进入系统设置，找到 Other user 即可（具体操作可能会由于不同版本的 Windows 而有所不同，但基本思路大致相似）：

如果当前登录账户是管理员，则会如图上所示有个“添加账户”按钮。如果当前登录账户是标准用户的话，就不会出现这个按钮。

创建了的新用户在首次登录系统时，会由系统自动生成用户配置文件，保存在 C:\Users 目录下。每个用户配置文件都有相同的文件夹，其中包括 Desktop、Documents、Downloads、Music、Pictures 等。

第二种、就是通过 Local user and group management 来查看。它需要通过 CMD （右键“开始菜单”，点击运行。或者 Win + R 快捷键直接调出），输入 lusrmgr.msc 进入：

由于我的机器是 Windows 11 系统，所以其不适用。正常来讲，这个界面会有 “用户” 和 “组” 两个文件夹。“组” 里面可以看到所有本地组的名称和它们各自的简要说明。每个组都设置了权限，用户由管理员分配/添加到组中。当用户被分配到一个组时，该用户会继承该组的权限。一个用户可以被分配到多个组。这和 Linux 的用户和用户组很像。

大多数家庭用户都是以管理员身份登录 Windows，管理员权限会增加系统被入侵的风险，因为这种高权限使恶意软件更容易感染系统。普通用户登录系统时，如果碰到要进行提升权限才能操作的情况时，UAC (User account control) 就派上了用场。

当账户类型为普通用户时，在面对需要提升权限的操作时，UAC 会提示用户确认是否允许运行该操作。比如以普通用户身份登入系统后，我们要安装一个软件，我们会发现软件图标上有个“盾牌”，这就是 UAC 的效果。

当我们双击打开该软件要安装时，由于需要提升权限，所以触发了 UAC 的确认：

只有在正确输入了管理员密码后，UAC 才允许该操作继续进行。

Windows Fundamentals Part 2

这一部分主要讲讲 System configuration （系统配置），它用于高级故障排除，主要目的是帮助诊断启动问题。

Basic

查看系统配置有多种方法，其中一种就是通过“开始菜单”：

系统配置界面由五个部分组成：

General，常规
Boot，引导
Services，服务
Startup，启动
Tools，工具

在 General 界面中，可以选择启动时要加载哪些设备和服务，分为 Normal （正常启动）、Diagnostic （诊断启动）和 Selective （有选择的启动）三种。

在 Boot 界面中，我们可以定义操作系统的各种启动选项。

Services 界面中列出了为系统配置的所有服务，无论它们状态如何（运行或停止）。

在 Startup 界面中，会看到一串小字。这表示启动项的管理交由任务管理器 (taskmgr) 来处理。

Tools 界面列出了系统中各种实用程序，并且附带简要说明。当我们想使用其中某一个工具时，选中，然后点击“启动”按钮即可。

Change UAC Settings

在 Tools 中，有个 “更改 UAC 设置” 工具，它用于更改 UAC 的发起通知的程度。可以根据需要将 UAC 进行调整甚至完全关闭：

Computer management

Tools 还有一个工具叫做计算机管理（compmgmt）。它由三个部分组成：System tools（系统工具）、Storage（存储）和 Services and Applications（服务和应用程序）。

System tools

我们一个个地介绍下来。

任务计划程序 (Task Scheduler) 用于创建和管理计划任务，这些计划任务可以让电脑在我们指定的时间自动执行。计划任务可以配置在任何时候运行，也可以配置为在登录或注销时运行。

事件查看器 (Event Viewer) 允许我们查看计算机上发生的事件，这些信息通常用于诊断问题和调查在系统上执行地操作。记录的事件有五种类型，如下图所示：

关于 Windows 系统的日志记录在 Windows Log 中，分为 应用程序 (Application)、安全 (Security) 和系统 (System) 日志：

这三类日志的简要概述如下：

共享文件夹 (Shared Folders) 能看到他人可以连接的共享和共享文件夹的完整列表。

在共享中，是 Windows 的默认共享 C$ 和 Windows 创建的默认远程管理共享 (default remote administration shares) ，如 ADMIN$。

在会话中，可以看到当前连接到共享的用户列表。所有已连接用户访问的文件或文件夹都会列在“打开文件”中：

性能 (Performance) 用于查看实时或日志文件中的性能数据，它可用于排除计算机系统（本地或远程）的性能问题。

设备管理器 (Device Manager) 允许我们查看和配置硬件，比如禁止连接到计算机的任何硬件。

Storage

存储中有 Windows Server Backup 和磁盘管理 (Disk Management) 两部分。顺带一提，前者只有当操作系统是 Windows Server 时才会出现，如果只是个人操作系统只有磁盘管理。

Services and Applications

此处包含了 Services 和 WMI 控件。

Services 不仅可以启用和禁止服务，还可以查看服务的属性：

WMI 控件可以配置和控制 Windows 管理工具 (Windows management instrumentation) 服务。

WMI 允许脚本语言（如VBScript 或 Windows PowerShell）在本地和远程管理 Windows 个人电脑和服务器。微软还为 WMI 提供了一个命令行界面，称为 Windows Management Instrumentation ommand-line (WMIC)。不过在 Windows 10 的版本 21H1 中 WMIC 被弃用，用 Windows PowerShell 取代。

System information

Tools 中的系统信息 (msinfo32) 收集有关计算机的信息，并显示硬件、系统组件和软件环境的综合视图，我们可以利用它来诊断计算机问题。

在 系统摘要 中会显示计算机的一般技术规格，如处理器品牌和型号：

硬件资源 中显示的信息不适合普通计算机用户。所以不多讲。

在组件下可以看到计算机安装的硬件设备的具体信息。

软件环境 部分可以看到操作系统内置软件和已安装软件的相关信息。

在该工具最下方有一个搜索栏，可以快速搜索到我们想要的信息：

Resource monitor

资源监视器 也是 Tools 界面中的一个工具，该工具用于显示每个进程和总的 CPU、内存、磁盘和网络使用信息，此外还提供有关哪些进程正在使用单个文件句柄和模块的详细信息。

Command prompt

命令提示符 (cmd) 和 Linux 的终端很像，在早期的 Windows 中，cmd 是和操作系统交互的唯一方式。

像 Linux 终端一样，接下来也会介绍几个在 cmd 中常用的命令。

hostname，输出主机名
whoami，当前登入的用户名
ipconfig，显示计算机的网络地址设置
netstat，显示协议统计数据和当前的 TCP/IP 网络连接
net，管理网络资源。该网络支持子命令。

正如 Linux 中的 man 命令，Windows 中的每条命令也有帮助手册。想参阅某条命令的手册时，只需在该命令后加 /？，以 netstat 为例：

但也不是所有的命令都能用 /? 显示手册的，比如上面提到的 net 命令，要查看它的手册需要使用 net help 命令。

Registry Editor

Tools 还有一个工具，注册表编辑器 (regedit) 。Windows 注册表是一个中央分级数据库，用于存储一个或多个用户、应用程序和硬件设备配置系统所需的信息。

注册表包含了 Windows 在运行过程中不断引用的信息，比如：

每个用户的配置文件
计算机安装的应用程序以及每个应用程序可创建的文件类型
文件夹和应用程序图标的属性表设置
系统有哪些硬件
正在使用的端口

注意注册表不要随意更改，不然可能会影响计算机的正常使用。

Windows Fundamentals Part 3

这一部分主要包括 Windows 系统的安全功能。

Windows updates

先从 Windows 更新开始。更新可以为 Windows 系统和其他微软产品（如 Windows Defender）提供安全更新和功能增强。我们可以在设置界面中打开更新界面，也可以通过 CMD 命令 control /name Microsoft.WindowsUpdate 打开更新界面。

多年以来，Windows 用户习惯将更新推迟几天或者完全不更新，造成这一情况的原因之一就是每次更新都需要重启。微软在 Windows 10 中对更新进行了一些处理，使其不能被推迟直到被遗忘亦或是被忽略，现在的更新虽然能被推迟，但最终总会更新。更新依然需要重启，但是微软提供了有关重启安排的几个选项供用户选择。