tryhackme-预安全-windows基础-windows 基础知识1-16
tryhackme-Pre Security-Windows Fundamentals -Windows Fundamentals 1
房间地址:https://tryhackme.com/room/windowsfundamentals1xbx
这是网络安全入门的基础模块的计算机科学基础知识:Windows Fundamentals 1(windows 基础知识1),序号 01 表示第一篇文章,当你不知道从哪里开始的时候,你可以按照数字顺序来进行参考即可。
提示:作为基础的补充部分,SANS SEC 275与301也是很好的教程
Windows Fundamentals 1
Task 1 Windows Editions
Windows 操作系统历史悠久,可追溯到 1985 年,目前无论是在家庭使用还是企业网络中,它都是主流操作系统。正因如此,Windows 一直是黑客和恶意软件编写者的目标。
Windows XP 曾是 Windows 的一个流行版本,并且运行了很长时间。微软发布了 Windows Vista,这是对 Windows 操作系统的一次全面革新。Windows Vista 存在许多问题,Windows 用户反响不佳,很快就被淘汰了。
当微软宣布 Windows XP 的停产日期时,许多客户感到恐慌。企业、医院等纷纷在众多硬件和设备上测试下一个可行的 Windows 版本——Windows 7。供应商必须争分夺秒地确保他们的产品能够兼容 Windows 7。如果做不到,他们的客户就不得不违反协议,寻找其他供应商来升级他们的产品以兼容 Windows 7。这对许多人来说是一场噩梦,微软也注意到了这一点。
Windows 7 一经发布,很快就被标注了支持终止日期。Windows 8.x 也像 Vista 一样,很快就销声匿迹了。
随后,Windows 10 和 Windows 11 相继问世,后者是目前 Windows 桌面电脑操作系统的最新版本。
Windows 11 有两种版本:家庭版和专业版。您可以点击此处了解家庭版和专业版之间的区别。
https://www.microsoft.com/en-us/windows/compare-windows-11-home-vs-pro-versions#tabs1-2
尽管我们没有谈论服务器,但当前用于服务器的 Windows 操作系统版本是 Windows Server 2025。
https://www.microsoft.com/en-us/windows-server/
许多批评者喜欢抨击微软,但他们在 Windows 的每个新版本中都取得了长足的进步,以提升可用性和安全性。
注意:所连接虚拟机的 Windows 版本是 Windows Server 2019 标准版,如系统信息中所示。
更新:截至 2021 年 6 月,微软已在此处宣布 Windows 10 的退役日期。
https://learn.microsoft.com/en-us/lifecycle/products/windows-10-home-and-pro?ranMID=24542&ranEAID=kXQk6*ivFEQ&ranSiteID=kXQk6.ivFEQ-4cKUPfbv9lM_IR2EX7K_hw&epi=kXQk6.ivFEQ-4cKUPfbv9lM_IR2EX7K_hw&irgwc=1&OCID=AID2000142_aff_7593_1243925&tduid=(ir__feexvhocigkfqna9kk0sohznb32xutanagupypus00)(7593)(1243925)(kXQk6.ivFEQ-4cKUPfbv9lM_IR2EX7K_hw)()&irclickid=_feexvhocigkfqna9kk0sohznb32xutanagupypus00
微软将继续支持至少一个 Windows 10 半年频道,直至 2025 年 10 月 14 日。
截至 2021 年 10 月 5 日,Windows 11 现已成为面向最终用户的 Windows 操作系统。点击此处了解更多关于 Windows 11 的信息。
https://www.microsoft.com/en-us/windows?wa=wsignin1.0&r=1
Task 2 The Desktop (GUI)
Windows 桌面,又称图形用户界面 (GUI),是登录 Windows 10 计算机后出现的欢迎屏幕。
传统上,您需要先通过登录屏幕。登录屏幕需要您输入有效的帐户凭据;通常是该特定系统或 Active Directory 环境中(如果是已加入域的计算机)中预先存在的 Windows 帐户的用户名和密码。
上面的截图是典型的 Windows 桌面示例。下面简要介绍构成 GUI 的每个组件。
桌面
开始菜单
搜索框(Cortana)
任务视图
任务栏
工具栏
通知区域
- 桌面
桌面是程序、文件夹、文件等快捷方式的存放地。这些图标要么按字母顺序整齐地排列在文件夹中,要么随意散布在桌面上,没有特定的布局。无论哪种情况,这些项目通常都放置在桌面上以便快速访问。
您可以根据自己的喜好更改桌面的外观和风格。右键单击桌面上的任意位置,即可出现一个上下文菜单。此菜单允许您更改桌面图标的大小、指定图标的排列方式、将项目复制/粘贴到桌面,以及创建新项目(例如文件夹、快捷方式或文本文档)。
在“显示设置”下,您可以更改屏幕的分辨率和方向。如果您有多个电脑屏幕,您可以在此处配置多屏设置。
注意:在远程桌面会话中,某些显示设置将被禁用。
您还可以通过选择“个性化”来更改壁纸。
在个性化下,您可以更改桌面背景图像、更改字体、主题、配色方案等。
- 开始菜单
在之前的 Windows 版本中,“开始”一词显示在桌面 GUI 的左下角。在 Windows 10 等现代版本中,“开始”一词已消失,取而代之的是 Windows 徽标。尽管“开始”菜单的外观有所改变,但其总体用途保持不变。
“开始”菜单提供对所有最常用的应用/程序、文件、实用工具等的访问。
点击 Windows 徽标即可打开“开始”菜单。“开始”菜单分为几个部分。请参见下文。
- 开始菜单的这一部分提供了一些快捷方式,可用于执行您帐户或登录会话的操作,例如更改用户帐户、锁定屏幕或退出帐户。其他特定于您帐户的快捷方式包括“文档”(文档图标)文件夹和“图片”文件夹(图片图标)。最后,齿轮图标会将您带到“设置”屏幕,电源图标可让您断开远程桌面会话、关闭计算机或重启计算机。
在下图中,您可以看到每个图标的含义。要展开此部分,请点击顶部类似汉堡包的图标。
- 此部分将在顶部显示所有“最近添加”的应用/程序,以及所有已安装的应用/程序(已配置为显示在“开始”菜单中)。在此部分中,您还将看到应用/程序按字母顺序列出。每个字母都有自己的部分。请参见下文。
在上图中,第一个框显示最近添加的应用/程序。第二个框显示所有已安装的应用/程序。
注意:在您的虚拟机中,Google Chrome 将不再显示为“最近添加的程序”。
如果您已安装的应用/程序列表很长,您可以点击列表中的字母标题,打开字母表,跳转到特定部分。见下文。
- 在“开始”菜单的右侧,您可以找到特定应用/程序或实用程序的图标。这些图标称为磁贴。某些磁贴默认添加到此部分。如果您右键单击任意磁贴,正如您猜到的那样;将出现一个菜单,允许您对所选磁贴执行更多操作;例如调整磁贴大小、从“开始”菜单取消固定、查看其属性等。请参见下文。
右键单击应用/程序,然后选择“固定到开始菜单”,即可将应用/程序添加到此“开始菜单”部分。参见下文。
- 任务栏
某些组件默认启用且可见。例如,出于演示目的,工具栏 (6) 已启用。
如果您像我一样想要禁用其中一些组件,可以右键单击任务栏以调出上下文菜单,以便进行更改。
您打开/启动的任何应用程序/程序、文件夹、文件等都将出现在任务栏中。
将鼠标悬停在图标上即可显示预览缩略图和工具提示。如果您打开了多个应用/程序(例如 Google Chrome),并且希望找到需要聚焦的 Google Chrome 实例,此工具提示会非常方便。
当您关闭其中任何一个项目时,它们都会从任务栏中消失(除非您明确将其固定到任务栏)。
- 通知区域
Task 3 Introduction to Windows
Windows 操作系统 (OS) 是一个复杂的产品,包含许多系统文件、实用程序、设置、功能等。
本模块将尝试概述 Windows 操作系统的几个组成部分,包括用户界面导航、系统更改等。本内容面向希望更轻松地理解和使用 Windows 操作系统的用户。
按下下方的“启动计算机”按钮启动连接的虚拟机。
虚拟机将在您的 Web 浏览器中打开。
如果您想通过远程桌面访问虚拟机,请使用以下凭据。
远程桌面:https://www.cyberark.com/resources/threat-research-blog/explain-like-i-m-5-remote-desktop-protocol-rdp
计算机 IP:MACHINE_IP
用户:administrator
密码:letmein123!
Task 4 The File System
现代 Windows 版本中使用的文件系统是新技术文件系统或简称 NTFS。
https://learn.microsoft.com/en-us/windows-server/storage/file-server/ntfs-overview
在 NTFS 之前,有 FAT16/FAT32(文件分配表)和 HPFS(高性能文件系统)。
如今,FAT 分区仍在使用。例如,您通常会在 USB 设备、MicroSD 卡等设备中看到 FAT 分区,但传统上在个人 Windows 电脑/笔记本电脑或 Windows 服务器上却看不到。
NTFS 被称为日志文件系统。如果发生故障,文件系统可以使用存储在日志文件中的信息自动修复磁盘上的文件夹/文件。FAT 无法实现此功能。
NTFS 解决了之前文件系统的许多限制,例如:
支持大于 4GB 的文件
设置文件夹和文件的特定权限
文件夹和文件压缩
加密(加密文件系统,简称 EFS)
加密文件系统:https://learn.microsoft.com/en-us/windows/win32/fileio/file-encryption
如果您运行的是 Windows,那么 Windows 安装使用的是什么文件系统?您可以检查操作系统所在驱动器的“属性”(右键单击),通常是 C 盘 (C:\)。
您可以在此处阅读 Microsoft 有关 FAT、HPFS 和 NTFS 的官方文档。
https://docs.microsoft.com/en-us/troubleshoot/windows-client/backup-and-storage/fat-hpfs-and-ntfs-file-systems
让我们简要介绍一下 NTFS 的一些特定功能。
在 NTFS 卷上,您可以设置授予或拒绝访问文件和文件夹的权限。
这些权限包括:
完全控制
修改
读取和执行
列出文件夹内容
读取
写入
下图列出了每个权限的含义以及它如何应用于文件和文件夹。(来源:微软)
如何查看文件或文件夹的权限?
右键单击要检查权限的文件或文件夹。
从上下文菜单中,选择“属性”。
在“属性”中,点击“安全”选项卡。
在“组或用户名”列表中,选择要查看其权限的用户、计算机或组。
在下图中,您可以看到 Windows 文件夹的用户组的权限。
请参阅 Microsoft 文档,以更好地了解 NTFS 权限中的特殊权限。
NTFS 的另一个功能是备用数据流 (ADS)。
备用数据流 (ADS) 是 Windows NTFS(新技术文件系统)特有的文件属性。
每个文件至少有一个数据流 ( $DATA ),而 ADS 允许文件包含多个数据流。Windows 资源管理器本身不会向用户显示 ADS。虽然可以使用第三方可执行文件来查看这些数据,但 Powershell 允许您查看文件的 ADS。
从安全角度来看,恶意软件编写者曾使用 ADS 来隐藏数据。
并非所有用途都是恶意的。例如,当您从互联网下载文件时,ADS 中都会写入标识符,以识别该文件是从互联网下载的。
要了解有关 ADS 的更多信息,请参阅 MalwareBytes 的以下链接。
https://blog.malwarebytes.com/101/2015/07/introduction-to-alternate-data-streams/
额外提示:如果您想亲身体验 ADS,我建议您探索“Advent of Cyber 2”的第 21 天。
https://tryhackme.com/room/adventofcyber2
Task 5 The Windows\System32 Folders
Windows 文件夹 ( C:\Windows ) 通常是指包含 Windows 操作系统的文件夹。
该文件夹不一定非要位于 C 盘。它可以位于任何其他驱动器,并且严格来说也可以位于其他文件夹中。
这时,环境变量(更具体地说是系统环境变量)就会发挥作用。虽然我们还没有讨论过,但 Windows 目录的系统环境变量是 %windir% 。
根据微软的说法,“环境变量存储了有关操作系统环境的信息。这些信息包括操作系统路径、操作系统使用的处理器数量以及临时文件夹的位置等详细信息”。
“Windows”文件夹中包含许多文件夹。请参见下文。
众多文件夹之一是 System32 。
System32 文件夹包含对操作系统至关重要的文件。
与此文件夹交互时应格外小心。意外删除 System32 中的任何文件或文件夹都可能导致 Windows 操作系统无法运行。点击此处了解更多关于此操作的信息。
https://www.howtogeek.com/346997/what-is-the-system32-directory-and-why-you-shouldnt-delete-it/
注意:Windows 基础知识系列中介绍的许多工具都位于 System32 文件夹中。
Task 6 User Accounts, Profiles, and Permissions
在典型的本地 Windows 系统上,用户帐户有两种类型:管理员和标准用户。
用户帐户类型将决定用户在特定 Windows 系统上可以执行的操作。
管理员可以更改系统:添加用户、删除用户、修改组、修改系统设置等。
标准用户只能更改属于该用户的文件夹/文件,并且无法执行系统级别的更改,例如安装程序。
您当前以管理员身份登录。有几种方法可以确定系统中存在哪些用户帐户。
一种方法是点击“开始”菜单,然后输入“其他用户”。此时应该会出现“系统设置”>“其他用户”的快捷方式。
点击后,将出现“设置”窗口。见下文。
由于您是管理员,因此您会看到一个选项,用于将其他人添加到此电脑。
注意:标准用户看不到此选项。
点击本地用户帐户。应该会出现更多选项:更改帐户类型和移除。
点击“更改账户类型”。下拉框中的值(点击下拉菜单时高亮显示的值)即为当前账户类型。
创建用户帐户时,会为该用户创建一个配置文件。每个用户配置文件文件夹的位置均为 C:\Users。
例如,用户帐户 Max 的用户配置文件文件夹位于 C:\Users\Max。
用户配置文件的创建是在首次登录时完成的。新用户帐户首次登录本地系统时,他们会在登录屏幕上看到几条消息。其中一条消息“用户配置文件服务”会在登录屏幕上停留一段时间,用于创建用户配置文件。请参见下文。
登录后,用户将再次看到类似于下面的对话框,表明配置文件正在创建中。
每个用户配置文件都会有相同的文件夹;其中一些文件夹是:
桌面
文档
下载
音乐
图片
访问这些信息的另一种方法是使用本地用户和组管理。
右键单击“开始”菜单,然后点击“运行”。输入 lusrmgr.msc。参见下文。
注意:运行对话框允许我们快速打开项目。
返回 lusrmgr,您应该看到两个文件夹:用户和组。
如果您点击“组”,您将看到所有本地组的名称以及每个组的简要说明。
每个组都设置了权限,用户由管理员分配/添加到组。当用户被分配到某个组时,该用户将继承该组的权限。一个用户可以被分配到多个组。
注意:如果您从“其他用户”中点击“将其他人添加到此电脑”,它将打开“本地用户和管理”。
Task 7 User Account Control
绝大多数家庭用户都以本地管理员身份登录 Windows 系统。请记住,上一步中提到的任何具有管理员帐户类型的用户都可以更改系统。
用户无需在系统上以高权限(提升权限)运行不需要此类权限的任务,例如浏览互联网、处理 Word 文档等。这种提升权限会增加系统被入侵的风险,因为它使恶意软件更容易感染系统。因此,由于用户帐户可以更改系统,恶意软件将在登录用户的上下文中运行。
为了保护具有此类权限的本地用户,Microsoft 引入了用户帐户控制 (UAC)。这一概念最初是在短暂的 Windows Vista 中引入的,并在后续的 Windows 版本中延续。
注意:UAC(默认情况下)不适用于内置本地管理员帐户。
UAC 如何工作?当具有管理员帐户类型的用户登录系统时,当前会话不会以提升的权限运行。当需要执行需要更高级别权限的操作时,系统会提示用户确认是否允许该操作运行。
让我们查看您当前登录的帐户(内置管理员帐户)上的程序——右键单击以查看其属性。
在“安全”选项卡中,我们可以看到用户/组及其对此文件的权限。请注意,标准用户未列出。
以标准用户身份登录并尝试安装此程序。为此,您可以以标准用户帐户的身份通过远程桌面登录到计算机。
注意:您拥有标准用户的用户名和密码。它们在 lusrmgr.msc 中可见。
安装程序之前,请注意图标。您发现有什么区别了吗?以标准用户身份登录时,程序的默认图标上会显示盾牌图标。请参见下文。
这个盾牌图标表示 UAC 将提示允许更高级别的权限来安装该程序。
双击该程序,您将看到 UAC 提示。请注意,内置管理员帐户已设置为用户名,并提示输入帐户密码。见下文。
一段时间后,如果未输入密码,UAC 提示将消失,程序将无法安装。
此功能可降低恶意软件成功入侵系统的可能性。您可以在此处阅读有关 UAC 的更多信息。
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/user-account-control/how-it-works
Task 8 Settings and the Control Panel
在 Windows 系统中,进行更改的主要位置是“设置”菜单和“控制面板”。
长期以来,控制面板一直是进行系统更改(例如添加打印机、卸载程序等)的首选位置。
“设置”菜单是在 Windows 8(首款面向触摸屏平板电脑的 Windows 操作系统)中引入的,并且在 Windows 10 中仍然可用。事实上,“设置”菜单现在是用户想要更改系统设置时的主要位置。
这两个菜单之间有相似之处,也有不同之处。以下是各自的屏幕截图。
注意:您个人设备上的 Windows 版本中,“设置”图标可能有所不同。
两者都可以通过“开始”菜单访问。请参见下文。
控制面板是您可以访问更复杂设置和执行更复杂操作的菜单。在某些情况下,您可以从“设置”开始,然后最终进入“控制面板”。
例如,在“设置”中,点击“网络和 Internet”。然后,点击“更改适配器选项”。
如果您不确定要打开哪个程序来更改设置,请使用“开始”菜单并进行搜索。
Task 9 Task Manager
本模块最后要讨论的主题是任务管理器。
任务管理器提供系统当前正在运行的应用程序和进程的信息。此外,它还提供其他信息,例如 CPU 和 RAM 的利用率,这些信息属于“性能”部分。
您可以通过右键单击任务栏来访问任务管理器。
任务管理器将以简单视图打开,并且不会显示太多信息。
单击“更多详细信息”,视图就会发生变化。
您可以参考这篇博文,了解有关任务管理器的更多详细信息。
https://www.howtogeek.com/405806/windows-task-manager-the-complete-guide/
如果您想了解有关 Windows 核心进程以及每个进程负责的任务的更多信息,请访问“核心 Windows 进程”版块。
https://tryhackme.com/room/btwindowsinternals
Task 10 Conclusion
再次强调,这只是对 Windows 操作系统的概述。
本课程涵盖的每个主题(任务)都包含中级和高级主题。
因此,任务 9 以一篇详细的博客文章结束,该文章详细解释了任务管理器。
在未来的模块中,我们将涵盖 Windows 文件夹、管理控制台、安全工具(Windows Defender、Windows 防火墙等)等主题。
浙公网安备 33010602011771号