渗透学习总结-Windows基础

---

Windows账户和组

这里比较常用就不细说了。简要的概括下。

账户

默认账户：

• Administrator-默认的超级管理员
  • 系统超级管理员账户，具有最高权限。在域中和计算机中具有不受限制的权限，可以管理本地或域中的任何计算机，如创建账户、创建组、实施安全策略等。
  • 不被锁定，不能删除，可以重命名
• Guest-默认来宾账户
  • 默认被禁用，不能删除，可重命名
  • 权限有限，不能修改系统设置和安装程序，只能读取计算机系统信息和文件

其它账户:

• 用户账户，特定服务、应用程序需要所创建的账户
  • 由Administrator所创建
  • 一般可被禁用或删除

组

常用内置组:

• Administrators，管理员组
  • Administrators组对计算机有不受限制完全访问权，对整个系统完全控制
• Power Users,高级用户组
  • Power Users组执行除Administrators组保留任务外的其它任何操作系统任务
• Users，普通用户组
  • 提供安全程序运行环境，不允许修改系操作系统设置和用户资料
• Guests，来宾组
  • 和Users组成员有同等访问权，但是受到更多限制
• Everyone组
  • 顾名思义，所有用户均属于该组

Windows的Log（日志）系统

windows有三种类型的事件日志：

系统日志 ·
跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障

应用程序日志
·跟踪应用程序关联的事件，比如应用程序产生的装载DLL(动态链接库)失败的信息出现在日志中

安全日志
跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。(安全日志默认状态是关闭的)

三种日志在系统中的位置是：
都在这个目录下C:\Windows\System32\winevt\Logs

LOG文件在注册表的位置：

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

Windows的进程和服务

Windows服务和Windows执行程序的区别

Windows标准的exe可执行程序通常由一个用户界面，通常由用户来双击启动或停止。
Windows服务是运行在windows后台指定用户下的应用程序，它没有标准的Ul界面，相比标准exe程序，Windows服务是在服务开始的时候创建，在服务结束的时候销毁。而且可以设置与操作系统一起启动，并且是使用System用户进行启动。

Windows服务与端口

• 公认端口∶从0到1023，它们紧密绑定于一些服务。例如:80端口实际上总是HTTP通讯。
• 注册端口:从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。
• 动态或私有端口:从49152到65535。理论上，不应为服务分配这些端口。
  常见的端口与服务的关系
  

Windows组策略和注册表

• 组策略:
  • 管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种 软件、计算机和用户策略。
• 注册表:
  • 注册表是Windows系统中保存系统软件和应用软件配置的数据库.
• 组策略设置就是在修改注册表中的配置。
  • 组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、 灵活，功能也更加强大。

组策略在windows域中的基本作用：

• 组策略在windows域中的作用
  • 例如，可使用’组策略’"为网络用户分发软件、设定用户可以运行的程序、自定义’开始’菜单并简化’控制面板’。此外，还可添加能在计算机上(在计算机启动或停止时，以及用户登录或注销时)自动运行的脚本，甚至可配置lnternetExplorer。
  • 组策略的优点是可以让系统管理员灵活控制Windows网络的客户端环境，更加方便地管理整个网络。

Windows注册表功能

• 注册表是MicrosoftWindows中的一个重要的数据库，其中存放着各种参数，直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行，从而在整个系统中起着核心作用
• Regedit.exe是微软提供的一个编辑注册表的工具，是所有Windows系统通用的注册表编辑工具。Regedit.exe可以进行添加修改注册表主键、修改键值、备份注册表、局部导入导出注册表等操作
  Windows注册表关键字参数
• HKEY_CURRENT_USER
  • 定义当前用户的配置情况和权限信息。在这个主键中我们可以查阅计算机中登录的用户信息密码等相关信息
• HKEY_LOCAL_MACHINE
  • 该主键定义了本地计算机中软硬件的全部信息，在该主键中存放的是用来控制系统和软件的设置。。该项设置是针对使用Windows 系统的用户而设置的，是一个公共配置信息，所以它与具体用户无关
• HKEY_USERS
  - 该主键用于管理系统中所有用户的配置信息，电脑系统中每个用户的信息都保存在该文件夹中，如用户在该系统中的一些口令、标识等
• HKEY_CURRENT_CONFIG
  - 该主键用于管理当前系统用户的系统配置情况，如该用户自定义的桌面管理、需要启动的程序列表等信息

Windows防火墙

搜索firewall打通过高级这设置中的出入站规则，循序某些特定的端口或者特定的服务服务或端口进出。

Windows开机启动项

开机启动项的路径：
C.\Users\Administrator\AppData\RoamingMicrosoft\Windows\Start Menu\Programs\Startup
要是没找到可以通过ctrl+r输出msconfig打开管理器
打开任务管理器的启动项也能看见。

windows域

定义：
Windows域是计算机网络中的一种形式，其中所有的用户账户，计算机，打印机和其他安全主体都在
位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。身份验证在域控上进行，在域中使用计算机的每个人都会收到一个唯一的用户账号，然后可以对该账户分配域内资源的访问权限，域是Windows网络中独立运行的单位，域之间的相互访问需要建立信任关系。
而工作组则是计算机网络的另一种模式
两者的区别：
工作组：一切设置都在本机上进行包括策略，用户验证，只能通过网上邻居共享资源。
域：所有的账户都在域控上进行验证，管理员可以统一的进行策略配置与账户管理、设置每个账户对域内资源的访问权限。

netstat命令

描述:主要是帮助了解整体网络情况以及当前连接情况参数:
-n:显示所有已建立的有效连接。
-s:本选项能够按照各个协议分别显示其统计数据。-e:本选项用于显示关于以太网的统计数据。
-r∶本选项可以显示关于路由表的信息，除了显示有效路由外，还显示当前有效的连接。
-a:本选项显示一个所有的有效连接信息列表，包括已建立的连接(ESTABLISHED)，也包括监听连
接请求(LISTENING)的那些连接。