记录Windows 的一些基础知识（包括基础命令，文件系统，注册表项）

Windows基础命令

## windows输入命令

```powershell
win+R 打开cmd
右键管理员运行

目录和文件操作

目录分为相对路径和绝对路径

 	   相对路径（以当前为起点）    
 		"."代表当前目录        
 		".."代表当前目录的上一级目录•
	​ 	绝对路径（以驱动器为起点）

1.cd命令

cd d:\ 	   		#切换到D盘
cd /d d:\  		#-切换到d盘，改变驱动器需要加上 /d
cd.. 			#返回上一级目录

2.dir

dir  		# 查看当前目录下的文件
dir c:\ 	# 查看c盘下的目录和文件

3.mkdir

mkdir # 创建文件夹
md test1/test2/test3 # 管理员权限递归创建文件夹

4.rmdir

rmdir # 删除文件夹
rmdir /s # 删除递归文件夹

5.copy

copy [文件名]  [文件名]# 复制文件到某个文件

6.xcopy

xcopy [文件夹]  [文件夹]# 复制文件夹到某个文件夹

7.move

move # 移动文件
move ./[aa] ./[bb] # 重命名文件

8.del

del # 删除文件

文本操作

1.type

type		 # 用于显示文本内容

重定向 “>”

把前面的命令'执行结果'传入到后面的

管道符“|”

把前面命令的执行结果作为后面命令的操作对象

作业：写出其他的重定向的其他用法和应用场景

< 从文件中读取命令 # 运行脚本时
>> 追加，不覆盖源文件内容 # 追加日志时

2.findstr

findstr	[字符串] [文件路径]	# 检索文件的内容
findstr /v [字符串] [文件路径] # /v表示不包含此字符串的行，

网络操作相关命令

1.TCP/IP参数

IP地址		 # 网络中的唯一标识，相当于主机的身份证
默认网关	 	# 标识与主机相连的路由器的IP地址
子网掩码	 	# 用于标识IP的网段，子网掩码越大，网络范围越小
DNS服务器 		 # 域名解析服务器

# .静态配置IP地址
netsh interface ip set address "网卡" static [IP地址] [子网掩码] [网关]

# .自动获取IP地址
netsh interface ip set address "网卡" dhcp

# .配置DNS服务器
netsh interface ip set dnsserver "网卡" static [服务器地址]

# .添加DNS服务器
net interface ip add dnsserver "网卡" [服务器地址] index = ? # 表示第几个dns地址

2.查看TCP/IP参数

# 查看所有网卡的TCP/IP参数（IP地址，子网掩码，网关）
ipconfig

# 查看所有网卡的TCP/IP参数（IP地址，子网掩码，网关，MAC地址，DNS地址，主机名）
ipconfig /all

# 释放TCP/IP参数
ipconfig /rease

# 重新获取TCP/IP参数
ipconfig /renew

# 清除DNS缓存
ipconfig /flushdns

3.ping

# 用于测试TCP/IP配置是否正确
# 默认发送4个包 ，32个字节
ping -n 4 -l 1000 -a www.baidu.com
    # 使用 -n 改变发包个数
    # 使用 -l 1000 改变发送包的字节
    # 使用 -a返回对应的主机名

# -t 不停ping
ping -t 192.188.0.1

4.路由跟踪（tracert）

tracert www.baidu.com
# 返回 所经过的路由器节点

5.route

0.0.0.0 # 代表任意网络

# 打印路由表
route -4 print
# 添加路由条目
route add [IP地址]/[子网掩码] [网关地址]
# 删除路由条目
route delete [IP/网段]

6.netstat

# 查看所有tcp链接，包括进程，以数字显示
netstat -anop tcp
# 查看路由表
netstat -r 相当于 route print

windows用户管理

1.什么是用户账户

a.不同的用户身份拥有不同的权限
b.每个用户包含了一个名称和密码
c.每个用户具有唯一的安全标识符
安全标识符（SID）

# 查看系统用户
	net user
# 查看当前用户的SID
	whoami /user
# 查看所有用户的SID
	wmic useraccount get name,sid
	
# 使用注册表进行查看
# 命令行打开注册表
regedit
# 路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

# windows管理员用户SID是500，其他用户SID是1000以上
# 黑客入侵后进行提权将SID修改为500

2.进行用户管理

创建用户

• ​ 用户名：系统的显示名
• ​ 全名：登录系统的名字
• ​ 密码：Windows服务器默认启用密码安全策略
• ​ 账户已锁定：如果开启了账户锁定阈值，输错密码几次后会被锁定

# 命令行创建用户
	创建用户不设置密码
	# net user [用户名] /add
	密码会显示明文
	# net user [用户名] [密码] /add  
	密码加密显示
	# net user [用户名] /add *   
	删除用户
	# net user [用户名] /del

# 修改密码
net user [用户名] [密码] 
net user [用户名] *

管理用户

设置密码

隐藏账户

# 用户名后加了 $ 符号
net user 看不到
# 查看隐藏用户
    # 使用wmic useraccount get name,sid
    # 在本地用户和组中查看

3.windows内置用户

与使用者相关联的

• 管理员用户：administrator，最高权限
• 普通用户：具有一般的读取权限
• 来宾用户：一般提供给访客使用，在使用者中，权限最低，默认是禁用

与windows组件关联的

• system 本地系统：拥有最高权限（不能登录）
• local service 本地服务：权限相对于普通用户组user会低一点
• network service 网络服务：权限和普通用户组user一样

Windows组的管理

1.与人员相关的

• administrator
• guest

2.与组件相关的

• system
• local service
• network service

一.用户组

​ 1.概念

• 一组用户的集合，组中所有的用户所具备组的权限

​ 2.管理组

# 创建组
net localgroup [组名] /add
# 删除组
net localgroup [组名] /del
# 将用户添加到组
net localgroup [组名] [用户名] /add
# 将组中的用户移除 
net localgroup [组名] [用户名] /del

二.内置组账户

1.需要人为添加的

• adminisrator：管理员组
• guest：来宾用户组
• power user：向下兼容的
• user：标准用户组，创建用户后默认处于此组中

2.动态包含成员的组

• interactive：动态包含在本地登录的用户
• authenticated user：动态包含通过验证的用户
• every one：所有人

NTFS文件权限

一.文件系统

windows文件系统

• FAT：早期文件系统

  • 不能传输较大的文件（4GB以上）

• NTFS：常用的文件系统

  • ACL（访问控制列表）
  • EFS（文件加密，使用Bitlocker进行磁盘加密）
  • 磁盘压缩和配额：配额指对某一个用户分配多少空间存放文件，或只能存放哪种类型的文件

• Refs文件系统

# 文件系统转换
convert [驱动器号]:/fs/[文件系统类型]

linux文件系统

• swap：交换文件系统，可以将磁盘的空间提供给内存使用

• ext4：

二.文件权限

• 读取
• 修改
• 删除
• 附加数据
• 写入数据

三.文件夹权限

• 读取
• 修改
• 删除
• 创建文件/文件夹

四.权限分类

​ 完全控制

​ 读取

​ 修改

​ 写入

​ 特殊权限

NTFS权限规则

1.权限的累加

• 给用户分配的有效权限是分配给用户所有权限的累加
  • 假设给用户分配了读取权限，用户所属组分配了写入权限，就会累加（读取和写入）

2.拒绝的权限

• 拒绝的权限大于一切（在访问控制列表中，拒绝的权限最高）
  • 假设给用户分配了读取权限，在访问控制列表中添加了拒绝读取权限，用户则不能读取

3.继承权限

• 文件或者文件夹的访问控制列表默认情况下会继承上一级文件夹的权限
• 当需要修改文件或文件夹的权限时，需要关闭继承

4.特殊权限

• 读取权限（和读取文件/文件夹无关）
  • 读取文件夹或文件的访问控制列表
• 更改权限
  • 更改访问控制列表，一般不会给用户这个权限，出于安全性考虑
  • 前提是需要读取权限
• 取得所有权（鸡肋）
  • 前提是需要读取和更改权限
  • 可以修改文件的所有者

本地安全策略

1.概念

• 主要是对登录到计算机的账户进行一些安全设置
• 主要影响本地计算机的安全设置

2.打开方式

• 开始菜单---->管理工具---->本地安全策略

• 使用命令

  secpol.msc
  

• 从本地组策略进去

  # 使用命令
  gpedit.msc
  

• 远程连接命令

  mstsc
  

二.账户策略

• 密码策略

  # 密码必须符合复杂性要求
  # 密码长度最小值
  # 密码最短使用期限
  # 密码最长使用期限
  # 强制密码历史 //不能使用之前的密码
  # 用可还原的加密来存储密码
  

• 账户锁定策略

  # 账户锁定时间 			//（管理员不会被锁定）
  # 账户锁定阈值			//密码输入几次后锁定
  # 重置账户锁定计数器		  //当密码输错几次后等待设置的时间可以再次输入
  

​ 作业：由于管理员用户的用户名是固定的，且密码不会被锁定，很容易被黑客爆破，服务器沦陷，怎么样才能将管理员藏起来，使黑客无法找到管理员，从而无法实施爆破（Windows操作系统加固的一个环境）

三.本地策略

• 审核策略

• 用户权限分配

• 安全选项

  Windows文件共享

共享要求

物理上处于同一局域网

• 一般是局域网使用
• 物理上处于同一局域网
• 在同一个手机热点下

逻辑上处于同一局域网（使用的同一网络的IP地址）

• 直接可以ping对方主机

共享权限

• ​ 共享权限
  • 一般设置为everyone完全控制
• ​ NTFS权限
• ​ 用户从网络访问服务器的最终权限
  • 由共享权限和NTFS权限的交集
    • 举例：
      • 张三的共享权限是读取，NTFS权限是读取和写入，张三从网络访问的最终权限是读取
    • 经常设置办法
      • 共享权限设置最大，NTFS权限精细化设置
      • 举例：张三权限设置完全控制，NTFS权限设置读取，张三从网络访问的最终权限是读取
  • 共享权限默认有一个everyone组是读取，everyone代表了所有人

访问共享

\\[服务器IP地址]
\\[服务器主机名]

一、注册表基础

1.概述

• 注册表是Windows操作系统、硬件设备、以及客户应用程序得以正常运行和保存设置的核心“数据库”，也可以说是一个非常巨大的树状分层结构的数据库系统
• 注册表记录了用户安装在计算机上的软件和每个程序相互关联信息，它包括了计算机的硬件配置，包括自动配置等待即插即用的设备和已有的各种设备说明，状态属性以及各种状态信息和数据。利用一个功能强大的注册表数据库来统一集中的管理系统硬件设施、软件配置等信息，从而方便了管理，争强了系统的稳定性。

2.早期注册表

• 以ini为扩展名的文本文件的配置文件
  • 类似于mysql的my.ini配置文件或者php的config.ini配置文件

3.Windows 95 以后的注册表

• 自从Windows 95操作系统开始，注册表真正成为Windows用户经常接触的内容，并在其后的操作系统中继续沿用

  • 注册表数据库由多个文件组成

  • Windows提供了注册表编辑器

  • # 命令
    regedit
    

4.注册表的结构

• 注册表以树状结构进行呈现

  • 子树（实际只有两颗子树，为了方便操作，分成了5颗子树）

    • HKEY_USERS：

      # 记录关于本地计算机系统的信息，包括硬件和操作系统数据
      

    • HKEY_LOCAL_MACHINE：

      # 记录关于本地计算机系统的信息，包括硬件和操作系统数据
      

    • HKEY_CLASSES_ROOT：

      # HKEY_LOCAL_MACHINE子树包含用于各种OLE技术和文件类关联数据的信息
      

    • HKEY_CURRENT_USER：

      # HKEY_USERS子树，它指向“HKEY_USERS\当前用户的安全ID“包含当前以交互方式登录的用户的用户配置文件
      

    • HKEY_CURRENT_CONFIG：

      # HKEY_LOCAL_MACHINE的子树，指向HKEY_LOCAL_MACHINE\SYSTEM\CurrContorlSet\Hardware Profiles\Current包含在启动时由本地计算机系统使用的硬件配置文件的相关信息加载的设备驱动程序，显示时要用的分辨率
      

  • 项

    • 可以简单的理解文件夹，项中可以包含项和值

  • 值

    • 每个注册表项或子项都可以包含称为值的数据
    • 部分值应用于某个用户的信息
    • 部分值应用于计算机所有用户的信息
    • 值由三部分组成（值的名称，值类型，值的数据）

二、注册表的基本操作

1.创建项

2.创建值

• 字符串值（REG_SZ）

  # 固定长度的文本字符串
  

• 二进制值（REG_BINARY）

  # 原始二进制数据。多类硬件组件信息都以二进制数据存储
  

• DWORD值（REG_QWORD）

  # 数据由4字节长的数表示。设备驱动程序和服务的很多参数都是这种类型
  

• QWORE值（REG_QWORD）

  # 数据由8字节长的数表示
  

• 多字符串值（REG_MULTI_SZ）

  # 多重字符串。包含列表或多值的值通常为该类型
  

• 可扩充字符串值（REG_EXPAND_SZ）

  # 长度可变的数据串。该数据类型包含在程序或服务使用该数据时解析的变量
  

3.修改和重命名值

1.案例

• 个性化时间设置

  • HKEY_CURRENT_USER\Control Panel\International # 修改标题
    

• 锁屏设置

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    legalnoticecaption 		# 修改标题值
    legalnoticetext			# 修改文本值
    

• 禁用控制面板

  • # 打开文件资源管理器快捷键 explorer
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
    # 将 LockTaskbar 值设置为1
    

• 禁用任务管理器

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    # 如果没有system项，可以新建，然后新建值 DisableTaskMgr 数据设置为1 
    # 任务管理器命令
    taskmgr
    

• 去除.lnk快捷方式的箭头

  • HKEY_LOCAL_MACHINE\lnkfile
    # 直接将 IsShortcut 删除
    

2、注册表编辑技巧

• ctrl+F 快速查找
• 打印注册表
• 复制项名字会将路径完整复制

注册表维护

注册表被破坏的常见现象

• 无法启动系统
• 无法运行或正常运行合法程序
• 找不到启动系统或运行应用程序所需的文件
• 没有访问应用程序的权限
• 不能正确安装或装入驱动程序
• 不能进行网络连接
• 注册表条目有错误

2、注册表被破坏的原因

• 应用程序错误：在系统安装过多的软件后，可能出现彼此的冲突
• 驱动程序不兼容
• 硬件问题
• 误操作

3、备份注册表

• 直接将注册表数据文件进行备份
• 到处注册表
  • 找到对应的项目直接选择导出

4、恢复注册表

• 直接将数据库文件进行覆盖
• 将之前导入的项进行导入

5、锁定和解锁注册表

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
# 新建DWORD值DisableRegistryTools，设置为1表示锁定，0表示解锁

注册表解锁

# 需要使用第三方注册表编辑工具进行打开，找到对应项，需改为0

二、注册表优化

1、优化内容

• 清除多余的DLL文件
• 安装卸载应用程序的垃圾信息
• 系统安装时产生的无用信息
  • 删除多余的时区(必要时只保留北京时区)
  • 清除多余的语言代码(英语-0409、中文-0804)
  • 删除多余的键盘布局