windows server 查看 删除事件_Windows系统安全小记（上）

0x00 知识体系

0x01 技能要求

Windows 系统安全	账户密码弱口令风险
	账户的分组和权限
	NTFS 文件系统权限的设置
	Windows 日志的种类和审计方法
	第三方应用和服务存在的漏洞
	Windows 权限提升方法

windows内核作用：

    用户管理、安全管理、访问控制、进程管理、网络管理

内核分类：微内核和单内核；微内核-较稳定(windows，只有很少一部分功能，其余的功能如文件系统、用户管理、安全管理、网络管理等通过调用API进行使用)；单内核(Linux)把有功能都放在整个内核中

0x02 账号安全

用户标识-SID(安全标识符)

    操作系统在登录时输入用户名密码，计算机解析的是SID(安全标识符)

    administrator的SID:500 ->16进制表示为 0x1f4

    guest的SID：501  ->16进制表示为 0x1f5

    普通用户SID从1000开始

windows内置账号：system、local service、network service，这些账号运行时有不同的功能，可以任务管理器-进程 查看不同进程的用户名

查看用户SID

    whoami/?     # 查看帮助信息

    whoami/all   # 查看当前用户名、所在用户组、SID、特权

查看服务SID

    使用sc命令进行查看

    sc showsid[service_name]   #查看服务的sid

    sc showsidprint      #查看打印服务的sid

用户和用户组管理

    netuser    # 查看本地用户

    netlocalgroup # 查看本地用户组

    netlocalgroup  [groupname]  # 查看某个用户组的详细信息

    netuser  [username] [password] /add   # 添加用户

    netuser  [username] [password]  #添加或更改用户密码

    netuser [username] /delete    # 删除用户

    netlocalgroup [groupname] /add  # 添加用户组

    netlocalgroup [groupname] delete  # 删除用户组

    netlocalgroup [groupname] [username] /add

    # 将用户添加至某个用户组

    用户及设置信息可在注册表中查看：

regedit 查看位置：

HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users\Names

开始时不能查看SAM文件，需要权限后才能操作：

    此时可以看到本地的用户

    类型栏的数字对应Users文件夹的名字，每个文件夹内改用户的属性设置(权限、功能等)

账号克隆

    如将Administrator的权限克隆给tom用户：

    打开Admin对应的0x1f4文件夹，打开F，复制数值数据，并粘贴到tom对应的03EF文件夹中的F，此时tom具有admin的属性，此时再windows切换用户到tom，可以看到tom用户的桌面与admin的一样

账号克隆检测：

    D盾后台扫描-webshellkill.exe进行检测是否有账号权限克隆危险行为

 windows中的用户名和密码存储在C/windows/system32/config/SAM文件中，正常情况下无法打开，一旦删除，系统将只有默认用户存在

0x03 文件系统安全

    widows默认共享使用的是SMB协议(默认使用445端口)，永恒之蓝ms17-101，利用的就是SMB协议漏洞，通过445端口进行病毒植入

默认共享

    net share # 查看共享文件(带$符号的为windows默认设置的共享)

使用其他主机可以进行访问：

在该路径后添加\c$,即可访问整个磁盘

(windows默认设置了磁盘共享即net share查看到带$的内容)

临时关闭

    系统重启后将不再生效，默认共享仍存在

    net share [共享名] /del   # 关闭某个共享

关闭server服务

    services.msc将server设置为禁用，关闭的是445端口，禁用后文件夹属性不再有共享功能栏

修改注册表

   在注册表如下位置处

HKEY_LOCAL_MAINCHE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters

windows professional版本:新建DWORD，命名为AutoShareWKS，

值为0；

windows server版本：新建DWORD,命名为AutoShareServer，值为0；

    重启系统后windows默认共享将关闭，但IPC$和手动共享的文件夹不会关闭，使用net share 查看如下：

禁用NetBIOS：(关闭139端口)

    网卡-属性-ipv4-高级-WINS-禁用TCP/IP上的NetBIOS