该学习路径讲解了网络安全入门的必备技术知识,比如计算机网络、网络协议、Linux命令、Windows设置等内容。过去三篇已经对前三块内容进行了简单介绍,本篇博客将记录 Windows设置 部分。
Windows Fundamentals Part 1
对于 Windows ,肯定会感觉比 Linux 熟悉一点,毕竟目前大部分人接触到的 OS 都是 Windows 系统。但是我们可以保证会日常使用,不能保证对这个系统完全知晓。
NTFS
像 桌面、工具栏、菜单 这些,就不多赘述了。我们直接从 文件系统 开始。
目前 Windows 系统使用的文件系统是 NTFS (New technology file system)。在 NTFS 之前,Windows 的文件系统是 FAT16/FAT32 (File allocation table) 和 HPFS (High performance file system)。直到现在,FAT 依然可以在 USB、MicroSD卡等设备上出现,但在个人的 Windows 电脑或服务器上已经销声匿迹了。
NTFS 也被称为 journaling file system,日志文件系统。正是因为发生故障时,NTFS 可以使用日志文件中存储的信息自动修复磁盘上的文件或文件夹。这一点 FAT 做不到。除此之外,NTFS 还做到了之前文件系统做不到的事情:
- 支持大于 4GB 的文件
- 可为文件或文件夹设置特定权限
- 可压缩文件或文件夹
- 加密性
其中,对于“设置特定权限”可以多讲一点。NTFS 可以设置的特权如下图所示:
我们可以通过 右键 文件或文件夹,查看其权限:
NTFS 还支持 ADS (Alternate data streams,备用数据流) 。ADS 是 NTFS 特有的文件属性,每个文件至少都会有一个数据流 ($DATA),而 ADS 允许文件包含多个数据流。
简单点说就是,ADS 允许其他文件“寄宿”在某个文件上,这样资源管理器只能看到宿主文件,看不到寄宿文件。从安全角度看,一些恶意攻击者可能会利用 ADS 隐藏数据。但 ADS 并非只能用于恶意攻击,有时候当我们从互联网下载文件时,会有标识符写入 ADS,这些标识符可以让系统识别出该文件是从互联网上下载而来的。
Windows\System32
默认情况下,C:\Windows 包含 Windows 操作系统的文件夹。该文件夹不一定必须在 C 盘,技术上来说它可以位于其他文件夹中。实际上,这由 环境变量 决定,Windows 目录的系统环境变量是 %windir% 。
对于环境变量, Microsoft 是这样解释的:Environment variables store information about the operating system environment. This information includes details such as the operating system path, the number of processors used by the operating system, and the location of temporary folders. 简单来说,环境变量存储了有关操作系统环境的信息,包括操作系统路径、使用的处理器数量以及临时文件夹的位置等信息。
在 Windows 文件夹下的 System32 文件夹存放着对操作系统至关重要的文件,所以对这个文件夹进行的操作一定要慎之又慎!
User account
在 Windows 系统中,用户分为:Administrator (管理员)以及 Standard user (标准用户)。前者可以 添加/删除用户、修改组、修改系统设置等;后者只能更改归属于该用户的文件/文件夹,不能执行系统级更改。
我们有两种方法可以查看系统中的用户。
第一种、点击 开始菜单,然后搜索 Other user。或者更简单的,进入 系统设置,找到 Other user 即可(具体操作可能会由于不同版本的 Windows 而有所不同,但基本思路大致相似):
如果当前登录账户是 管理员,则会如图上所示有个“添加账户”按钮。如果当前登录账户是标准用户的话,就不会出现这个按钮。
创建了的新用户在首次登录系统时,会由系统自动生成用户配置文件,保存在 C:\Users 目录下。每个用户配置文件都有相同的文件夹,其中包括 Desktop、Documents、Downloads、Music、Pictures 等。
第二种、就是通过 Local user and group management 来查看。它需要通过 CMD (右键“开始菜单”,点击运行。或者 Win + R 快捷键直接调出),输入 lusrmgr.msc 进入:
由于我的机器是 Windows 11 系统,所以其不适用。正常来讲,这个界面会有 “用户” 和 “组” 两个文件夹。“组” 里面可以看到所有本地组的名称和它们各自的简要说明。每个组都设置了权限,用户由 管理员 分配/添加到组中。当用户被分配到一个组时,该用户会继承该组的权限。一个用户可以被分配到多个组。这和 Linux 的 用户 和 用户组 很像。
大多数家庭用户都是以 管理员 身份登录 Windows,管理员权限会增加系统被入侵的风险,因为这种高权限使恶意软件更容易感染系统。普通用户登录系统时,如果碰到要进行提升权限才能操作的情况时,UAC (User account control) 就派上了用场。
当账户类型为普通用户时,在面对需要提升权限的操作时,UAC 会提示用户确认是否允许运行该操作。比如以普通用户身份登入系统后,我们要安装一个软件,我们会发现软件图标上有个“盾牌”,这就是 UAC 的效果。
当我们双击打开该软件要安装时,由于需要提升权限,所以触发了 UAC 的确认:
只有在正确输入了 管理员 密码后,UAC 才允许该操作继续进行。
Windows Fundamentals Part 2
这一部分主要讲讲 System configuration (系统配置),它用于高级故障排除,主要目的是帮助诊断启动问题。
Basic
查看系统配置有多种方法,其中一种就是通过“开始菜单”:
系统配置界面由五个部分组成:
- General,常规
- Boot,引导
- Services,服务
- Startup,启动
- Tools,工具
在 General 界面中,可以选择启动时要加载哪些设备和服务,分为 Normal (正常启动)、Diagnostic (诊断启动)和 Selective (有选择的启动)三种。
在 Boot 界面中,我们可以定义操作系统的各种启动选项。
Services 界面中列出了为系统配置的所有服务,无论它们状态如何(运行或停止)。
在 Startup 界面中,会看到一串小字。这表示启动项的管理交由 任务管理器 (taskmgr) 来处理。
Tools 界面列出了系统中各种实用程序,并且附带简要说明。当我们想使用其中某一个工具时,选中,然后点击“启动”按钮即可。
Change UAC Settings
在 Tools 中,有个 “更改 UAC 设置” 工具,它用于更改 UAC 的发起通知的程度。可以根据需要将 UAC 进行调整甚至完全关闭:
Computer management
Tools 还有一个工具叫做 计算机管理(compmgmt)。它由三个部分组成:System tools(系统工具)、Storage(存储)和 Services and Applications(服务和应用程序)。
System tools
我们一个个地介绍下来。
任务计划程序 (Task Scheduler) 用于创建和管理计划任务,这些计划任务可以让电脑在我们指定的时间自动执行。计划任务可以配置在任何时候运行,也可以配置为在登录或注销时运行。
事件查看器 (Event Viewer) 允许我们查看计算机上发生的事件,这些信息通常用于诊断问题和调查在系统上执行地操作。记录的事件有五种类型,如下图所示:
关于 Windows 系统的日志记录在 Windows Log 中,分为 应用程序 (Application)、安全 (Security) 和 系统 (System) 日志:
这三类日志的简要概述如下:
共享文件夹 (Shared Folders) 能看到他人可以连接的共享和共享文件夹的完整列表。
在 共享 中,是 Windows 的默认共享 C$ 和 Windows 创建的默认远程管理共享 (default remote administration shares) ,如 ADMIN$。
在 会话 中,可以看到当前连接到共享的用户列表。所有已连接用户访问的文件或文件夹都会列在“打开文件”中:
性能 (Performance) 用于查看实时或日志文件中的性能数据,它可用于排除计算机系统 (本地或远程)的性能问题。
设备管理器 (Device Manager) 允许我们查看和配置硬件,比如禁止连接到计算机的任何硬件。
Storage
存储 中有 Windows Server Backup 和 磁盘管理 (Disk Management) 两部分。顺带一提,前者只有当操作系统是 Windows Server 时才会出现,如果只是个人操作系统只有 磁盘管理。
Services and Applications
此处包含了 Services 和 WMI 控件。
Services 不仅可以启用和禁止服务,还可以查看服务的属性:
WMI 控件可以配置和控制 Windows 管理工具 (Windows management instrumentation) 服务。
WMI 允许脚本语言 (如VBScript 或 Windows PowerShell)在本地和远程管理 Windows 个人电脑和服务器。微软还为 WMI 提供了一个命令行界面,称为 Windows Management Instrumentation ommand-line (WMIC)。不过在 Windows 10 的版本 21H1 中 WMIC 被弃用,用 Windows PowerShell 取代。
System information
Tools 中的 系统信息 (msinfo32) 收集有关计算机的信息,并显示硬件、系统组件和软件环境的综合视图,我们可以利用它来诊断计算机问题。
在 系统摘要 中会显示计算机的一般技术规格,如处理器品牌和型号:
硬件资源 中显示的信息不适合普通计算机用户。所以不多讲。
在 组件 下可以看到计算机安装的硬件设备的具体信息。
软件环境 部分可以看到操作系统内置软件和已安装软件的相关信息。
在该工具最下方有一个搜索栏,可以快速搜索到我们想要的信息:
Resource monitor
资源监视器 也是 Tools 界面中的一个工具,该工具用于显示每个进程和总的 CPU、内存、磁盘和网络使用信息,此外还提供有关哪些进程正在使用单个文件句柄和模块的详细信息。
Command prompt
命令提示符 (cmd) 和 Linux 的终端很像,在早期的 Windows 中,cmd 是和操作系统交互的唯一方式。
像 Linux 终端一样,接下来也会介绍几个在 cmd 中常用的命令。
- hostname,输出主机名
- whoami,当前登入的用户名
- ipconfig,显示计算机的网络地址设置
- netstat,显示协议统计数据和当前的 TCP/IP 网络连接
- net,管理网络资源。该网络支持子命令。
正如 Linux 中的 man 命令,Windows 中的每条命令也有帮助手册。想参阅某条命令的手册时,只需在该命令后加 /?,以 netstat 为例:
但也不是所有的命令都能用 /? 显示手册的,比如上面提到的 net 命令,要查看它的手册需要使用 net help 命令。
Registry Editor
Tools 还有一个工具,注册表编辑器 (regedit) 。Windows 注册表是一个中央分级数据库,用于存储一个或多个用户、应用程序和硬件设备配置系统所需的信息。
注册表包含了 Windows 在运行过程中不断引用的信息,比如:
- 每个用户的配置文件
- 计算机安装的应用程序以及每个应用程序可创建的文件类型
- 文件夹和应用程序图标的属性表设置
- 系统有哪些硬件
- 正在使用的端口
注意注册表不要随意更改,不然可能会影响计算机的正常使用。
Windows Fundamentals Part 3
这一部分主要包括 Windows 系统的安全功能。
Windows updates
先从 Windows 更新开始。更新 可以为 Windows 系统和其他微软产品 (如 Windows Defender)提供安全更新和功能增强。我们可以在 设置 界面中打开 更新 界面,也可以通过 CMD 命令 control /name Microsoft.WindowsUpdate 打开 更新 界面。
多年以来,Windows 用户习惯将 更新 推迟几天或者完全不更新,造成这一情况的原因之一就是每次更新都需要重启。微软在 Windows 10 中对 更新 进行了一些处理,使其不能被推迟直到被遗忘亦或是被忽略,现在的 更新 虽然能被推迟,但最终总会更新。更新 依然需要重启,但是微软提供了有关重启安排的几个选项供用户选择。
Windows security
Windows Security 是管理保护设备和数据的工具整合。它可以在 设置 中被找到。
图标上的颜色代表了当前的不同情况:
- 绿色表示设备受到了充分保护,没有任何建议采取的措施
- 黄色表示有安全建议供用户参考
- 红色表示警告,提示用户需要立即注意
接下来简单介绍一下其中四个部分:
- Virus & threat protection,病毒和威胁防护
- Firewall & network protection,防火墙和网络保护
- APP & browser control,应用和浏览器控制
- Device security,设备安全性
Virus & threat protection
这一块由两部分构成:Current threats 和 Virus & threat protection settings。由于本人的机子安装了 火绒,所以这一块被 火绒 全权接管了,看不到这两个部分,所以从网上找到了这两部分的截图。
这一部分被用于防范病毒和威胁。
首先是 Current threats :
它可以显示出当前电脑上存在的病毒或威胁情况。
在 Scan options 里可以设置扫描选项,有 快速扫描、全盘扫描和自定义扫描。
Threat history 中可以查看 上一次扫描的时间、已经被隔离的威胁 和 被允许运行的威胁。
接着是 Virus & threat protection settings:
这一部分用于配置病毒和威胁防护体系。
在 Virus & threat protection settings 中的 Manage settings 里有诸多设置,可以按照用户需求启用或关闭这些功能。当然除非有 100% 的把握,否则不要乱动这些设置,不然电脑十分容易受到威胁攻击。
Firewall & network protection
网络流量通过端口进出设备,防火墙则用于控制哪些端口允许通过,哪些端口不允许通过。
防火墙分为了三种配置:域、专用 和 公共。
域 配置文件适用于主机系统可以向域控制器进行身份验证的网络。
专用 配置文件是用户指定的配置文件,用于指定的私人或家庭网络。如我们日常使用的家庭 Wi-Fi和有线网就使用的是 专用配置。
公共 配置文件时默认配置文件,用于指定公共网络。如机场或咖啡厅的 Wi-Fi就属于公共网络,它们适用于 公共配置。
我们可以对允许某个应用程序适用 专用配置 或 公共配置。
还可以通过 Windows Defender Firewall 进行高级设置,配置流量进出规则。Windows Defender Firewall 可以通过在 CMD 上输入命令 WF.msc 访问。
APP & browser control
这一部分关于 Microsoft Defender SmartScreen,它可以防止钓鱼或恶意软件网站和应用程序以及潜在恶意文件的下载。
Microsoft Defender SmartScreen 可以通过检查网络上未识别的应用程序和文件来保护设备,Check apps and files 中配置的是它的检查等级。
Exploit protection 则是 Windows 内置的漏洞利用保护功能,可以帮助设备免受漏洞攻击。
Device security
顾名思义,这用于保护设备安全性。
Core isolation 用于保护内存完整性,防止在进程中插入恶意代码的攻击。
在 Windows 10 及以上系统中,还有一个 安全处理器,这展示了 TPM (Trusted platform module,受信任的平台模块) 的相关信息。
TPM 旨在提供基于硬件的安全相关功能。TPM 芯片是一种安全加密处理器,用于执行加密操作。该芯片包含了多种物理安全机制,具有防篡改功能,恶意软件无法篡改 TPM 的安全功能。
BitLocker
据微软的说法,BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,可以解决丢失、被盗或不当退役的计算机的数据被盗或暴露的威胁。
在安装了 TPM 芯片的设备上,BitLocker 可以发挥出最佳保护。根据微软的说法,BitLocker 和 TPM 配合使用,可以帮助保护用户数据,并确保计算机在系统离线时未被篡改。
Volume Shadow Copy Service
卷影复制服务 (Volume Shadow Copy Service, VSS) 会为要备份的数据创建一致的影拷贝(也称快照或时间点拷贝)。
卷影副本存储在已启用保护的每个驱动器上的系统卷信息文件夹中。
如果在打开系统保护的前提下,开启了 VSS,那么就可以在高级系统设置下执行如下任务:
- 创建还原点 (restore point)
- 执行系统还原
- 配置还原设置
- 删除还原点
从安全角度来看,恶意软件编写者可以利用这一功能,在恶意软件中编写代码来查找并删除这些卷影副本。这样就会导致用户无法从勒索软件攻击中恢复,除非用户有离线或者异地卷影备份。