type
status
date
slug
summary
tags
category
icon
password
Part 1
本文相关内容:学习Windows基础模块的第1部分,我们将了解Windows桌面、NTFS文件系统、UAC、控制面板等Windows基础组件。
简介
Windows操作系统(OS)是一个复杂的产品,有许多系统文件、实用程序、设置、功能等。
本文将尝试对Windows操作系统作一般概述,比如浏览用户界面,对系统进行更改等。
启动本文相关实验房间中所附加的Windows虚拟机(你可以直接在浏览器中访问),如果你希望通过远程桌面访问Windows虚拟机,请使用以下凭据:
- Machine IP:
MACHINE_IP(在实验房间中启动Windows虚拟机之后,你将获得一个相关的ip地址)
- User:
administrator
- Password:
letmein123!
当上述界面弹出提示时,点击接受证书,然后你现在应该可以登录到远程系统。
Windows版本
Windows操作系统有很长的历史,可以追溯到1985年,目前,它是家庭和公司网络的主要操作系统。正因为如此,Windows操作系统一直是黑客和恶意软件作者的目标。
Windows XP是Windows的一个流行版本,运行时间很长;微软还发布过Windows Vista,Vista是对Windows操作系统的一次彻底改造。Windows Vista存在很多问题,因此它在Windows用户中反响不佳,并很快就被淘汰了。
当微软(Microsoft)宣布Windows XP寿终待寝时,许多用户都陷入了恐慌。企业、医院等组织争先恐后地在许多其他硬件和设备上测试下一个可行的Windows版本,即Windows 7;厂商们不得不争分夺秒地工作,以确保他们的产品与Windows 7能够兼容,如果他们做不到,他们的客户就不得不撕毁协议,并寻找另一家可升级他们的产品以兼容Windows 7的供应商。
Windows 7虽然很快就发布了,但它也被标记上了终止支持的日期,然后是Windows 8.x,8.x出现时间很短暂,就像Vista一样。
后面出现了Windows 10,这是目前普遍用于台式电脑的Windows操作系统版本。Windows 10有两种版本,家庭版和专业版,家庭版和专业版存在一些区别。
tips:尽管我们没有谈论服务器,但也有可用于服务器的Windows操作系统,比如Windows Server 2022。
许多批评人士喜欢抨击微软,但微软每一个新版本的Windows操作系统的可用性和安全性方面都取得了长足进步。
注:本文所探索的Windows虚拟机的操作系统版本为“Windows Server 2019 Standard”,详见此Windows虚拟机中的“系统信息”界面。
截至2021年6月,微软宣布了Windows 10的退休日期:“微软将继续支持至少一个Windows 10版本,直到2025年10月14日。”
截至2021年10月5日,Windows 11已经成为终端用户可用的Windows操作系统。
访问以下链接,可阅读更多关于Windows 11的信息:https://www.microsoft.com/en-us/windows?wa=wsignin1.0
答题
阅读以下链接,查看Windows 10家庭版和专业版的区别:
答案:BitLocker
桌面(图形用户界面)
Windows 桌面,简称Windows图形用户界面(GUI),是你登录 Windows 计算机后能看到并使用的主屏幕界面。
通常情况下,你需要先通过登录界面完成系统登录,然后才能看到Windows桌面。在登录界面上,你需要输入有效的帐户名称和登录凭据,这通常是该特定系统使用者的用户名和密码或者是Active Directory环境(如果是加入域的机器)中先前存在的Windows帐户的用户名和密码。
上面的截图就是一个典型的Windows Desktop的例子,以下是组成上述GUI的一些组件名称:
- The Desktop(主桌面)
- Start Menu(开始菜单)
- Search Box (搜索框-Cortana)
- Task View(任务视图)
- Taskbar(任务栏)
- Toolbars(工具栏)
- Notification Area(通知区域)
The Desktop(主桌面)
桌面是你可以快捷进入程序、文件夹、文件等的地方。计算机程序和文件的图标要么按照字母顺序排列在文件夹中,要么随机分散在桌面上,并没有特定的组织;但是,放在文件夹中的程序通常也可以通过桌面上的对应快捷方式被用户快速访问。
桌面的外观和风格可以根据用户的喜好自行进行更改。你可以右键单击桌面上的任何位置,然后就能出现一个上下文菜单,此菜单将允许你更改桌面图标的大小、指定图标的排列方式,并且还能允许你将项目复制/粘贴到桌面,以及在桌面上创建新项目(如创建文件夹、快捷方式或文本文档)等等。
通过“显示设置-Display settings”功能,你还可以更改屏幕的分辨率和屏幕方向,如果你有多个电脑屏幕,你可以在这里对多屏幕设置进行配置。
注意:在远程桌面会话中,某些显示设置将被禁用。
你也可以通过选择“个性化-Personalize”来更改壁纸。
通过“个性化-Personalize”功能,你可以更改桌面的背景图像,以及更改字体、主题、配色方案等。
The Start Menu(开始菜单)
在之前的Windows版本中,桌面GUI的左下角还可以看到“开始-Start ”一词;但是,在Windows 10等现代版本的操作系统中,“开始-Start ”一词不再出现,取而代之的是一个Windows Logo。尽管开始菜单的外观发生了变化,但其总体功能还是和以前一样的。
“开始菜单”为计算机用户提供了对所有最有用的程序、文件、实用工具等的访问,当你点击Windows logo之后,开始菜单就会打开,它将由三个部分共同组成。
1.“开始菜单”的第一个部分(Start Menu从左到右的第一个区域)为你对帐户或登录会话的可执行操作提供了快速快捷方式,例如更改用户帐户、锁定屏幕或注销帐户,其他特定于你的帐户的快捷方式还有“文档”文件夹(文档图标)和“图片”文件夹(图片图标),最后,点击齿轮图标将允许你进入设置屏幕界面,点击电源图标将允许你关闭计算机、重新启动计算机或者断开远程桌面会话(如果存在远程桌面会话)。
如下图所示,你可以看到多个附加了功能的图标,如果你要展开此部分的更多内容,请单击顶部的图标:
2.“开始菜单”的第二个部分(Start Menu从左到右的第二个区域)将在顶部显示所有最近添加的程序和所有已安装的程序(可配置为出现在开始菜单中),在此部分中,应用程序/程序将会按字母顺序被列出。
如上图所示,第一个框是最近添加的应用程序/程序将出现的地方,第二个框将显示所有已安装的应用程序/程序 并且按字母排列。
如果你有一个很长的已安装程序列表,你可以点击字母网格中的字母标题,从而实现跳转到已安装程序列表中的特定部分。
注意:上图中的白色字母与已安装程序的字母标题相匹配。
3.“开始菜单”的第三个部分(Start Menu从左到右的第三个区域),也就是开始菜单的右侧,此区域是你可以找到特定应用程序/程序或者实用程序的图标的地方;这些图标被称为磁贴,一些磁贴在默认情况下会被添加到此区域。
右键单击任何一个磁贴,都会出现一个菜单,这个菜单可以允许你对所选磁贴执行更多操作:例如调整平铺大小,从开始菜单中取消固定,查看其属性等。
在前述的“开始菜单”第二个区域中的应用程序/程序,都可以通过右键单击并选择“Pin to Start”以形成新的磁贴,而这些新的磁贴会出现在“开始菜单”的第三个区域中。
The Taskbar(任务栏)
在任务栏中(任务栏一般在桌面GUI的底部),某些组件是默认启用且可见的,例如,下图中的工具栏(Toolbars)就是为了演示目的而启用的。
如果你想要禁用一些任务栏可用组件,你可以右键单击任务栏,这将弹出一个上下文菜单以允许你进行更改。
所有你已经打开或者启动的任何应用程序/程序、文件夹、文件等都会出现在任务栏中。
当你将鼠标悬停在任务栏中的应用程序图标上时,这将提供关于此应用程序的预览运行缩略图以及提示信息,这个提示信息是有用的,如果你打开了很多不同的或者相同的应用/程序,如多个谷歌Chrome浏览器界面,你可能会希望找到一个你想要的谷歌Chrome实例,此时你就可以根据提示信息来找到目标实例。
当你关闭应用程序时,相关的应用程序的图标将从任务栏中消失(除非你显式地将应用程序图标固定到任务栏)。
The Notification Area(通知区域)
通知区域通常位于Windows屏幕的右下方,它是显示日期和时间的地方。在通知区域中,你可能看到的其他图标还包括音量图标、网络/无线图标、电池状态图标等等,你可以通过任务栏设置来添加或删除通知区域中的图标。
进入任务栏设置界面,然后向下滚动到通知区域部分即可进行更改。
下面是微软官方关于用户桌面GUI中的“开始菜单”和“通知区域”的简要文档。
tips:你可以右键单击任何文件夹、文件、应用程序/程序的图标来查看更多信息或者对所单击的项目执行相关操作。
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
问题1:哪个选项可以隐藏/禁用搜索框?
答案1:Hidden
问题2:哪个选项可以隐藏/禁用任务视图按钮?
答案2:Show Task View button
问题3:除了“时钟”和“网络”之外,通知区域中还有哪些其他图标可见?
答案3:Action Center
文件系统
在现代版本的Windows中所使用的文件系统是“New Technology File System-新技术文件系统-NT文件系统”,可简称为NTFS。
在NTFS之前,还有其他文件系统:比如 FAT16/FAT32(File Allocation Table-文件分配表)和HPFS(High Performance File System-高性能文件系统)。
现在你仍然可以看到FAT分区的使用,例如,你通常可以在一些USB设备、MicroSD卡中看到FAT分区,但你通常不会在个人Windows电脑或Windows服务器上看到FAT分区。
NTFS也是一种日志文件系统(具有故障恢复能力的文件系统),当出现故障时,NTFS文件系统可以根据日志文件中所存储的信息 自动修复磁盘上的文件夹/文件(这个功能是FAT文件系统所不具备的)。
NTFS解决了以前的文件系统的许多限制,如:
- 支持大于4GB的文件
- 能够对文件夹和文件设置特定的权限
- 能够对文件夹和文件进行压缩
- 支持加密(属于EFS-Encryption File System\-加密文件系统)
如果你正在运行Windows,你的Windows所安装使用的文件系统是什么?你可以查看操作系统的驱动器属性(右键单击),通常是C驱动器(
C:\\)。
关于文件系统的概述,你可以阅读 Microsoft 关于 FAT、HPFS 和 NTFS 的官方文档。
接下来,让我们简要谈谈 NTFS 特有的一些功能。
在 NTFS volumes(volumes--磁盘“卷标”)上,你可以设置授予访问或者拒绝访问文件、文件夹的权限,具体的权限有:
- Read-读
- Write-写
- Read & Execute-读、执行
- List folder contents-列出文件夹内容
- Modify-修改
- Full control-完全控制
下图列出了每个权限的含义以及这些权限如何应用于文件和文件夹。 (出自微软官方文档-文件和文件夹权限)
如何查看文件或文件夹的权限?
- 右键单击要检查权限的文件或文件夹。
- 在弹出的上下文菜单中单击选择“属性”(
Properties)。
- 在“属性”中,单击“安全”(
Security)选项卡。
- 在组或用户名(
Group or user names)列表中,选择要查看其权限的用户、计算机或组。
在下图中,你可以看到 Windows 文件夹的用户(
Users)组的权限。
NTFS 文件系统的另一个特性是备用数据流 (ADS-Alternate Data Streams)。
备用数据流(ADS)是特定于Windows NTFS(New Technology File System-新技术文件系统)的文件属性。
每个文件都至少有一个数据流(
$DATA),而ADS(备用数据流)将允许文件包含多个数据流。本机Windows文件资源管理器并不会向用户显示ADS(备用数据流),你可以使用第三方可执行文件来查看ADS(备用数据流),或者你也可以选择使用Powershell 来查看文件的ADS(备用数据流)。从安全的角度来看,恶意软件编写者会使用ADS来隐藏数据,但是这并非意味着所有的ADS使用都是恶意的;例如,当你从Internet(互联网)下载一个文件时,会向ADS写入标识符,以识别该文件确实是从Internet下载的。
要了解更多关于ADS的知识,请参考MalwareBytes所提供的相关文档。
答题
tips:通过阅读本小节内容即可回答以下问题。
Windows\\System32文件夹
Windows文件夹(
C:\\Windows)通常被称为包含Windows操作系统的文件夹。这个文件夹不一定要位于C盘,它可以驻留在任何其他磁盘驱动器中,在技术上还可以实现驻留在不同的文件夹中;这就是环境变量,更具体地说是系统环境变量能够发挥作用的地方,Windows文件夹(目录)的系统环境变量是
%windir%。根据微软相关文档:“环境变量存储着有关操作系统环境的信息,这些信息包括操作系统路径、操作系统使用的处理器数量以及临时文件夹的位置等详细信息。”
在“Windows”文件夹中有很多文件夹:
其中一个文件夹是System32:
System32文件夹中保存着一些对操作系统至关重要的文件,在与此文件夹交互时,你应该要非常谨慎,不小心删除System32中的任何文件或者文件夹都可能会导致Windows操作系统无法正常操作。
可参考资料:https://www.howtogeek.com/346997/what-is-the-system32-directory-and-why-you-shouldnt-delete-it/
注意:Windows基础所涉及的许多工具都位于System32文件夹中。
答题
tips:通过阅读本小节内容即可回答以下问题。
用户帐户、配置文件和权限
在典型的本地Windows系统上,用户帐户可以是以下两种类型之一:管理员(Administrator)和标准用户(Standard User)。
用户帐户的类型将决定用户可以在特定的Windows系统上执行什么操作。
- 管理员可以对系统进行更改,如添加用户、删除用户、修改组、修改系统设置等。
- 标准用户只能对归属于该用户的文件夹/文件进行更改,不能执行系统级更改。
假设你当前以管理员身份登录到Windows机器,你可以通过一些方法来确定当前系统上存在哪些用户帐户。
你可以单击
Start Menu并输入Other User。
如果你点击上图中的
Other Users,则应该会出现一个设置窗口:
由于你现在是管理员,你将能够看到一个将其他人添加到此PC的选项(Add someone else to this PC)。
注意:标准用户将看不到此选项。
继续单击本地用户帐户,此时应该会出现更多选项:更改帐户类型和删除。
单击上图中的Change account type,下拉框中的当前值即表示当前的帐户类型。
当系统创建用户帐户时,将同时为该用户创建一个配置文件,每个用户配置文件的文件夹位置将落在
C:\\Users下;例如,用户帐号Max的用户配置文件所在的文件夹为C:\\Users\\Max。用户配置文件的创建会在用户账户初次登录时完成。
当一个新用户帐户第一次登录到本地系统时,他将在登录屏幕上看到几条消息,其中一条消息User Profile Service会在登录屏幕上停留一段时间,这表示它正在创建相关的用户配置文件。
一旦登录成功,用户将看到一个类似于下面的对话框,这表明配置文件正在创建中。
每个用户配置文件都会有一些相同的文件夹,其中的一些是:
- Desktop
- Documents
- Downloads
- Music
- Pictures
访问用户账户信息的另一种方法是使用本地用户和组管理界面( Local User and Group Management)。
你可以右键单击“开始菜单- Start Menu”并单击Run,然后输入
lusrmgr.msc:
注意:Run对话框可以允许我们快速打开项目。
使用Run对话框并访问
lusrmgr.msc之后,我们就进入到了“本地用户和组管理”界面,在这个界面,你可以看到两个文件夹:Users和Groups。
如果单击Groups,你将看到所有本地组的名称以及每个组的简要描述。每个组都有其权限,计算机用户将由管理员分配/添加到组中,当用户被分配到某个组时,该用户将会继承该组的权限,并且一个用户可以被分配给多个组。
注意:如果你从“其他用户-Other users”中单击“将其他人添加到此PC”,这将自动打开一个“本地用户和组管理”界面。
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
查看Other users账户:
使用
win + r打开Run对话框,然后输入lusrmgr.msc并点击确定,成功进入到“本地用户和组管理”界面:
Other users所对应的账户Name为:tryhackmebilly
查看这个用户(tryhackmebilly)属于哪个组:
tryhackmebilly用户属于:Remote Desktop Users组和Users组。
查看用于来宾用户访问的内置帐户:
用于来宾用户访问的内置帐户是:Guest
查看来宾用户帐户的帐户状态:
帐户状态为:Account is disabled
用户帐户控制
大多数家庭用户都以本地管理员身份登录到他们的 Windows 系统,而帐户类型为管理员的用户可以对系统进行任意更改。
计算机用户在执行某些操作时,其实并不需要系统为这些操作分配一个很高的权限,例如网上冲浪、处理 Word 文档等;这种提升的权限增加了系统被攻破的风险,也使得恶意软件更容易感染系统(因为这可能会使恶意软件在一个较高的权限下得到运行)。
为了保护本地用户的权限分配安全,Microsoft 引入了用户帐户控制机制(UAC-User Account Control),这个概念最初是在Windows Vista系统中引入的,并且在随后的 Windows 版本中也得到继续使用。
注意:UAC在默认情况下不适用于内置的本地管理员帐户。
UAC是如何工作的?当具有管理员帐户类型的用户登录系统时,当前会话并不会以提升的权限运行(此时用户具有管理员权限,无需再提升);当具有标准帐户类型的用户登录系统时,如果用户想要执行一些需要更高级别权限的操作时,UAC机制会提示用户是否允许执行 并可能需要我们输入管理员密码。
我们可以查看当前所登录的帐户(假设为内置管理员帐户)上的程序信息——右键单击程序并查看其属性即可。
在程序属性的“安全-Security ”选项卡中,我们可以看到该程序所属的用户/组以及它们对此程序文件的权限(从下图可知:标准用户没有被列出)。
如果我们以标准用户登录并尝试运行上图中的程序,那么就会触发UAC机制。
注意:当我们以管理员帐户登录之后,可以通过lusrmgr.msc界面查看到标准用户的用户名和密码(知道用户名和密码之后,我们就能通过远程桌面进行登录)。
当我们作为标准用户登录时,上述可执行程序的默认图标上会有一个盾牌标志。程序上的盾牌标志代表该程序受UAC限制,当我们点击运行该程序时,会提示是否允许以更高级别的权限运行。(如果要继续运行该程序,就需要我们输入管理员密码)
双击上图中的程序,你将看到UAC提示(此时需要输入管理员帐户的密码,然后才能继续运行该程序)。
一段时间无操作之后,上图中的UAC提示符就会消失,然后程序就不会运行。
UAC功能降低了恶意软件成功破坏系统的可能性,你可以阅读微软官方文档了解更多关于UAC的信息。
答题
tips:通过阅读本小节内容即可回答以下问题。
设置和控制面板
在Windows系统上,进行系统更改的主要位置是“设置菜单”和“控制面板”。
长期以来,“控制面板”一直是进行系统更改(如添加打印机、卸载程序等)的首选位置;而“设置菜单”是在Windows 8 版本中引入的,此版本是第一个适用于触摸屏平板电脑的Windows操作系统,而且“设置菜单”在Windows 10中也仍然可用。事实上,如果用户现在想要进行系统更改,“设置菜单”将会是用户所使用的主要位置。
“设置菜单”和“控制面板”既有相似之处,也有不同之处。
设置菜单
控制面板
注意:如果个人计算机设备上的Windows操作系统版本不同,那么“设置菜单”中的图标也可能不同。
设置菜单和控制面板都可以通过开始菜单进行访问。
控制面板能够让你访问更复杂的设置和执行更复杂的操作。在某些情况下,当你使用“设置菜单”开始进行系统更改时,最后还是会进入到“控制面板”中的相关界面。
例如,你可以在“设置菜单”中单击“网络和Internet”,然后再单击“更改适配器选项”。
然后你就会注意到:接下来所弹出的窗口来自于控制面板。
如果你不清楚在更改设置时应该打开设置菜单还是控制面板,你可以使用开始菜单并进行搜索。
在下面的例子中,正在搜索的内容是“wallpaper”,并且最后得到的返回结果会很少。
如果我们点击上图中的“最佳匹配”,将会出现一个“设置”菜单窗口,能够让我们对壁纸进行更改。
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
进入到控制面板界面,将视图更改为小图标显示,查看最后一项设置名称:
最后一项设置名称为:Windows Defender Firewall 。
任务管理器
本文所涉及的最后一个主题是任务管理器。
任务管理器可以提供 有关当前在系统上运行的应用程序和进程的信息,任务管理器中还有一些其他信息也是可用的,比如正在使用多少CPU和RAM,这是属于系统性能的部分。
你可以通过右键单击任务栏来访问任务管理器。
任务管理器界面将会以一个简单视图的形式打开,视图中可能并不会显示太多信息。
我们可以单击上图中的
More details,然后视图内容将会发生变化。
有关任务管理器的更多内容,请参阅以下博客文章:
https://www.howtogeek.com/405806/windows-task-manager-the-complete-guide/
Part 2
本文相关内容:学习Windows基础模块的第2部分,了解有关系统配置、UAC设置、资源监控、Windows注册表等Windows功能的更多信息。
简介
在Windows Fundamentals 1中,我们已经介绍了Windows的桌面、文件系统、用户帐户控制、控制面板、设置和任务管理器。
本文将继续尝试概述Windows操作系统中可用的其他一些实用程序以及访问这些实用程序的不同方法。
启动本文相关实验房间中所附加的Windows虚拟机(你可以直接在浏览器中访问),如果你希望通过远程桌面访问虚拟机,请使用以下凭据:
- Machine IP:
MACHINE_IP(在实验房间中启动Windows虚拟机之后,你将获得一个相关的ip地址)
- User:
administrator
- Password:
letmein123!
当上述界面弹出提示时,点击接受证书,然后你现在应该可以登录到远程系统。
系统配置面板( System Configuration)
系统配置实用程序 (
MSConfig)可用于高级故障排除,其主要目的是帮助诊断启动问题,系统配置面板可以帮助我们导航到其他 Windows 应用程序。有关系统配置实用程序的更多信息,请参阅下面的文档。
https://learn.microsoft.com/en-us/troubleshoot/windows-client/performance/system-configuration-utility-troubleshoot-configuration-errors
有几种方法可以启动系统配置,其中一种方法是从开始菜单启动--在开始菜单处输入MSConfig即可。
注意:你需要本地管理员权限才能打开系统配置实用程序。
该实用程序顶部有五个选项卡,下面是每个选项卡的名称,在本小节中,我们将简要对每个选项卡进行介绍。
- General-常规
- Boot-引导
- Services-服务
- Startup-启动
- Tools-工具
在General选项卡中,我们可以选择Windows启动时要加载的设备和服务,相关的选项包括:标准(Normal,)、诊断性(Diagnostic)以及选择性(Selective)。
在Boot选项卡中,我们可以为操作系统定义各种启动选项。
在Services选项卡中,会列出系统中配置的所有服务,而不考虑其状态(运行或停止),服务是指在后台运行的一种特殊类型的应用程序。Services选项卡允许我们启用或禁用出现在列表中的服务。
Startup选项卡会将用户引导至任务管理器以管理启动项,下面是本地机器上MSConfig的Startup选项卡的截图。
如上图所示,微软会建议你使用任务管理器(
taskmgr)来管理(启用/禁用)启动项,系统配置实用程序并不是一个启动管理程序。在Tools选项卡中,有一个关于各种实用程序(工具)的列表,我们可以运行这些工具来进一步配置操作系统。Tools选项卡中的每个工具都有一个简短的描述,以让我们对工具用途有一些了解。
注意上图中的
Selected command部分,此文本框中的信息将根据工具的不同而变化。关于工具的运行:我们可以通过Run提示符使用命令运行工具,也可以通过命令提示符使用命令运行工具,或者可以通过单击上图中的
launch按钮启动对应工具。答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
问题1:将 Systems Internals 列为制造商的服务的名称是什么?
导航到系统配置面板(
MSConfig)的“服务”选项卡并单击“制造商-Manufacturer”,这将按服务制造商的字母顺序对服务进行排序,然后寻找由“Systems Internals”所制造的服务。
由Systems Internals所制造的服务名称为:PsShutdown
问题2:Windows 许可证注册给谁?
导航到系统配置面板的“工具”选项卡并选择“关于 Windows”工具。
单击“启动”按钮启动该工具,你将看到有关操作系统的信息,包括了Windows许可证的注册对象。
Windows许可证的注册对象是:Windows User
问题3:Windows 故障排除的命令是什么?
在系统配置面板的“工具”选项卡中 选择Windows 故障排除工具,注意此时选项卡的“Selected command”部分,我们可以使用选项卡中对应的命令启动工具(在cmd或者Powershell中运行命令即可)。
Windows 故障排除的命令是:C:\\Windows\\System32\\control.exe /name Microsoft.Troubleshooting
问题4:什么命令将打开控制面板?(答案是.exe的名字,并非全路径)
虽然不是很明显,但是有多个工具的启动命令都引用了同一个exe 文件——系统属性以及Windows 故障排除,两者都使用了control.exe。
打开控制面板的命令中将包含control.exe
更改UAC设置
我们将继续探索可通过“系统配置”面板使用的工具——Change UAC Settings。
用户帐户控制(UAC-User Account Control) 机制和Windows中的权限分配有关,UAC能够在日常使用时 为具有管理员访问权限的用户帐户保持较低级别的权限,并能在实际需要管理员访问权限时临时提升权限级别。
UAC可以通过UAC设置进行更改,甚至能够完全关闭(不推荐完全关闭UAC)。
我们能够导航至MSConfig 系统配置实用程序中的“工具”选项卡,然后选择对应程序以更改 UAC 设置。
在UAC设置界面,你可以通过移动滑块来改变UAC提示的优先级(从总是提示到完全不提示)。
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
单击MSConfig的“工具”选项卡中的“更改 UAC 设置”工具,查看“Selected command”部分。
与启动UAC设置的命令 相关联的程序为:UserAccountControlSettings.exe
计算机管理界面
我们将继续探索可通过“系统配置”面板使用的工具——Computer Management(
compmgmt)。计算机管理(
compmgmt) 实用程序包含三个主要部分:系统工具(System Tools)、 存储(Storage)以及服务和应用程序(Services and Applications)。
System Tools(系统工具)
系统工具菜单由六部分组成:Task Scheduler、Event Viewer、Shared Folders、Local Users and Groups、Performance、Device Manager。
让我们首先从任务调度器(Task Scheduler)开始,根据微软的说法:通过任务调度器,我们可以创建和管理 计算机在指定的时间自动执行的常见任务。
任务可以是运行应用程序、脚本等,并且任务可以被配置为在任何时间运行。比如计算机任务可以在用户登录或注销时运行,任务也可以被配置为按特定的时间表运行,例如,设置每五分钟运行一次指定的计算机任务。
如果你要创建一个基本任务,可以单击“操作-Actions”(计算机管理页面的右侧窗格)下的“创建基本任务-Create Basic Task”。
接下来的系统工具是事件查看器(Event Viewer)。
事件查看器允许我们查看计算机上发生的事件,这些事件的记录可以被看作是一种审计跟踪,能够用来了解计算机系统的活动;这些事件信息通常可用于诊断问题以及调查系统上已执行的操作。
事件查看器有三个窗格。
- 左边的窗格显示了一个关于事件日志提供程序的分层树列表。(如上图所示)
- 中间的窗格将显示一个总体概述和特定于选定提供者的事件摘要。
- 右边的窗格是一个操作(Action)界面。
可以记录的事件有五种类型,下面是来自docs.microsoft.com的一个表格,提供了对每种事件类型的简要描述。
事件日志能够在 Windows logs下可见,下面是来自于微软官方文档的一个表格,它提供了对标准日志和自定义日志的简要描述。
接下来的系统工具是共享文件夹(Shared Folders),在此系统工具中——你将看到其他人可以连接到的共享和共享文件夹的完整列表。
上图是打开Shares文件夹之后所看到的共享列表,此列表会显示 Windows 的默认共享
C$和 Windows 所创建的默认远程管理共享,如ADMIN$。与Windows中的任何对象一样,你可以右键单击共享文件夹以查看其属性,例如权限属性(谁可以访问共享资源)。
在Sessions文件夹下,你将看到当前连接到“共享”的用户列表(为空);而正在连接共享的用户可访问的文件夹和文件将在“Open Files”下被列出。
接下来的系统工具是本地用户和组(Local Users and Groups),我们可通过在Run提示符下输入
lusrmgr.msc打开本地用户和组界面(在之前的文章中已有介绍,此处不再赘述)。接下来的系统工具是性能(Performance),你将看到一个名为Performance Monitor (
perfmon)的实用程序。Perfmon(即性能监视器)可用于实时或者从日志文件中查看性能数据,此实用程序可用于排除计算机系统(本地或远程)上的性能问题。
我们最后要介绍的系统工具是 设备管理器(Device Manager),它允许我们查看和配置硬件,例如允许我们禁用任何连接到计算机的硬件。
Storage(存储)
在“存储”菜单下的是“Windows服务器备份”和“磁盘管理”,在这里,我们只讨论“磁盘管理”部分。
注意:由于本文相关实验所使用的虚拟机是 Windows Server,所以会有一些在Windows 10系统中通常看不到的实用程序。
磁盘管理是Windows中的一个系统实用程序,它使你能够执行高级存储任务,这些任务包括:
- Set up a new drive——建立一个新的驱动器;
- Extend a partition——扩展分区;
- Shrink a partition——缩小分区;
- Assign or change a drive letter (ex. E:) ——分配或更改驱动器盘符(例如E:)
Services and Applications(服务和应用程序)
如上图所示,计算机管理页面的“服务和应用程序”菜单列表将包含“路由和远程访问”、“服务”和“WMI控制”三部分。
“服务”是在后台运行的一种特殊类型的应用程序,通过计算机管理页面的“服务和应用程序”菜单,你不仅可以启用和禁用服务,还可以查看服务的Properties(属性)。
此外,“服务和应用程序”菜单中的“WMI Control”将用于配置和控制WMI服务。
tips:WMI是指Windows管理工具,它的全称为——Windows Management Instrumentation。
根据维基百科的说法:“WMI允许脚本语言(如VBScript或Windows PowerShell)在本地和远程 对Microsoft Windows个人电脑与服务器进行管理,微软还为WMI提供了一个命令行接口,被称为Windows管理工具命令行(WMIC:Windows Management Instrumentation Command-line)。”
注意:WMIC工具在Windows 10 21H1版本中已弃用,Windows PowerShell取代了WMI服务。
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
问题1:打开计算机管理界面的命令是什么?(使用.msc 文件名称作答即可)
单击 MSConfig 的“工具”选项卡中的“计算机管理”工具,查看“Selected command”部分即可。
答案1:compmgmt.msc
问题2:GoogleUpdateTaskMachineUA 任务配置为每天什么时间运行?
通过系统配置面板启动“计算机管理”工具并导航到“任务调度器”,在计划任务列表中,你可以看到“GoogleUpdateTaskMachineUA”任务,和此任务关联的运行时间可以在“触发器-Triggers”栏目下找到。
答案2:6:15 AM
问题3:共享的隐藏文件夹的名称是什么?
通过系统配置面板启动“计算机管理”工具并导航到系统工具下的“共享文件夹”部分,打开包含共享列表的Shares文件夹:
答案3:sh4r3dF0Ld3r
系统信息界面
我们将继续探索可通过“系统配置”面板使用的工具—— System Information(
msinfo32)。什么是系统信息(
msinfo32) 工具?根据 Microsoft 的说法,“ Windows 包含一个名为Microsoft System Information (Msinfo32.exe) 的工具,此工具可收集有关你的计算机的信息并显示计算机硬件、系统组件和软件环境的综合视图,你可以使用它来诊断计算机问题。”
系统信息工具的主窗口是系统摘要(System Summary),它提供了很多关于操作系统、系统、处理器、BIOS、内存等的信息。
系统摘要(System Summary)中的信息分为以下三部分:
- 硬件资源:有关系统硬件的高级信息;
- 组件:有关计算机上安装的不同设备的信息,如存储、显示器、键盘、鼠标、打印机等;
- 软件环境:提供有关系统上安装的软件的详细信息,包括驱动程序、服务、任务和启动程序等,还有一个被称为环境变量的部分,环境变量用于存储有关操作系统的详细信息。
系统摘要(System Summary)将显示计算机所使用的一般技术规格,例如计算机的处理器品牌和型号等。
“硬件资源”中显示的信息不适用于普通计算机用户,如果你想了解更多关于此部分的信息,请参阅[Microsoft官方页面](https://docs.microsoft.com/en-us/windows-hardware/drivers/kernel/hardware-resources#:~:text=Hardware resources are the assignable,of bus-relative memory addresses.)。
在“组件”下,你可以看到有关计算机上安装的硬件设备的特定信息(此处存在部分信息不会显示)。
在Software Environment部分中,你可以看到有关嵌入到操作系统中的软件(如:驱动程序)和已安装软件的信息,在此处还可以看到其他详细信息,例如环境变量和网络连接等。
根据微软的说法,“环境变量存储着有关操作系统环境的信息,这些信息包括操作系统路径、操作系统使用的处理器数量以及临时文件夹的位置等详细信息。具体而言:环境变量存储着操作系统和其他程序所使用的数据,例如,WINDIR环境变量(
%windir%)所包含的是Windows安装目录的位置,程序可以通过查询这个变量的值来确定Windows操作系统文件的位置。”单击Environment Variables即可查看已经为计算机分配好的环境变量值。
可用于查看环境变量的方法还包括:
- Control Panel > System and Security > System > Advanced system settings > Environment Variables
- Settings > System > About > system info > Advanced system settings > Environment Variables
在系统信息实用程序(
msinfo32)的最底部,还有一个搜索栏可以帮助我们快速定位,例如:我们可以选择“组件”并搜索“IP address”。
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
问题1:打开系统信息的命令是什么?(以相关的exe文件名称作答即可)
导航到MSConfig面板的“工具”选项卡并找到“系统信息”工具,查看“Selected command”部分即可。
答案1:msinfo32.exe
问题2:系统名称下列出的是什么?
导航到MSConfig面板的工具选项卡并启动“系统信息”工具,然后选择“系统摘要”并查看“系统名称”条目。
答案2:THM-WINFUN2
问题3:ComSpec的环境变量值是多少?
我们导航到MSConfig面板的工具选项卡并启动“系统信息”工具,然后展开“软件环境”菜单并查看“环境变量”页面,以找到ComSpec条目和相应的变量值。
ComSpec 环境变量将指向命令行解释器,即 cmd.exe。
答案3:%SystemRoot%\\system32\\cmd.exe
资源监视器
我们将继续探索可通过“系统配置”面板使用的工具——Resource Monitor(
resmon)。什么是资源监视器(
resmon)?根据Microsoft的说法:“资源监视器用于显示每个进程和聚合 CPU、内存、磁盘、网络的使用信息,此外它还提供有关哪些进程正在使用单个文件句柄和模块的详细信息;它的高级过滤功能将允许用户隔离与一个或多个进程(应用程序或服务)相关的数据,并能启动、停止、暂停和恢复服务,以及从用户界面关闭无响应的应用程序;它还包括一个进程分析功能,可以帮助识别死锁进程和文件锁定冲突,以便用户可以尝试解决冲突,而不是直接关闭应用程序并遭受丢失数据的风险。 ”
正如本文所提到的其他一些工具一样,资源监视器实用程序主要面向——那些需要在计算机系统上执行高级故障排除的用户。
在概述(Overview)选项卡中,Resmon 有四个部分:
- CPU-中央处理器
- Disk-磁盘
- Network-网络
- Memory-内存
上图中的四个部分在资源监视器界面的顶部 也有相应的选项卡。
请注意,上图每个选项卡都有各自的附加信息,四个选项卡的具体图像信息如下所示。
中央处理器
内存
磁盘
网络
资源监视器界面的最右侧还有窗格区域:当你查看概述选项卡时,窗格区域会实时显示和以上四个部分相关的图形视图;当你查看单个选项卡时,窗格区域则会实时显示和选项卡类型对应的图形视图。
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
问题:打开资源监视器的命令是什么?(以相关的exe文件名称作答即可)
导航到MSConfig面板的工具选项卡并找到“资源监视器”工具,查看“Selected command”部分即可。
答案:resmon.exe
命令提示符界面
我们将继续探索可通过“系统配置”面板使用的工具——Command Prompt(
cmd)。命令提示符(
cmd)一开始似乎令人生畏,但一旦你了解如何与它进行交互,你就会发现它没有那么难理解。在早期的操作系统中,命令行是与操作系统交互的唯一方式,随着GUI(图形用户界面)被引入,用户就能够使用GUI并点击一些按钮来执行复杂的计算机任务,用户也不再局限于 只能使用命令提示符来与操作系统发生交互。
即使现在GUI是与操作系统进行交互的主要方式,但是计算机用户仍然可以通过命令提示符和操作系统发生交互。
在本小节中,我们将只讨论计算机用户可以在命令提示符中运行以获取有关计算机系统的信息的几个简单命令。
让我们从一些简单的命令开始,比如
hostname和whoami。命令
hostname将输出计算机名。
命令
whoami将输出登录用户的名称。
接下来,让我们看看在故障排除时有用的一些命令。
经常使用的命令是
ipconfig,这个命令将显示计算机的网络地址设置。
每个命令都有一个帮助手册,用于解释正确执行命令所需的语法,以及可添加到命令中以扩展其执行的任何其他参数。
检索命令帮助手册的命令是
/?例如,如果要查看
ipconfig的帮助手册,可以使用如下命令:ipconfig /?
注意:清除命令提示符界面的命令为
cls。下一个命令是
netstat,根据帮助手册,此命令将显示协议统计信息和当前TCP/IP网络连接信息。
上图中的红框部分向我们展示了
netstat命令的示例语法,此语法结构告诉我们netstat命令可以单独运行,也可以带参数运行,例如-a、-b、-e等。当任何参数附加到根命令(本例中为
netstat)时,对应的命令输出也将发生变化。接下来我们介绍
net命令,此命令主要用于管理网络资源,net命令支持子命令。如果输入
net而不带子命令,则输出结果将显示根命令的语法,并会显示一些你可以使用的子命令。
对于
net命令,显示帮助手册/?不会起作用,在这种情况下,我们需要使用不同的语法以查看帮助信息,即net help。
如果你希望查看
net user的帮助信息,则相关的命令为net help user。
你可以使用类似的命令查看其他有用的
net子命令的帮助信息,例如localgroup、use、share和session。请参考下面的链接,以查看你可以在命令提示符中执行的命令的相关列表: https://ss64.com/nt/
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
问题1:在系统配置中,Internet 协议配置的完整命令是什么?
导航到MSConfig面板的“工具”选项卡并找到“Internet 协议配置”工具,查看“Selected command”部分即可。
答案1:C:\\Windows\\System32\\cmd.exe /k %windir%\\system32\\ipconfig.exe
问题2:对于 ipconfig 命令,如何显示其详细信息?
启动cmd工具,并输入
ipconfig /?命令以查看相关的帮助信息:tips:ipconfig 命令将显示计算机的网络地址设置。
答案2:ipconfig /all
注册表编辑器
我们将继续探索可通过“系统配置”面板使用的工具——Registry Editor (
regedit)。Windows注册表是一个中央分层数据库,它用于存储配置系统所需的信息,这些信息适用于一个或多个用户、应用程序和硬件设备。
注册表包含 Windows 在运行期间不断引用的信息,例如:
- 每个用户的配置文件。
- 计算机上安装的应用程序和每个应用程序可以创建的文档类型。
- 文件夹和应用程序图标的属性表设置。
- 系统上存在哪些硬件。
- 正在使用的端口。
警告:注册表仅适用于高级计算机用户设置,随意更改注册表会影响正常的计算机操作。
有多种方法可以查看/编辑注册表。其中一种方法是使用注册表编辑器(
regedit)。
请参阅Microsoft相关文档以了解更多有关Windows注册表的信息。
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
问题:打开注册表编辑器的命令是什么?(以相关的exe文件名称作答即可)
导航到MSConfig面板的“工具”选项卡并找到“注册表编辑器”工具,查看“Selected command”部分即可。
答案:regedt32.exe
小结
回顾:本文所介绍的主要内容是一些可以从Windows
MSConfig 启动的工具。在Window操作系统中,实用程序的命令和快捷方式是共享的,这意味着你不必启动
MSConfig(系统配置)也可运行一些实用程序。比如:你也可以直接从“开始菜单”界面运行其中一些实用程序:
MSConfig中所列出的工具并未在本文中全部提及,你可以自行探索MSConfig中的其他工具。Part 3
本文相关内容:继续学习Windows基础模块的第3部分,了解有助于保护设备安全的内置Microsoft工具,例如Windows更新组件、Windows安全组件、BitLocker等...
简介
在Windows Fundamentals 1中,我们介绍了Windows的桌面、文件系统、用户帐户控制、控制面板、设置和任务管理器。
在Windows Fundamentals 2中,我们介绍了Windows的各种实用程序,例如系统配置面板、计算机管理界面、资源监视器等。
本文将尝试概述 Windows 操作系统中的一些安全功能。
启动本文相关实验房间中所附加的Windows虚拟机(你可以直接在浏览器中访问),如果你希望通过远程桌面访问虚拟机,请使用以下凭据:
- Machine IP:
MACHINE_IP(在实验房间中启动Windows虚拟机之后,你将获得一个相关的ip地址)
- User:
administrator
- Password:
letmein123!
当上述界面弹出提示时,点击接受证书,然后你现在应该可以登录到远程系统。
Windows更新( Windows Update)
让我们从Windows Update开始。
Windows Update是微软提供的一项服务,可为Windows操作系统和其他微软产品(如Microsoft Defender)提供安全更新、功能增强和补丁。
Windows 更新通常在每个月的第二个星期二发布,这一天被称为补丁星期二,但是这并不一定意味着一个关键的更新/补丁必须等到下一个补丁星期二才会发布;如果某个更新补丁很重要,微软则将通过Windows更新服务向Windows设备推送更新。
Windows更新服务可通过“设置-Settings”面板找到并访问,更多相关信息可查看微软安全更新指南。
tips:另一种访问Windows更新服务的方法是使用Run对话框或者使用CMD界面,然后运行以下命令
control /name Microsoft.WindowsUpdate。
Windows更新设置是“受监管的”(通常情况下,家庭用户不会看到这种类型的消息),如果计算机没有连接到Internet,则无法与Microsoft通信以获取最新的更新信息。
多年以来,Windows用户已经习惯于将Windows更新推迟到较晚的日期或者根本不安装更新,导致此类操作的原因有很多,其中一个原因是:Windows在更新之后通常需要重新启动。
微软在Windows 10中尝试解决了用户更新问题,现在的Windows更新不能再被忽视或完全不管不顾,也就是说Windows更新虽然能推迟,但最终还是会发生,更新完成之后你的电脑也会重新启动。微软通过提供此类强制更新服务来尽量保证设备的安全。
如下图所示,在Windows更新界面中可看到此时计算机需要重启,此更新界面还提供了关于安排重启的几个可用选项。
更多信息请参考Windows更新常见问题解答。
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
通过“设置”面板访问Windows更新服务,在Windows更新界面点击“查看更新历史”:
自定义更新的安装日期是:5/3/2021
Windows安全(Windows Security)
根据微软的说法,“Windows Security是管理保护你的设备和数据的工具的主界面。”
和Windows更新服务一样,Windows安全服务也可以通过“设置-Settings”面板进行访问。
请查看上图,并将注意力集中在_Protection areas_(保护区域),其中包括:
- Virus & threat protection(病毒和威胁防护)
- Firewall & network protection(防火墙和网络保护)
- App & browser control(应用程序和浏览器控制)
- Device security(设备安全)
tips:在下面几个小节中我们会简要地介绍以上四部分内容(在本小节中我们不展开讲解)。
在继续介绍Windows安全服务之前,让我们快速了解一下状态图标:
- 绿色图标:表示你的设备已得到充分保护,并且没有任何建议操作。
- 黄色图标:表示有安全建议供你查看。
- 红色图标:表示警告,即有某件事情需要你立即关注。
我们点击“设置-Settings”界面中的“Windows Security”下的
Open Windows Security,将看到如下界面(一个红色图标,三个绿色图标):
注意:由于本文所附的实验机是Windows Server 2019,因此相关页面看起来会与Windows 10家庭版或专业版不同。
下图是来自于Windows 10设备的Windows Security相关页面(点击
Open Windows Security即可看到具体界面):
在下一小节,我们将继续查看Windows安全服务中的“病毒和威胁防护”部分。
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
查看“Windows安全”界面,我们可以发现Virus & threat protection(病毒和威胁防护)对应的图标是红色的——红色图标表示警告,所以需要我们立即关注。
病毒和威胁防护(Virus & threat protection)
病毒和威胁防护分为以下部分:
- 当前威胁——Current threats
- 病毒和威胁防护设置——Virus & threat protection settings
- 病毒和威胁防护更新——Virus & threat protection updates
- 勒索软件防护——Ransomware protection
Current threats(当前威胁)
下图是“当前威胁”部分界面:
我们可以通过Current threats界面点击并选择“扫描选项”(Scan options),相关的内容如下:
- Quick scan(快速扫描):检查系统中通常可能存在威胁项目的文件夹。
- Full scan(全面扫描):检查硬盘上的所有文件和正在运行的程序,此扫描可能需要一个多小时。
- Custom scan(自定义扫描):任意选择你想要检查的文件和位置,然后开始扫描。
我们可以通过Current threats界面点击并查看“威胁历史”(Threat history),相关的内容如下:
- Last scan(上次扫描):Windows Defender防病毒软件会自动扫描你的设备是否存在病毒和其他威胁,以帮助保护你的设备安全。
- Quarantined threats(隔离的威胁):是指已被隔离的威胁项目,隔离能有效阻止威胁项目在你的设备上运行,此外,被隔离的威胁项目将会被定期删除。
- Allowed threats(允许的威胁):是指你允许“已经被识别为威胁的项目”在你的设备上运行。
警告:只有在100%确定自己在做什么时,才允许运行已被识别为威胁的项目。
Virus & threat protection settings(病毒和威胁防护设置)
下图是“病毒和威胁防护设置”部分界面:
在上图中的Virus & threat protection settings界面点击并查看“管理设置”(Manage settings),相关的内容如下:
- Real-time protection(实时保护):实时定位并阻止恶意软件在你的设备上安装或运行。
- Cloud-delivered protection(云提供的保护):通过访问云中的最新保护数据以提供增强保护和更快的保护。
- Automatic sample submission(自动提交样本):将可能具有安全威胁的样本文件发送到 Microsoft,以帮助保护你和其他人免受潜在威胁。
- Controlled folder access(控制文件夹访问权限):保护你设备上的文件、文件夹和内存区域免受不友好应用程序未经授权的更改。
- Exclusions(排除):Windows Defender防病毒软件不会扫描你已排除的项目。
- Notifications(通知):允许Windows Defender防病毒软件发送通知,其中会包含有关设备健康和安全的重要信息。
警告:你所排除的项目也可能会包含一些能让你的设备受到攻击的危险应用程序,所以,只有当你100%确定自己在做什么时才能使用此选项。
Virus & threat protection updates(病毒和威胁防护更新)
下图是“病毒和威胁防护更新”部分界面:
查看上图中的“病毒和威胁防护更新”(Virus & threat protection updates)下的“Check for updates”:
- Check for updates(检查更新): 手动检查更新以更新 Windows Defender防病毒软件的反病毒规则。
Ransomware protection(勒索软件防护)
下图是“勒索软件防护”部分界面:
查看上图中的“勒索软件防护”(Ransomware protection)下的“Manage ransomware protection”:
- Controlled folder access(控制文件夹访问权限):勒索软件防护需要启用此功能,但是为了启用此功能你需要首先启用实时保护功能。
tips:你可以对任何文件/文件夹执行按需安全扫描,只需右键单击项目并选择“使用Microsoft Defender扫描”即可。
下图是来自于另一个Windows设备,以展示按需扫描功能:
答题
tips:阅读本小节内容并且访问Windows虚拟机进行探索,然后回答以下问题。
访问由实验房间所提供的Windows虚拟机,并进行相关探索。
基于上一小节的答题任务可知,我们需要关注的内容是“病毒和威胁防护”,因此我们可以查看“病毒和威胁防护”面板以找到更多详细信息:
防火墙和网络保护(Firewall & network protection)
什么是firewall(防火墙)?
根据微软的说法,“流量是通过端口流入和流出设备的,而防火墙能够控制什么可以(更重要的是不可以)通过这些端口;你可以把防火墙想象成一个站在门口的保安,它会检查所有试图进出的人的ID信息”。
我们可以导航到“防火墙和网络保护”界面:
注意:上图中的每个选项可能会有不同的状态图标。
我们在“防火墙和网络保护”界面中所看到的“Domain network”、“Private network ”和“Public network ”三者之间有什么区别?
根据微软的说法,“Windows防火墙会提供三种防火墙配置:域、私有和公共”。
- Domain(域):防火墙的域配置适用于主机系统可以向域控制器进行身份验证的网络。
- Private (私有):防火墙的私有配置是用户分配的配置,可用于指定私有或家庭网络。
- Public (公共):防火墙的默认配置为Public,可用于指定公共网络,例如咖啡店、机场和其他地点的Wi-Fi热点。
如果你单击任何一种防火墙配置,则将出现对应的相关配置页面,其中会包含两个选项:打开/关闭防火墙、阻止所有传入连接。
警告:除非你对你正在做的事情有100%的信心,否则建议你开启Windows Defender 防火墙。
接下来我们关注“防火墙和网络保护”界面的“Allow an app through firewall”和“Advanced Settings”:
Allow an app through firewall
你可以查看任何防火墙配置的当前设置,在上图中,我们可以看到有一些应用程序可以访问私有或者公共防火墙配置,如果你点击“详细信息-Details”按钮,则能获取到对应应用程序所提供的一些额外信息。
Advanced Settings
配置Windows Defender防火墙的操作适用于Windows高级用户,你可以参考相关的Microsoft 官方文档。
tips:打开Windows Defender防火墙的命令为
WF.msc。答题
tips:通过阅读本小节相关内容,可回答以下问题。
应用程序和浏览器控制(App & browser control)
在此部分中,你可以更改Microsoft Defender SmartScreen的设置。
根据 Microsoft 的说法,“ Microsoft Defender SmartScreen 可以防止网络钓鱼、恶意软件网站和应用程序以及潜在恶意文件的下载”。
有关 Microsoft Defender SmartScreen 的更多信息,请参阅相关的Microsoft官方文档。
Check apps and files
Windows Defender SmartScreen 通过检查来自网络的 无法识别的应用程序和文件来帮助保护你的设备。
Exploit protection
Exploit protection 内置在Windows 10操作系统(本文相关的实验机为Windows Server 2019)中,能够帮助保护你的设备免受恶意攻击。
警告:除非你对所做的事情有100%的信心,否则建议你保持上图中的默认设置。
设备安全(Device security)
尽管你可能永远不会更改以下设置,但我们还是会简要介绍一下。
Core isolation(核心隔离)
- Memory Integrity(内存完整性):防止攻击者将恶意代码插入高安全性进程。
警告:除非你对所做的事情有100%的信心,否则建议你保持默认设置。
下面的图片来自于另一台机器,展示了个人Windows 10设备应该具备的另一个安全功能——Security processor。
下面是Security processor(安全处理器)的详细信息。
上图所提及的可信平台模块(TPM-Trusted Platform Module)是什么?
根据微软的说法,“可信平台模块(TPM)技术旨在提供基于硬件的安全相关功能。TPM芯片是一种安全的加密处理器,被设计用于执行加密操作,该芯片包括多种物理安全机制,使其具有抗篡改性,恶意软件无法篡改TPM的安全功能”。
答题
tips:阅读本小节内容,可回答以下问题。
BitLocker
什么是BitLocker?
根据微软的说法,“ BitLocker驱动器加密是一种数据保护功能,它与操作系统集成在一起,可以解决数据被盗的威胁,数据被盗指的是由于计算机丢失、计算机被盗或者不当停用的旧计算机被利用等因素而导致的数据泄露”。
在安装了 TPM 的设备上,BitLocker 能提供最好的数据保护。
根据 Microsoft 的说法,“ BitLocker 在与可信平台模块 (TPM) 1.2 或更高版本的TPM一起使用时能够提供最大的保护。TPM 是一种计算机制造商安装在许多较新计算机中的硬件组件,它可以与 BitLocker 一起帮助保护用户数据以及能够确保计算机在系统离线时不被篡改数据”。
请参阅相关的Microsoft官方文档以了解有关 BitLocker 的更多信息。
注意:本文相关的实验房间所附加的虚拟机中不包含 BitLocker 功能。
答题
tips:请参阅有关 BitLocker 的 Microsoft 文档,然后回答以下问题。
翻译页面:
卷影复制服务(Volume Shadow Copy Service)
根据微软官方相关文档的说法:卷影复制服务(VSS-Volume Shadow Copy Service)能够协调所需的操作 以创建与要备份的数据一致的影子副本(也被称为快照或时间点拷贝)。
卷影副本会存储在每个启用了保护功能的驱动器上的“系统卷信息”文件夹中。
如果启用了VSS(这需要先启动系统保护),你就可以在“高级系统设置”页面中执行以下任务:
- 创建还原点
- 执行系统恢复(还原)
- 配置还原设置
- 删除还原点
从安全的角度来看,恶意软件编写者可能知道这个Windows特性(此处指的是VSS),并会在恶意软件中编写代码 以便查找备份文件并删除它们;这样攻击者这样做,那么我们就不可能从勒索软件攻击中恢复数据,除非我们另有离线/异地备份。
如果你希望配置影子副本,请参考以下图片:
注意:选中系统卷(如c:\\)并点击上图中的“Enable”,即可成功创建一个卷影副本。
答题
tips:阅读本小节内容,可回答以下问题。
小结
在本文中,我们介绍了几个内置的 Windows 安全工具,这些工具会随 Windows 操作系统一起被提供给用户,以帮助我们更好地保护计算机设备。
关于 Windows 操作系统,还有很多内容需要解释和涵盖。本文包括前两篇系列文章都只是对Windows操作系统进行了一些基础介绍,如果想了解有关 Windows 操作系统的更多信息,你还需要自己继续开展相关的学习。
延伸阅读材料:
- \[Windows 10 Hello\](https://support.microsoft.com/en-us/windows/learn-about-windows-hello-and-set-it-up-dae28983-8242-bb2a-d3d1-87c9d265a5f0#:~:text=Windows 10,in with just your PIN.)
注意:
攻击者可以使用内置的 Windows 工具和实用程序来完成进一步的攻击操作,这种方式能够试图让攻击者在受害者环境中不被轻易发现;此策略被称为 Living Off The Land(LotL策略),你可以参阅以下链接以了解更多相关信息。
- Author:Pass`Miao
- URL:whypass.top/article/1b480a1f-83f0-8044-9956-d763edbc840d
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
