tryhackme-Pre Security-Windows Fundamentals -Windows Fundamentals 2
房间地址:https://tryhackme.com/room/windowsfundamentals2x0x
这是网络安全入门的基础模块的计算机科学基础知识:Windows Fundamentals 2(windows 基础知识2),序号 01 表示第一篇文章,当你不知道从哪里开始的时候,你可以按照数字顺序来进行参考即可。
Windows Fundamentals 2
Task 1 Introduction
本模块将尝试概述 Windows 操作系统中可用的其他一些实用程序以及访问这些实用程序的不同方法。
按下下方的“启动机器”按钮启动连接的虚拟机。
如果您希望通过远程桌面访问虚拟机,请使用以下凭据。
机器 IP:MACHINE_IP
用户:administrator
密码:letmein123!
出现提示时,请接受证书,然后您现在应该已登录远程系统。
注意:虚拟机可能需要最多 3 分钟才能加载。
Task 2 System Configuration
系统配置实用程序 (MSConfig) 用于高级故障排除,其主要目的是帮助诊断启动问题。
有关系统配置实用程序的更多信息,请参阅以下文档。
https://docs.microsoft.com/en-us/troubleshoot/windows-client/performance/system-configuration-utility-troubleshoot-configuration-errors
有几种方法可以启动系统配置。其中一种方法是从“开始”菜单启动。
注意:您需要本地管理员权限才能打开此实用程序。
此实用程序顶部有五个选项卡。以下是每个选项卡的名称。我们将在本任务中简要介绍每个选项卡。
常规
启动
服务
启动
工具
在“常规”选项卡中,我们可以选择 Windows 启动时加载的设备和服务。选项包括:正常、诊断或选择性。
在“启动”选项卡中,我们可以为操作系统定义各种启动选项。
“服务”选项卡列出了系统配置的所有服务,无论其状态如何(正在运行或已停止)。服务是一种在后台运行的特殊应用程序。
在“启动”选项卡中,你不会在附加的虚拟机中看到任何有用的信息。下面是我本地计算机上 MSConfig 启动选项卡的屏幕截图。
如您所见,Microsoft 建议使用任务管理器 (taskmgr) 来管理(启用/禁用)启动项。系统配置实用程序并非启动管理程序。
注意:如果您打开已连接虚拟机的任务管理器,您会注意到任务管理器没有显示“启动”选项卡。
“工具”选项卡中列出了各种实用程序(工具),我们可以运行这些实用程序来进一步配置操作系统。每个工具都有简要说明,以便您了解其用途。
注意“选定的命令”部分。此文本框中的信息会根据工具的不同而变化。
要运行某个工具,我们可以使用命令通过运行提示符、命令提示符或点击“启动”按钮来启动该工具。
Task 3 Change UAC Settings
我们将继续介绍可通过系统配置面板访问的工具。
用户帐户控制 (UAC) 在 Windows 基础知识 1 中进行了详细介绍。
UAC 设置可以更改,甚至可以完全关闭(不推荐)。
您可以移动滑块来查看该设置将如何更改 UAC 设置以及 Microsoft 对该设置的立场。
Task 4 Computer Management
我们将继续介绍系统配置面板中可用的工具。
计算机管理 (compmgmt) 实用程序主要包含三个部分:系统工具、存储以及服务和应用程序。
系统工具
让我们从任务计划程序开始。根据微软的说法,使用任务计划程序,我们可以创建和管理计算机将在指定时间自动执行的常见任务。
任务可以运行应用程序、脚本等,并且可以配置为在任何时间点运行。任务可以在登录或注销时运行。还可以配置任务按特定时间表运行,例如每五分钟运行一次。
要创建基本任务,请单击“操作”(右窗格)下的“创建基本任务”。
接下来是事件查看器。
事件查看器允许我们查看计算机上发生的事件。这些事件记录可以被视为审计线索,用于了解计算机系统的活动。这些信息通常用于诊断问题和调查在系统上执行的操作。
事件查看器有三个窗格。
左侧窗格以树状结构列出事件日志提供程序。(如上图所示)
中间窗格将显示所选提供程序的事件概览和摘要。
右侧窗格是操作窗格。
可以记录五种类型的事件。以下表格来自 docs.microsoft.com,对每种事件进行了简要说明。
https://docs.microsoft.com/en-us/windows/win32/eventlog/event-types
标准日志在 Windows 日志下可见。下表来自 docs.microsoft.com,对每个日志进行了简要说明。
https://learn.microsoft.com/en-us/windows/win32/eventlog/eventlog-key
有关事件查看器和事件日志的更多信息,请参阅 Windows 事件日志室。
https://tryhackme.com/room/windowseventlogs
在共享文件夹中,您将看到其他人可以连接的共享文件夹的完整列表。
在上图中,“共享”下是 Windows 的默认共享 C$ 以及 Windows 创建的默认远程管理共享,例如 ADMIN$。
与 Windows 中的任何对象一样,您可以右键单击文件夹来查看其属性,例如权限(谁可以访问共享资源)。
在“会话”下,您将看到当前连接到共享的用户列表。在此虚拟机中,您将看不到任何连接到共享的用户。
已连接用户访问的所有文件夹和/或文件都将列在“打开的文件”下。
您应该在“Windows 基础 1”中熟悉“本地用户和组”部分,因为它是 lusrmgr.msc。
在“性能”中,您会看到一个名为“性能监视器 (perfmon)”的实用程序。
Perfmon 用于实时或从日志文件查看性能数据。此实用程序可用于排除本地或远程计算机系统的性能问题。
设备管理器允许我们查看和配置硬件,例如禁用连接到计算机的任何硬件。
存储
“存储”下是 Windows Server 备份和磁盘管理。本部分我们只讨论磁盘管理。
注意:由于虚拟机是 Windows Server 操作系统,因此有一些在 Windows 10 中通常看不到的实用程序可用。
磁盘管理是 Windows 中的一款系统实用程序,可让您执行高级存储任务。部分任务包括:
设置新驱动器
扩展分区
缩小分区
分配或更改驱动器号(例如 E:)
服务和应用程序
回想一下上一个任务;服务是一种在后台运行的特殊应用程序。在这里,除了启用和禁用服务之外,您还可以执行其他操作,例如查看服务的属性。
WMI 控制用于配置和控制 Windows 管理规范 (WMI) 服务。
根据维基百科,“WMI 允许使用脚本语言(例如 VBScript 或 Windows PowerShell)在本地和远程管理 Microsoft Windows 个人计算机和服务器。Microsoft 还为 WMI 提供了一个命令行界面,称为 Windows 管理规范命令行 (WMIC)。
注意:WMIC 工具在 Windows 10 版本 21H1 中已弃用。Windows PowerShell 将取代此 WMI 工具。
Task 5 System Information
我们继续介绍系统配置面板中可用的工具。
什么是系统信息 (msinfo32) 工具?
据微软称,“Windows 包含一个名为 Microsoft 系统信息 (Msinfo32.exe) 的工具。此工具会收集有关您计算机的信息,并显示硬件、系统组件和软件环境的综合视图,您可以使用它来诊断计算机问题。”
系统摘要中的信息分为三个部分:
硬件资源
组件
软件环境
系统摘要将显示计算机的一般技术规格,例如处理器品牌和型号。
硬件资源中显示的信息并不适合普通计算机用户。如果您想了解更多关于此部分的信息,请参阅微软官方页面。
https://learn.microsoft.com/en-us/windows-hardware/drivers/kernel/hardware-resources
在“组件”下,您可以查看计算机上安装的硬件设备的具体信息。有些部分不显示任何信息,但有些部分会显示,例如“显示”和“输入”。
在“软件环境”部分,您可以查看操作系统内置软件以及您已安装软件的信息。此部分还显示其他详细信息,例如环境变量和网络连接。
回想一下在 Windows 基础知识 1 的“Windows\System32 文件夹任务”中简要提到过的环境变量。
根据微软的说法,“环境变量存储有关操作系统环境的信息。这些信息包括操作系统路径、操作系统使用的处理器数量以及临时文件夹的位置等详细信息。
环境变量存储操作系统和其他程序使用的数据。例如,WINDIR 环境变量包含 Windows 安装目录的位置。程序可以查询此变量的值来确定 Windows 操作系统文件的位置。”
点击“环境变量”即可查看虚拟机的已分配值。
查看环境变量的另一种方法是控制面板>系统和安全>系统>高级系统设置>环境变量或设置>系统>关于>系统信息>高级系统设置>环境变量。
绕道已结束。让我们把注意力重新转向 msinfo32,继续之前的步骤。
在这个实用程序的最底部,有一个搜索栏。请尝试一下。选择“组件”,然后搜索“IP 地址”。
Task 6 Resource Monitor
我们继续介绍可通过系统配置面板访问的工具。
什么是资源监视器 (resmon)?
据微软介绍,“资源监视器显示每个进程以及 CPU、内存、磁盘和网络使用情况的汇总信息,此外还提供有关哪些进程正在使用各个文件句柄和模块的详细信息。高级筛选功能允许用户隔离与一个或多个进程(应用程序或服务)相关的数据,启动、停止、暂停和恢复服务,以及从用户界面关闭无响应的应用程序。它还包含一个进程分析功能,可以帮助识别死锁进程和文件锁定冲突,以便用户可以尝试解决冲突,而不是关闭应用程序并避免数据丢失。”
与本会议室中提到的其他一些工具一样,此实用程序主要面向需要对计算机系统执行高级故障排除的高级用户。
在“概览”选项卡中,Resmon 包含四个部分:
CPU
磁盘
网络
内存
Task 7 Command Prompt
我们将继续介绍可通过系统配置面板访问的工具。
命令提示符 (cmd) 乍一看可能令人望而生畏,但一旦了解如何与其交互,其实并没有那么难。
在早期的操作系统中,命令行是与操作系统交互的唯一方式。
图形用户界面 (GUI) 出现后,用户只需点击几下按钮即可执行复杂的任务,而无需在命令提示符中输入命令。
尽管 GUI 是与操作系统交互的主要方式,但计算机用户仍然可以通过命令提示符进行交互。
在本任务中,我们将仅介绍计算机用户可以在命令提示符中运行以获取有关计算机系统信息的几个命令。
让我们从几个简单的命令开始,例如 hostname 和 whoami。
命令 hostname 将输出计算机名称。
命令 whoami 将输出登录用户的名称。
接下来,我们来看看一些在故障排除时很有用的命令。
一个常用的命令是 ipconfig。此命令将显示计算机的网络地址设置。
每个命令都会有一个帮助手册,解释正确执行该命令所需的语法,以及可以添加到命令中以扩展其执行的任何附加参数。
检索命令帮助手册的命令是 /?。
例如,要查看 ipconfig 的帮助手册,可以使用以下命令:ipconfig /?
注意:要清除命令提示符屏幕,请使用 cls 命令。
下一个命令是 netstat。根据帮助手册,此命令将显示协议统计信息和当前的 TCP/IP 网络连接。
在上图中,红框内的行显示了该命令的示例语法。
该结构告诉我们,netstat 命令可以单独运行,也可以与参数(例如 -a、-b、-e 等)一起运行。
当任何参数附加到 root 命令(在本例中为 netstat)时,输出都会发生变化。您可以尝试几个参数来亲自体验一下。
net 命令主要用于管理网络资源。此命令支持子命令。
如果您输入不带子命令的 net,输出将显示 root 命令的语法,并显示一些您可以使用的子命令。
对于 net 命令,显示帮助手册 /? 不起作用。在这种情况下,您需要使用不同的语法,即 net help。
因此,如果您希望查看 net user 的帮助信息,命令是 net help user。
您可以使用相同的命令查看其他有用的网络子命令的帮助信息,例如 localgroup、use、share 和 session。
请参阅以下链接,查看您可以在命令提示符中执行的完整命令列表。
https://ss64.com/nt/
Task 8 Registry Editor
我们将继续介绍可通过系统配置面板访问的工具。
Windows 注册表(Microsoft 定义)是一个中央分层数据库,用于存储为一个或多个用户、应用程序和硬件设备配置系统所需的信息。
注册表包含 Windows 在运行过程中持续引用的信息,例如:
每个用户的配置文件
计算机上安装的应用程序及其可创建的文档类型
文件夹和应用程序图标的属性表设置
系统上有哪些硬件
正在使用的端口。
警告:注册表适用于高级计算机用户。更改注册表可能会影响正常的计算机操作。
有多种方法可以查看/编辑注册表。其中一种方法是使用注册表编辑器 (regedit)。
请参阅此处的以下 Microsoft 文档以了解有关 Windows 注册表的更多信息。
https://learn.microsoft.com/en-us/troubleshoot/windows-server/performance/windows-registry-advanced-users
Task 9 Conclusion
回想一下,本房间中讨论的任务是一些可以从 MSConfig 启动的工具。
在整个房间中,这些实用程序的命令和快捷方式都是共享的。这意味着您无需启动 MSConfig 即可运行这些实用程序。
您也可以直接从“开始”菜单运行其中一些实用程序。请参阅下文,了解其中一些实用程序的所在位置。