Windows系统安全基础

什么是Service

服务应用程序

一般对应的后缀是exe

驱动程序

一般后缀是dll

查看Windows服务方法及相关服务添加/删除

进入服务的方法

msconfig

Services.msc

计算机管理

Svchost存储位置及相关分析

一般存在于 %systemroot%\system32 %systemroot%\system32\dllcache %systemroot%\ServicePack 其余的地方可能是木马程序

C:\Users\ezi>tasklist /svc   //查看svchost是那一个程序的宿主
1

管理用户账户

• 不同的用户身份拥有不同的权限
• 每一个用户包含一个名称和一个密码
• 用户账户拥有唯一的安全标识符

默认用户只存在Administrator和Guest

像现在就是除了kaikai.wang用户其余的都是被禁用状态，一般管理员可以进行重命名

查看安全SID

每一个用户有一个单独的ID可以通过CMD命令行的whoami \user来查看

C:\Users\ezi>whoami /user

用户信息
----------------

用户名                      SID
=========================== =============================================
desktop-06oqmaj\kaikai.wang S-1-5-21-2079326772-3321283505-661519477-1001
1
2
3
4
5
6
7
8

这一个SID对应有相应的注册表（Regedit）

配置本地的安全策略

打开命令secpol.msc可以在下面进行远程配置

内置用户账户

• 与使用者关联的用户账户

Administrator(管理员用户) ： 默认的管理员用户

Guest(来宾用户)：默认是禁用的

• 与Windows组件关联的用户账户

SYSTEM(本地系统) ：为Windows的核心组件访问文件等资源提供权限

LOCAL SERVICE（本地服务）：预设的拥有最小权限的本地用户

NetWORK SERVICE（本地服务）：具有运行网络服务权限的计算机用户

管理组账户

组是一些用户的集合

组内的用户自动具备为组所设置的权限

需要人为添加成员的内置组

• Administrators
• Guests
• Power Users
• Users(标准用户)

动态包含成员成员的内置组

其成员由Windows程序“自动添加”

Windows会根据用户的状态来决定用户所属的组

组内的成员也随之动态变化，无法修改

• Interactive 动态包含在本到登录的用户
• Authenticated Users 动态包含了通过验证的用户 不包含来宾用户
• Everyone 包含任何用户 设置开放的权限时经常使用

设置用户归属不同的组

net user  //查看用户列表
net user guest  //查看组的信息
net user test /add  //创建一个新的用户
net user test$ /add  //创建一个隐藏的用户，但是这个用户可以在界面看见
net localgroup administrators test$ /add //
1
2
3
4
5

Windows账户克隆及超级隐藏

上面创建的用户后面加上$,这个用户不能再命令行查看到，但是在页面上面是可以看见的，如果需要在图形化上面隐藏，修改注册表

Windows密码破解

通过Mimidrv进行提取

privilege::debug //提取权限
sekurlas::logonpasswords//抓取密码
1
2

NTFS权限

分配了正确的访问权限后，用户才能访问资源

设置权限防止资源被篡改、删除

fat32转ntfs FAT32每一个文件大小限制在4G

convert E:/FS:NTFS

文件权限

NTFS权限细致划分

可以使用加密的方式保护文件

但是在远程桌面的情况下，加密可以解除

对每一个用户可以配置磁盘配额