Windows基础

一、用户及用户组

1、用户权限的划分

​ System：最高权限

​ adminstrator：管理员权限

​ user：普通用户权限

2、权限继承

​ 管理员启动ftp，ftp就获得了管理员权限

3、默认用户

​ adminstrator

​ Guest来宾用户

​ net user：查看系统所有用户

4、用户组

​用户组的特性

1）组是一些用户的集合

2）为一个组添加权限后，组内成员自动获得对应权限

3） 用户加入组后，获得组的所有权限

特殊的组

1）adminstrators组：系统管理员组

2） guests组：来宾组

3） Users组：普通用户组

4）Power Users组：权限比user的权限多一些，比管理员的权限少一些

5）Remote Desktop组：远程连接组

6）print Users组：打印机组，组内成员可以操作打印机

 `查看所有用户组：net localgroup`

5、SID（Security Identifiers） 安全标识符

查看Sid：whoami /user

6、常用命令

用户命令

1） `whoami：查看当前用户权限`

2） `net user + 用户名：查看具体用户信息`

3） `net user + 用户名 + 密码 /add：添加一个用户（需要管理员权限）`

4） `net user + 用户名 /delete`

5） `query user：查询在线用户`

​ 用户组命令

1）`net localgroup 组名 /add：添加一个用户组`

2） `net localgroup 组名：看组内成员`

3） `net localgroup 用户组 用户名 /del：将指定用户移出组`

4） `net localgroup 用户组 用户名 /add：将指定用户添加进组`

​ 进程命令

1）`tasklist：查看进程`

2） `tasklist /svc：可以显示进程服务，方便信息收集`

  TeamService.exe：远程桌面进程

3） `Windows杀软对比辅助：http://tools.mo60.cn/index.php`

4） `taskkill /f /im 进程Pid：杀死指定进程`

网络命令：

1） `ipconfig：查看本地ip`

2） `netstat -ano：查看本地网络信息`

3） `netstat -ano | findstr "3389" ：查看3389是否开启`

4） 开启3389（需要管理员权限）：REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

5） 关闭3389（需要管理员权限）：REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

系统命令：

ver：查看版本信息

  windows 5.1——>2003

  windows 5.2——>xp

  windows 6.1——>win7、2008

  windows 6.2——>win8、2012

  windows 10——>win10

systeminfo：查看windows详细信息

二、uac、asr和applocker

1、windows认证及密码

密码存储文件SAM：C:\windows\system32\config

密码加密类型

1）ntlm hash

2）ntlm v1

3）ntlm v2

4）lm hash

登录过程

​ winlogon.exe———>lsass.exe———>认证

win版本&&密码版本

1）windows 2000————lm hash

2）windows 2003————ntlm hash

3）windows 7————ntlm hash v2

2、认识windows UAC( User Account Control ) 用户帐户控制

​ 触发uac的操作

​ 1）windows update

​ 2）增加删除用户

​ 3）改变账户类型

​ 4）安装或者删除程序

​ 5）安装驱动

​ 6）设置家长控制
​ ……

3、认识windows ASR（攻击面减少）

版本要求

windows 10的1709版本

windows server 2016的版本

作用：通过配置规则，防止电脑被攻击

office钓鱼

usb攻击

驱动下载攻击

apk攻击

查看asr

​ 1)gpedit.msc打开组策略编辑器

​ 2)进入计算机设置

​ 3)进入管理模板

​ 4)windows组件

​ 5)windows defender防病毒

​ 6)windows denfender攻击防护

​ 7)攻击面减少

asr规则

1）未配置：禁用asr --> 0

2）阻止：启用asr--> 1

3）审核：评估影响--> 2

4）设置规则:  Add-MpPreference -AttackSurfaceReductionOnlyExclusions 

5）查看规则效果：eventvwr.msc打开事件查看器

4、认识windows applocker（应用程序控制策略）

启用applocker

services.msc

application identity

查看applocer

secpol.msc

application control Policies（应用程序控制）

applocker规则

1）可执行文件: .exe、.com

2）脚本: ps1、 bat、vbs

3）安装文件: .msi

4）dll: dll文件

applocer规则条件

发布者

路径

文件hash

三、powershell和域

1、windwos access token

组成

1）用户SID

2）用户组SID

3）登录信息的SID

​......

2、windows PowerShell

优点

1）win7以后默认集成

2）内存执行，具有隐蔽性

3）易于绕过杀软

4）后缀为ps1

​ ……
版本

win7 —— 2.0

win8 —— 3.0

win8.1 —— 4.0

win10 —— 5.0

Get-Host:获取PS版本信息

powershell策略

Restricted：禁止一切运行

RemoteSigned：本地可以运行，远程禁止

AllSigned：拥有签名的可以运行

Unrestricted：允许一切运行

Get-ExecutionPolicy：查看当前策略

Set-ExecutionPolicy：设置策略

绕过策略

powershell.exe -ep Bypass -File .\PowerView.ps1

powershell.exe -ep Bypass -WindowsStyle Hidden -Nologo -Nointeractive -Noprofile -File .\PowerView.ps1

常见脚本

powersplit

nishang

empire

powercat

3、认识windows域

域控

DNS服务器：可以依靠dns定位域控

域内用户组

1)Domain Admins：域管理组

2)Domain Users：组用户组

3)Enterprise Admins：企业系统管理组

4)Schema Admins：架构管理员组

域内常见命令

1)ipconfig /all

2)net user administrator /domian：查看用户在域内的详细信息

3)net time /doamin：查看域控信息

4)net view /domain:域名：查看域内的机器

5)net group /domain：查看域内的用户组

6)net group "domain computers" /domain：查看域成员列表

查域控命令

nltest /DCLIST：域控

net group "domain controllers" /domain

查看域内用户

net user/domain

dsquery user

powerview脚本

Get-NetUser：返回域内的信息

Get-NetDomainController：获取域控

Get-NetComputer：获取域内机器

​
​
​
​
​
​