windows安全基础的一点点东西

以下内容均属于使用层面，不涉及原理，因为原理我也不懂啊（蓝廋）。。。

第一部分：账户

0x00 用户账户

1. 概述：
   1. 不同的用户身份拥有不同的权限
   2. 每个用户包含一个名称和一个密码
   3. 
   4. 用户账户拥有唯一的安全标识符：标识符是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的 SID。
   5. 
   6. 关于用户权限分配，secpol.msc,打开本地安全策略，进行策略配置。
   7. 
   8.  
2. 内置用户账户：
   1. Administrator：默认系统管理员用户
   2. Guest：来宾用户默认禁用
   3. SYSTEM：本地系统账户，是系统最高权限账户，为系统核心组件访问文件资源提供权限。
   4. LOCAL SRVICE：本地服务，预设的拥有最小权限的本地账户
   5. NETWORK SERVICE：网络服务，具有运行网络服务权限的计算机账户

0x01 组账户

1. 概述
   1. 组是一些用户的集合
   2. 组内的用户自动具备为组所设置的权限
   3. 
2. 内置组账户：
   1. 需要人为添加成员的内置组：Administrator，Guests，Power Users，Users
   2. 动态包含成员的内置组：
      1. 其成员由Windows程序自动添加
      2. Windows会根据用户的状态来决定用户所属的组
      3. 组内成员也随之动态变化，无法修改。
   3. 动态包含成员的内置组：
      1. Interactive：动态包含在本地登录的账户
      2. Authenticated Users：动态包含了通过验证的用户，不包含来宾用户。
      3. Everyone：包含任何用户，设置开放的权限时经常使用。

0x03

       本来想写一些关于隐藏用户，账号密码方面的东西，然后查了半天资料居然只有现成的工具，至于原理如何居然没有东西，某度有点渣啊，以后学到了再补吧。

 

 

第二部分：文件系统

0x00 NTFS文件格式

1. FAT：在Dos/Windows系列操作系统中共使用的一种文件系统的总称，FAt12、FAT16、FAT32均是Fat文件系统。FAT文件系统将硬盘分为MBR区、DBR区、FAT区、FDT区、DATA区等5个区域，使用的链接表技术来跟踪文件位置，。FAT32的弊端是：最大的限制在于兼容性方面，Fat32不能保持向下兼容，当分区小于512M时，Fat32不会发生作用，单个文件不能大于4G。（百度百科）关于FAT32文件系统详细可参考：https://blog.csdn.net/li_wen01/article/details/79929730
2. NTFS：取代了老式的FAT文件系统。NTFS对FAT和HPFS作了若干改进，例如，利用B-Tree文件管理方法来跟踪文件在磁盘上的位置,支持元数据，并且使用了高级数据结构，以便于改善性能、可靠性和磁盘空间利用率，并提供了若干附加扩展功能，提供长文件名、数据保护和恢复，并通过目录和文件许可实现安全性

 

0x01 NTFS权限概述：

1. 分配了正确的访问权限后，用户才能访问其资源，设置访问权限防止资源被篡改、删除

可以看到FAT32地文件系统不具备安全配置选项，任何人都能访问，windowsXP系统早期也使用了这种文件类型，可以猜想一下关于文件权限这一块应该就会属于弱防护。右边是NTFS的文件系统，带有安全配置选项，以及其他FAT不具备的属性。

1. 特点：提高了磁盘的读写性能，减少并且可以优化磁盘碎片化，提高了磁盘的利用率。

0x02 关于win10下NTFS权限访问设置

其他的可以自行再研究研究，还是有很多东西，毕竟Microsoft是真的牛逼。

 

0x03 文件系统安全之EFS

1. EFS：加密文件系统。 EFS加密是基于公钥策略的， 对用户是透明的。这也就是说，如果你加密了一些数据，那么你对这些数据的访问将是完全允许的，并不会受到任何限制。

1. 无公钥的的用户对于文件不允许读取。但是存在的问题是当前权限高于加密用户权限时可以将文件删除，所以需要对权限进行其他的控制。
2. 当需要在其他地方打开时，需要提前导出该加密文件的私钥，又可以说是这个文件的证书。

 

第3部分： 服务安全

0x00：服务的概述

1. 服务可以分为两大类，服务应用程序，驱动服务程序：
   1. 服务应用程序是指遵照Service Control Manager2接口要求，能够在系统启动时自动启动的，用户能够通过服务控制面板控制的那些即使没有一个用户登录也能够运作的程序。

1. 1. 驱动服务和服务应用程序非常类似，一般指那些设备驱动程序协议等，大家安装的各种驱动程序，就属于这一范畴
2. 注册表查看服务，可配置服务的相关属性和参数

注册表的参数修改在service控制器也可以同步修改

1. 服务可以运行在不同的权限下面，通常由local System，Networks Service，Local Service，也可以配置运行在administrator或者其他账户。当然，其中system权限是一个服务能运行的最高权限。
2. Svhost存储位置及相关分析：
   1. Service一般位于%systemroot%\system32目录下面，如果启用了DLLcache功能，还可能存在%systemroot%\system32\dllcache目录下面，如果WindowsService Pack不是使用的集成安装，还可能位于%systemroot%\ServicePack目录下。除此之外，svhost.exe不应该存在于其他目录下，如果存在可能为木马程序。
   2. 关于svhost的介绍：他是作为服务的宿主程序，在启动时通过以下方法来启动：读取注册表计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost的键值。在这个分支下面，有很多键值类型为REG_MULTI_SZ，举个栗子，当svhost.exe程序开始读取netsvcs的时候，系统将创建一个schost.exe实例来处理netsvcs键值的数据，所有在netsvcs里面描述的服务将运行在一个svhost.exe进程里面。也就是说，一个svhost.exe将处理所有netsvcs里面的记录的服务，这就是所谓的宿主的概念。

第4部分 安全策略

0x00 本地安全策略

1. 本地安全策略影响本地计算机的安全设置，当用户登录到系统时，就会受到本地安全策略的影响，他会限制用户的一些操作，如密码长度等等。Secpol.msc开启本地安全策略管理器
2. 举个例子：设置当我们5次把密码输入错误就锁定账户10分钟。

1. 其他的自己去玩儿吧。。。。

0x01 本地安全组策略

       1、使用gpedit.msc打开策略管理器，其他的自己去玩吧，这玩意功能太强大了。。。