tryhackme-预安全-windows基础-windows 基础知识3-18

tryhackme-Pre Security-Windows Fundamentals -Windows Fundamentals 3
房间地址：https://tryhackme.com/room/windowsfundamentals3xzx
这是网络安全入门的基础模块的计算机科学基础知识：Windows Fundamentals 3（windows 基础知识3），序号 01 表示第一篇文章，当你不知道从哪里开始的时候，你可以按照数字顺序来进行参考即可。

Windows Fundamentals 3

Task 1 Introduction

我们将继续探索 Windows 操作系统。

总结前两个模块：

在 Windows 基础 1 中，我们介绍了桌面、文件系统、用户帐户控制、控制面板、设置和任务管理器。
在 Windows 基础 2 中，我们介绍了各种实用程序，例如系统配置、计算机管理、资源监视器等。
本模块将尝试概述 Windows 操作系统中的安全功能。

按下下方的“启动机器”按钮启动连接的虚拟机。

如果您希望通过远程桌面访问虚拟机，请使用以下凭据。

机器 IP：MACHINE_IP

用户：administrator

密码：letmein123!

通过他们的攻击盒子，remmina 连接过去的。

出现提示时，请接受证书，然后您现在应该已登录远程系统。

注意：虚拟机可能需要最多 3 分钟才能加载。

Task 2 Windows Updates

让我们从 Windows 更新开始。

Windows 更新是 Microsoft 提供的一项服务，旨在为 Windows 操作系统和其他 Microsoft 产品（例如 Microsoft Defender）提供安全更新、功能增强和补丁。

更新通常在每月的第二个星期二发布。这一天称为补丁星期二。但这并不意味着关键更新/补丁必须等到下一个补丁星期二才发布。如果更新紧急，Microsoft 会通过 Windows 更新服务将更新推送到 Windows 设备。

请参阅以下链接，查看 Microsoft 安全更新指南。
https://msrc.microsoft.com/update-guide

Windows 更新位于“设置”中。见下文。

提示：另一种访问 Windows 更新的方法是从“运行”对话框或 CMD 运行命令 control /name Microsoft.WindowsUpdate。

在连接的虚拟机中，有几点需要注意。

Windows 更新设置处于“托管”状态。（通常，家庭用户不会看到此类消息）
虚拟机没有可用的更新。（连接的虚拟机无法访问互联网，因此无法与 Microsoft 通信以获取新的更新）

多年来，Windows 用户已经习惯于将 Windows 更新推迟到以后的日期，甚至根本不安装更新。造成这种情况的原因有很多，其中之一就是 Windows 更新后通常需要重启。

微软在 Windows 10 中特别解决了这个问题。更新不能再被忽略或搁置，直到被遗忘。Windows 更新只能推迟，但最终更新会进行，您的计算机将重启。微软提供这些更新是为了确保设备的安全。

下图显示了“需要重启”的提示以及安排重启的几个可用选项。

请参阅 Windows 更新常见问题解答以了解更多信息。
FAQ：https://support.microsoft.com/en-us/windows/windows-update-faq-8a903416-6f45-0718-f5c7-375e92dddeb2

Task 3 Windows Security

微软表示，“Windows 安全中心是您管理保护设备和数据的工具的平台”。

如果您错过了，Windows 安全中心也可在“设置”中找到。

在上图中，请重点关注保护区域。

病毒和威胁防护
防火墙和网络防护
应用和浏览器控制
设备安全
以下每个任务都会简要涉及这些区域。

在继续操作之前，我们先简单介绍一下状态图标。

绿色表示您的设备已获得充分保护，无需采取任何措施。
黄色表示有安全建议需要您查看。
红色表示警告，提示某些情况需要您立即关注。

单击打开 Windows 安全。

注意：由于连接的虚拟机是 Windows Server 2019 版本，因此它的外观与 Windows 10 家庭版或专业版有所不同。

下图来自 Windows 10 设备。

Task 4 Virus & threat protection

病毒和威胁防护分为两部分：

当前威胁
病毒和威胁防护设置
下图仅关注当前威胁。

当前威胁

扫描选项

快速扫描 - 检查系统中经常出现威胁的文件夹。
全面扫描 - 检查硬盘上的所有文件和正在运行的程序。此扫描可能需要超过一小时。
自定义扫描 - 选择要检查的文件和位置。
威胁历史记录

上次扫描 - Windows Defender 防病毒软件会自动扫描您的设备中是否存在病毒和其他威胁，以帮助保护设备安全。
隔离的威胁 - 隔离的威胁已被隔离并阻止在您的设备上运行。它们将被定期删除。
允许的威胁 - 允许的威胁是指被识别为威胁且您允许在设备上运行的项目。
警告：仅当您 100% 确定自己正在执行的操作时，才允许运行已被识别为威胁的项目。

接下来是病毒和威胁防护设置。

病毒和威胁防护设置

管理设置

实时防护 - 定位并阻止恶意软件在您的设备上安装或运行。
云端防护 - 通过访问云端的最新防护数据，提供更强大、更快速的防护。
自动样本提交 - 将样本文件发送给 Microsoft，以帮助保护您和他人免受潜在威胁。
受控文件夹访问 - 保护您设备上的文件、文件夹和内存区域，防止不友好应用程序进行未经授权的更改。
排除 - Windows Defender 防病毒软件不会扫描您已排除的项目。
通知 - Windows Defender 防病毒软件将发送包含有关您设备健康状况和安全性的重要信息的通知。
警告：排除的项目可能包含使您的设备易受攻击的威胁。仅当您 100% 确定自己在做什么时才使用此选项。

病毒和威胁防护更新

检查更新 - 手动检查更新以更新 Windows Defender 防病毒定义。
勒索软件防护

受控文件夹访问 - 勒索软件防护需要启用此功能，而启用此功能又需要启用实时保护。
注意：连接的虚拟机中的实时保护已关闭，以降低出现性能问题的可能性。由于虚拟机无法访问互联网，且虚拟机中不存在任何威胁，因此这样做是安全的。除非您拥有提供相同保护的第三方产品，否则务必在您的个人 Windows 设备上启用实时保护。请确保它始终处于最新状态并已启用。

提示：您可以通过右键单击任何文件/文件夹并选择“使用 Microsoft Defender 扫描”来对其执行按需扫描。

下图是从另一台 Windows 设备拍摄的，以展示此功能。

Task 5 Firewall & network protection

什么是防火墙？

根据微软的说法，“流量通过我们所谓的端口进出设备。防火墙控制着哪些内容可以通过这些端口，更重要的是，哪些内容不能通过。你可以把它想象成站在门口的保安，检查所有试图进出设备的身份证件。”

下图显示了您导航到“防火墙和网络保护”时看到的内容。

注意：每个网络的状态图标可能有所不同。

这三个（域、私有和公共）之间有什么区别？

根据 Microsoft 的说法，“Windows 防火墙提供三个防火墙配置文件：域、私有和公共”。

域 - 域配置文件适用于主机系统可以向域控制器进行身份验证的网络。
私有 - 私有配置文件是用户分配的配置文件，用于指定私有网络或家庭网络。
公共 - 默认配置文件是公共配置文件，用于指定公共网络，例如咖啡店、机场和其他地点的 Wi-Fi 热点。
如果您点击任何防火墙配置文件，将出现另一个屏幕，其中包含两个选项：打开/关闭防火墙以及阻止所有传入连接。

警告：除非您对自己所做的事情有 100% 的信心，否则建议您保持 Windows Defender 防火墙处于启用状态。

您可以查看任何防火墙配置文件的当前设置。在上图中，多个应用在私有和/或公共防火墙配置文件中拥有访问权限。如果“详细信息”按钮显示更多信息，某些应用会提供更多信息。

配置 Windows Defender 防火墙需要高级 Windows 用户。请参阅以下 Microsoft 文档，了解最佳实践。
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/best-practices-configuring

提示：打开 Windows Defender 防火墙的命令是 WF.msc。

Task 6 App & browser control

在本部分中，您可以更改 Microsoft Defender SmartScreen 的设置。

据 Microsoft 称，“Microsoft Defender SmartScreen 可防御网络钓鱼或恶意软件网站和应用程序，以及潜在恶意文件的下载”。

有关 Microsoft Defender SmartScreen 的更多信息，请参阅此处的 Microsoft 官方文档。

https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-smartscreen/microsoft-defender-smartscreen-overview

检查应用和文件

Windows Defender SmartScreen 通过检查网络上未识别的应用和文件来帮助保护您的设备。

漏洞保护

Windows 10（以及我们所使用的 Windows Server 2019）内置了漏洞保护功能，可帮助保护您的设备免受攻击。

警告：除非您对自己所做的事情有 100% 的信心，否则建议您保留默认设置。

Task 7 Device security

尽管您可能永远不会更改任何这些设置，但为了完整起见，我们将简要介绍一下。

核心隔离

内存完整性 - 防止攻击将恶意代码插入高安全性进程。

警告：除非您对所做操作有 100% 的信心，否则建议您保留默认设置。

下图来自另一台机器，旨在展示个人 Windows 10 设备中应具备的另一项安全功能。

安全处理器

以下是安全处理器的详细信息。

什么是可信平台模块 (TPM)？

微软表示：“可信平台模块 (TPM) 技术旨在提供基于硬件的安全相关功能。TPM 芯片是一种安全的加密处理器，用于执行加密操作。该芯片包含多重物理安全机制，使其具有防篡改功能，恶意软件无法篡改 TPM 的安全功能。”

Task 8 BitLocker

什么是 BitLocker？

据微软称，“BitLocker 驱动器加密是一项与操作系统集成的数据保护功能，可应对丢失、被盗或不当停用的计算机造成的数据盗窃或泄露威胁”。

在安装了 TPM 的设备上，BitLocker 可提供最佳保护。

据微软称，“BitLocker 与可信平台模块 (TPM) 1.2 或更高版本配合使用时可提供最佳保护。TPM 是由计算机制造商安装在许多较新型计算机中的硬件组件。它与 BitLocker 配合使用，帮助保护用户数据，并确保计算机在系统离线时不被篡改”。

请参阅此处的 Microsoft 官方文档，了解有关 BitLocker 的更多信息。
https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview

注意：连接的虚拟机不包含 BitLocker 功能。

Task 9 Volume Shadow Copy Service

根据 Microsoft 的说法，卷影复制服务 (VSS) 会协调所需的操作，以创建待备份数据的一致卷影副本（也称为快照或时间点副本）。

卷影副本存储在每个启用保护的驱动器上的“系统卷信息”文件夹中。

如果启用了 VSS（即已打开“系统保护”），您可以在高级系统设置中执行以下任务：

创建还原点
执行系统还原
配置还原设置
删除还原点
从安全角度来看，恶意软件编写者知道 Windows 的这一功能，并在其恶意软件中编写代码来查找并删除这些文件。这样做会导致勒索软件攻击后无法恢复，除非您拥有离线/异地备份。

如果您希望在连接的虚拟机中配置卷影副本，请参见下文。

奖励：如果您希望亲自与 VSS 互动，我建议您探索《Advent of Cyber 2》的第 23 天。
https://tryhackme.com/room/adventofcyber2

Task 10 Conclusion

在本讲室中，我们介绍了 Windows 操作系统内置的几款安全工具，它们有助于保护设备安全。

关于 Windows 操作系统，还有很多内容需要解释和介绍。正如 Windows 基础知识 1 讲室中提到的，“本讲内容面向希望更轻松地理解和使用 Windows 操作系统的用户。”

要了解更多关于 Windows 操作系统的信息，您需要继续学习。

更多阅读材料：

反恶意软件扫描接口：https://learn.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
凭据保护：https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-manage
Windows 10 Hello：https://support.microsoft.com/en-us/windows/learn-about-windows-hello-and-set-it-up-dae28983-8242-bb2a-d3d1-87c9d265a5f0#:~:text=Windows 10,in with just your PIN.
CSO Online - Windows 10 最佳新安全功能：https://www.csoonline.com/article/3253899/the-best-new-windows-10-security-features.html

注意：攻击者使用内置的 Windows 工具和实用程序，试图在受害者环境中不被发现。这种策略被称为“Living Off The Land（大陆上生活，以后不再纠正到英文）”。请参阅以下资源了解更多信息。
https://lolbas-project.github.io/