win11系统的安全性真不是盖的,举3个例子
1、锁屏界面,输用户名和密码
部分版本的win11系统,即便启用了Administrator用户后,登录界面仍然不显示Administrator用户名,而是"其他用户",强制让手输Administrator用户名和密码,这是微软出于安全性考虑
2、清空系统日志时清不干净
我平时用这个命令清空系统日志,但是这次发现在win11上清理不干净,报错太多了
wevtutil el | Foreach-Object {wevtutil cl "$_" 2>$null}
wevtutil cl security 2>$null
wevtutil cl system 2>$null
下面这个Powershell代码使用wevtutil el获取所有事件日志,然后使用foreach循环逐个处理每个事件日志。对于每个事件日志,脚本会尝试使用wevtutil cl命令清空它,并捕获可能出现的错误。如果无法清空某个日志,脚本将输出警告消息。
$logs = wevtutil el
foreach ($log in $logs) {
try {
wevtutil cl $log
} catch {
Write-Warning "无法清空日志:$log"
}
}
打印清理日志的过程,发现是Microsoft-Windows-LiveId/Operational和Microsoft-Windows-LiveId/Analytic清理时无权限
查找文件只找到C:\Windows\System32\winevt\Logs\Microsoft-Windows-LiveId%4Operational.evtx,没找到
C:\Windows\System32\winevt\Logs\Microsoft-Windows-LiveId%4Analytic.evtx
wevtutil el | findstr Windows-LiveId
回显是下面2行
Microsoft-Windows-LiveId/Analytic
Microsoft-Windows-LiveId/Operational
wevtutil el的结果里有“Microsoft-Windows-LiveId/Analytic”,但是去C:\Windows\System32\winevt\Logs 目录找不见“Microsoft-Windows-LiveId/Analytic”相关的文件,用Everything全盘搜索也没搜不到,为什么?
在事件查看器中,展开“应用程序和服务日志” > “Microsoft” > “Windows” > “LiveId”。
在“LiveId”目录下看不到“Analytic”,所以没法判断它到底是启用还是禁用的状态。有啥办法干预注册表实现吗?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-LiveId/Analytic
下面的键值
Enabled 0
Isolation 0
Type 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-LiveId/Operational
下面的键值
Enabled 0
Isolation 1
Type 1
以上注册表键值
Enabled 0和1分别代表什么
Isolation 0和1分别代表什么
Type的0、1、2、3分别代表什么
对比下Microsoft-Windows-LiveId/Analytic和Microsoft-Windows-LiveId/Operational的注册表键值有什么区别
用LockHunter定位,该.evtx文件被WinHttpAutoProxySvc服务占用,WinHttpAutoProxySvc服务是运行中的状态
尝试提权停止、禁用WinHttpAutoProxySvc服务均失败,总之,关于WinHttpAutoProxySvc服务的所有尝试都失败。
提权也无法停止运行中的WinHttpAutoProxySvc,也无法禁用该服务,也无法参考该文档设置WinHttpAutoProxySvc为own模式,如此看来,只能在winpe中对WinHttpAutoProxySvc服务的启动模式进行修改了。
总之,要彻底清空win11的系统日志相当麻烦,最后还是在winpe中实现删.evtx文件,单纯只清空.evtx文件内容实现不了。
3、禁用defender相当费劲,参考https://cloud.tencent.com/developer/article/2291850
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。