前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >win11系统的安全性真牛逼

win11系统的安全性真牛逼

原创
作者头像
Windows技术交流
修改于 2024-06-20 02:56:47
修改于 2024-06-20 02:56:47
5152
举报
文章被收录于专栏:Windows技术交流Windows技术交流

win11系统的安全性真不是盖的,举3个例子

1、锁屏界面,输用户名和密码

部分版本的win11系统,即便启用了Administrator用户后,登录界面仍然不显示Administrator用户名,而是"其他用户",强制让手输Administrator用户名和密码,这是微软出于安全性考虑

2、清空系统日志时清不干净

我平时用这个命令清空系统日志,但是这次发现在win11上清理不干净,报错太多了

代码语言:txt
AI代码解释
复制
wevtutil el | Foreach-Object {wevtutil cl "$_" 2>$null}
wevtutil cl security 2>$null
wevtutil cl system 2>$null

下面这个Powershell代码使用wevtutil el获取所有事件日志,然后使用foreach循环逐个处理每个事件日志。对于每个事件日志,脚本会尝试使用wevtutil cl命令清空它,并捕获可能出现的错误。如果无法清空某个日志,脚本将输出警告消息。

代码语言:txt
AI代码解释
复制
$logs = wevtutil el
foreach ($log in $logs) {
    try {
        wevtutil cl $log
    } catch {
        Write-Warning "无法清空日志:$log"
    }
}

打印清理日志的过程,发现是Microsoft-Windows-LiveId/OperationalMicrosoft-Windows-LiveId/Analytic清理时无权限

查找文件只找到C:\Windows\System32\winevt\Logs\Microsoft-Windows-LiveId%4Operational.evtx,没找到

C:\Windows\System32\winevt\Logs\Microsoft-Windows-LiveId%4Analytic.evtx

代码语言:txt
AI代码解释
复制
wevtutil el | findstr Windows-LiveId
回显是下面2行
Microsoft-Windows-LiveId/Analytic
Microsoft-Windows-LiveId/Operational

wevtutil el的结果里有“Microsoft-Windows-LiveId/Analytic”,但是去C:\Windows\System32\winevt\Logs 目录找不见“Microsoft-Windows-LiveId/Analytic”相关的文件,用Everything全盘搜索也没搜不到,为什么?

在事件查看器中,展开“应用程序和服务日志” > “Microsoft” > “Windows” > “LiveId”。
在“LiveId”目录下看不到“Analytic”,所以没法判断它到底是启用还是禁用的状态。有啥办法干预注册表实现吗?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-LiveId/Analytic
下面的键值
Enabled 0
Isolation 0
Type 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-LiveId/Operational
下面的键值
Enabled 0
Isolation 1
Type 1
以上注册表键值
Enabled 0和1分别代表什么
Isolation 0和1分别代表什么
Type的0、1、2、3分别代表什么
对比下Microsoft-Windows-LiveId/Analytic和Microsoft-Windows-LiveId/Operational的注册表键值有什么区别

LockHunter定位,该.evtx文件被WinHttpAutoProxySvc服务占用,WinHttpAutoProxySvc服务是运行中的状态

尝试提权停止、禁用WinHttpAutoProxySvc服务均失败,总之,关于WinHttpAutoProxySvc服务的所有尝试都失败。

提权也无法停止运行中的WinHttpAutoProxySvc,也无法禁用该服务,也无法参考该文档设置WinHttpAutoProxySvc为own模式,如此看来,只能在winpe中对WinHttpAutoProxySvc服务的启动模式进行修改了。

总之,要彻底清空win11的系统日志相当麻烦,最后还是在winpe中实现删.evtx文件,单纯只清空.evtx文件内容实现不了。

3、禁用defender相当费劲,参考https://cloud.tencent.com/developer/article/2291850

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
2 条评论
热度
最新
网安之路要开始了
网安之路要开始了
111举报
是滴
是滴
回复回复点赞举报
推荐阅读
编辑精选文章
换一批
实战 | 记一次对某企业的一次内网渗透总结
通过各种工具和在线网站,对子域名进行收集,并解析ip。发现主站存在CDN,使用fofa,搜索网站title、js等关键信息和子域名解析的ip对应的C段,发现真实ip。对真实ip的ip段进行扫描,发现一台机器存在Weblogic中间件,使用exp进行测试,发现成功Getshell。
HACK学习
2022/10/27
6380
Windows 入侵痕迹清理技巧
为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏自己,比如:隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等。
Bypass
2020/09/16
3.6K0
安全运维 | RDP登录日志取证和清除
EventID=4624,从安全日志中获取登录成功的客户端登录ip、登录源端口、登录时间等信息
安全小王子
2023/02/25
2.5K0
安全运维 | RDP登录日志取证和清除
[ffffffff0x] 安全蓝队 : windows日志检索和分析
在运维工作过程中,如若windows服务器被入侵,往往需要检索和分析相应的安全日志。除了安全设备,系统自带的日志就是取证的关键材料,但是此类日志数量庞大,需要高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。
r0fus0d
2021/01/06
3.3K0
[ffffffff0x] 安全蓝队 : windows日志检索和分析
如何制作sysprep镜像,确保同一镜像买的不同机器的SID不一样
制作sysprep镜像的步骤主要就2步:下载自动应答文件 → 执行sysprep命令
Windows技术交流
2022/05/19
1.6K0
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
Windows 事件日志是记录系统事件和错误信息的宝库。可以帮助你识别和解决各种问题,例如应用程序崩溃、系统错误和安全审核等。
全栈工程师修炼指南
2024/04/17
1.2K0
DOS 命令 | 每日一学,wevtutil 快速检索 Windows 系统事件日志元数据
系统日志信息查看一览表
描述:Windows 事件命令行实用程序,用于检索有关事件日志和发布者的信息,安装和卸载事件清单,运行查询以及导出、存档和清除日志。
全栈工程师修炼指南
2022/09/28
9020
系统日志信息查看一览表
干货|攻击溯源的排查范围
文章来源:https://www.77169.net/html/273101.html
Power7089
2021/01/11
9480
Win11彻底关闭Defender(包括禁用、删除Defender服务和文件夹)
一般是不建议禁止defender自动更新或者彻底关闭Defender的,但如果你有其他替代的安全方案了,觉得defender有干扰业务隐患,想干掉,那这篇文档非常适用。耗费了不少心血在server2016-2022和win10、win11上对比实践。
Windows技术交流
2023/05/26
22.5K0
应急响应--windows入侵检查思路及流程
服务器被入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等
红队蓝军
2024/08/01
3800
应急响应--windows入侵检查思路及流程
Windows 操作系统安全配置实践(安全基线)
描述: 由于最近工作和学习的需要就将针对于Windows系统的一些安全配置做了如下记录,便于后期的知识结构化,并在后续的工作继续进行添加安全加固的一些技巧,同时希望广大的大佬也能多多扩充安全加固配置项,可以通过邮箱、博客、以及公众号联系我。
全栈工程师修炼指南
2022/09/28
5.2K0
Windows 操作系统安全配置实践(安全基线)
痕迹清除-Windows日志清除绕过
在我们日常的安全攻击过程中,登录尝试、流程开发、其他用户和设备行为都记录在 Windows 事件日志中,这将会增大自身被溯源的风险,针对于windows日志痕迹清除主要总结了以下这些方法
hyyrent
2022/12/26
3.6K0
痕迹清除-Windows日志清除绕过
登录卡在"请稍候" "请等候 User Profile Service","禁用驱动程序强制签名"登录正常
开机F8,2个有图形界面的安全模式,能看到登录界面,输入密码后卡在"请等候User Profile Service","禁用驱动程序强制签名"输入密码后登录正常,其他选项黑屏看不到登录界面
Windows技术交流
2022/02/11
10.3K0
制作Win11PE用于云服务器
制作winpe的软件很多,我自己已经习惯用WimBuilder2,网上制作Win11PE的资料很少很少,这个完全是我摸索出来的,分享给有缘人。
Windows技术交流
2022/11/19
4K1
cloudbase-init的启动模式为.\cloudbase-init存在隐患
建议cloudbase-init的启动模式改为“本地系统账户”,目前发现.\cloudbase-init的启动模式存在explorer.exe异常的概率
Windows技术交流
2021/06/28
1.5K0
Windows环境下的信息收集
通常我们在渗透测试过程中,遇到的Windows的环境是最多的,然而在拿到一台windows系统权限之后,我们要进行横向或者纵向渗透,这是针对windows的信息收集就显得尤为重要,下面我们就聊一下在windows下我们需要了解哪些信息,这些信息对于我们在后续的渗透测试中有有什么样的帮助。
信安之路
2018/08/08
9700
Windows环境下的信息收集
nt10.0系统(server2016/2019)RuntimeBroker异常关机,关联事件ID 142/143/226/227/228等
C:\Windows\System32\winevt\Logs\Microsoft-Windows-RemoteDesktopServices-RdpCoreTS%4Operational.evtx  日志对得上
Windows技术交流
2022/04/22
1.3K0
桌面应用如何判断win11操作系统
Windows 11 操作系统已经正式发布快有一年了,在 .Net 开发中,我们获取操作系统版本,经常使用 Environment.OSVersion.Version.Major 和 Minor(6.1 = Windows 7, 10.0 = Windows 10),但是当 Win11 出现以后,一切变的有些不一样了。因为 Win11 获取到的操作系统版本[1] Major Minor 与 Win10 一样。
桑榆肖物
2022/11/18
1.8K0
桌面应用如何判断win11操作系统
对于挖矿的检测以及防御方案
网上对于挖矿的检测也有很多的专业文章,笔者在此就对网上的文章做一个汇总再加上自己的一些不太成熟的想法,欢迎各位师傅们的探讨,当然,检测的方法还是从2个方向出发,基于流量层的检测以及主机行为的检测
红队蓝军
2022/05/17
1.7K0
对于挖矿的检测以及防御方案
制作镜像前建议以管理员身份分段执行如下代码净化镜像
黑石或其他物理机除外,仅限普通云服务器,简单点的话,就是能访问公网的≥2016的高版本系统,以管理员身份打开powershell命令行执行这2句命令即可
Windows技术交流
2021/09/01
1K1
推荐阅读
相关推荐
实战 | 记一次对某企业的一次内网渗透总结
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档