win11系统的安全性真牛逼

原创

Windows技术交流

修改于 2024-06-20 02:56:47

5152

文章被收录于专栏：Windows技术交流Windows技术交流

win11系统的安全性真不是盖的，举3个例子

1、锁屏界面，输用户名和密码

部分版本的win11系统，即便启用了Administrator用户后，登录界面仍然不显示Administrator用户名，而是"其他用户"，强制让手输Administrator用户名和密码，这是微软出于安全性考虑

2、清空系统日志时清不干净

我平时用这个命令清空系统日志，但是这次发现在win11上清理不干净，报错太多了

wevtutil el | Foreach-Object {wevtutil cl "$_" 2>$null}
wevtutil cl security 2>$null
wevtutil cl system 2>$null

下面这个Powershell代码使用wevtutil el获取所有事件日志，然后使用foreach循环逐个处理每个事件日志。对于每个事件日志，脚本会尝试使用wevtutil cl命令清空它，并捕获可能出现的错误。如果无法清空某个日志，脚本将输出警告消息。

$logs = wevtutil el
foreach ($log in $logs) {
    try {
        wevtutil cl $log
    } catch {
        Write-Warning "无法清空日志：$log"
    }
}

打印清理日志的过程，发现是Microsoft-Windows-LiveId/Operational和Microsoft-Windows-LiveId/Analytic清理时无权限

查找文件只找到C:\Windows\System32\winevt\Logs\Microsoft-Windows-LiveId%4Operational.evtx，没找到

C:\Windows\System32\winevt\Logs\Microsoft-Windows-LiveId%4Analytic.evtx

wevtutil el | findstr Windows-LiveId
回显是下面2行
Microsoft-Windows-LiveId/Analytic
Microsoft-Windows-LiveId/Operational

wevtutil el的结果里有“Microsoft-Windows-LiveId/Analytic”，但是去C:\Windows\System32\winevt\Logs 目录找不见“Microsoft-Windows-LiveId/Analytic”相关的文件，用Everything全盘搜索也没搜不到，为什么？

在事件查看器中，展开“应用程序和服务日志” > “Microsoft” > “Windows” > “LiveId”。
在“LiveId”目录下看不到“Analytic”，所以没法判断它到底是启用还是禁用的状态。有啥办法干预注册表实现吗？

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-LiveId/Analytic
下面的键值
Enabled 0
Isolation 0
Type 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-LiveId/Operational
下面的键值
Enabled 0
Isolation 1
Type 1
以上注册表键值
Enabled 0和1分别代表什么
Isolation 0和1分别代表什么
Type的0、1、2、3分别代表什么
对比下Microsoft-Windows-LiveId/Analytic和Microsoft-Windows-LiveId/Operational的注册表键值有什么区别