操作系统核心概念

操作系统（Operating System, OS）是管理计算机硬件与软件资源的系统软件，为用户和应用程序提供接口。以下是其核心概念：

主流操作系统分类

Windows：由微软开发，市场份额最高，兼容性强，广泛应用于个人电脑和企业环境。最新版本为Windows 11，支持触控和传统桌面模式。

macOS：苹果公司开发，专用于Mac设备，以流畅的UI设计和高效的性能著称。基于Unix系统，安全性高，适合创意工作者。

Linux：开源系统，包含多种发行版（如Ubuntu、Fedora、Debian）。灵活性高，常用于开发、服务器及嵌入式设备，支持高度定制。

Windows核心服务概述

Windows操作系统依赖一系列核心服务来确保系统稳定运行、安全管理和功能实现。这些服务在后台运行，负责处理关键任务如网络连接、硬件交互、安全认证等。

RDP（远程桌面服务）概述

RDP（Remote Desktop Protocol）是微软开发的专有协议，用于远程连接和控制计算机。它允许用户通过网络访问另一台设备的图形界面，广泛应用于远程办公、IT管理等领域。

核心功能

• 远程控制：通过RDP客户端连接到远程计算机，实时操作桌面环境。
• 文件传输：支持在本地与远程计算机间复制、粘贴文件或文本。
• 多显示器支持：可配置多显示器布局以适配远程会话。
• 音频与设备重定向：将远程计算机的音频、打印机等设备映射到本地使用。

启用RDP服务（Windows）

1. 开启远程桌面

   • 进入“设置” > “系统” > “远程桌面”，切换“启用远程桌面”为开启状态。
   • 确认防火墙允许RDP连接（默认端口3389）。

2. 配置用户权限

   • 在“远程桌面设置”中添加允许远程连接的用户账户（需管理员权限）。

3. 高级设置（可选）

   • 修改默认端口：通过注册表编辑器调整HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber值。
   • 启用网络级认证（NLA）：提升安全性，仅允许已认证的用户连接。

连接远程计算机

1. 使用RDP客户端

   • Windows：运行mstsc命令，输入远程计算机的IP或主机名。
   • macOS/移动端：下载微软官方“Remote Desktop”应用。

2. 输入凭据

   • 输入远程计算机的用户名和密码（或域账户信息）。

安全性建议

• 使用强密码：避免使用简单密码，防止暴力破解。
• VPN隧道：通过VPN连接后再使用RDP，避免直接暴露在公网。
• 定期更新：确保操作系统和RDP协议补丁为最新版本。

常见问题排查

• 连接失败：检查防火墙设置、网络连通性及远程计算机是否在线。
• 黑屏或卡顿：降低远程会话的显示分辨率或关闭视觉特效。
• 证书错误：更新远程计算机的SSL证书或手动信任连接。

启用远程桌面功能

在目标计算机上打开“设置”>“系统”>“远程桌面”，切换“启用远程桌面”为开启状态。若为专业版/企业版Windows，可直接启用；家庭版需通过第三方工具或升级系统版本。

配置网络权限

确保目标计算机防火墙允许远程桌面连接（默认端口3389）。在“高级安全Windows Defender防火墙”中，检查“入站规则”是否启用了“远程桌面(TCP-In)”规则。若通过路由器连接，需配置端口转发至目标内网IP。

设置账户认证

远程登录需使用管理员账户或已授权账户。建议为账户设置强密码，或启用网络级身份验证（NLA）以提升安全性。可在“远程桌面设置”中勾选“仅允许运行带网络级身份验证的远程桌面的计算机连接”。

获取连接信息

确认目标计算机的本地IP地址（通过ipconfig命令查询）或公网IP（若需外网访问）。若使用域名连接，需配置动态DNS服务。连接时输入格式为mstsc /v:IP地址或域名。

检查系统版本兼容性

远程桌面功能仅在Windows专业版、企业版或服务器版中完整支持。家庭版用户需使用替代方案如RDP Wrapper或第三方工具（如AnyDesk、TeamViewer）。

案例介绍

注：如要实验请遵守法律，在合法靶场实验

MS17-010（永恒之蓝）漏洞概述

MS17-010是微软于2017年3月发布的Windows操作系统安全补丁，修复了Server Message Block (SMB)协议中的远程代码执行漏洞。该漏洞被黑客组织Shadow Brokers泄露的NSA工具“永恒之蓝”（EternalBlue）利用，导致全球范围内大规模网络攻击事件，如WannaCry勒索病毒。

漏洞影响范围

• 操作系统版本：Windows 7、Windows Server 2008 R2及更早版本未打补丁的系统。
• 协议：SMBv1协议存在设计缺陷，攻击者可通过特制数据包远程执行任意代码。
• 危害：无需用户交互即可获取系统最高权限（SYSTEM权限）。

漏洞利用原理

1. SMB协议缺陷：攻击者发送畸形SMB请求至目标主机的445端口，触发缓冲区溢出。
2. 内存操控：利用内核态内存分配机制，覆盖关键数据结构实现代码执行。
3. 载荷注入：通常附带恶意载荷（如勒索软件、后门程序）。

修复与缓解措施

立即安装补丁

• 微软官方补丁KB4012212（Win7）或后续月度汇总更新。
• 对于已终止支持的旧系统（如XP），需手动部署定制补丁。

禁用SMBv1协议

# Windows系统禁用SMBv1
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

网络层防护

• 防火墙规则阻止445端口入站流量。
• 启用入侵检测系统（IDS）监控异常SMB流量。

检测方法

使用Nmap扫描

nmap --script smb-vuln-ms17-010 -p445 <目标IP>

手动验证

• 检查系统是否运行SMBv1：Get-SmbServerConfiguration | Select EnableSMB1Protocol
• 查看补丁安装记录：Get-Hotfix -Id KB4012212

历史事件关联

• WannaCry爆发：2017年5月，利用该漏洞在150个国家感染超过20万台设备。
• NotPetya攻击：同年6月，变种攻击导致全球企业损失超100亿美元。

后续安全建议

• 定期更新操作系统补丁，尤其是关键协议组件。
• 对暴露在公网的服务实施最小化端口开放原则。
• 企业环境应部署网络分段，限制SMB协议仅在内部可信网络传输。

Windows 用户与组管理

用户管理

创建新用户可通过以下步骤完成：

1. 打开“计算机管理”控制台，导航至“本地用户和组”>“用户”。
2. 右键点击空白区域，选择“新用户”。
3. 填写用户名、密码及相关描述信息。
4. 勾选“密码永不过期”或“用户不能更改密码”等选项（按需配置）。

删除用户账户时需注意：

1. 右键点击目标用户，选择“删除”。
2. 系统会提示该操作将永久删除账户及相关配置文件。

组管理

创建新用户组的流程如下：

1. 在“计算机管理”中导航至“本地用户和组”>“组”。
2. 右键点击空白区域，选择“新建组”。
3. 输入组名及描述信息。
4. 通过“添加”按钮将现有用户纳入该组。

常见的系统内置组包括：

• Administrators（管理员权限）
• Users（标准用户权限）
• Guests（受限访问权限）

权限分配

修改用户或组权限可通过两种方式实现：

1. 通过组策略编辑器（gpedit.msc）配置权限模板
2. 直接在文件/文件夹属性中设置安全选项卡

典型权限配置示例：

• 完全控制
• 修改
• 读取和执行
• 读取
• 写入

命令行工具

使用 net 命令进行快速管理：

net user username password /add
net localgroup groupname username /add

使用 PowerShell 进行批量操作：

New-LocalUser -Name "username" -Password (ConvertTo-SecureString "password" -AsPlainText -Force)
Add-LocalGroupMember -Group "groupname" -Member "username"

安全注意事项

1. 定期审核用户账户和组成员资格
2. 遵循最小权限原则分配权限
3. 禁用或删除长期未使用的账户
4. 对敏感操作启用审计日志

故障排查

检查用户权限问题的常用方法：

1. 使用 whoami /all 命令查看当前会话权限
2. 通过事件查看器检查安全日志
3. 使用 icacls 命令验证文件系统权限

域环境管理

在域控制器上管理用户时需注意：

1. 使用 Active Directory 用户和计算机控制台
2. 组策略会覆盖本地策略设置
3. 注意站点复制延迟可能影响策略生效时间

影子用户的定义与特征

影子用户指通过技术手段（如注册表隐藏、系统权限篡改）创建的隐蔽账户，通常绕过常规审计工具，难以通过标准用户管理界面或命令行工具（如net user）检测到。这类账户可能被用于持久化攻击或权限维持。

检测影子用户的方法

注册表检查
Windows系统中用户信息存储在注册表路径 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users。需通过管理员权限访问该路径，导出注册表项并分析异常条目（如未关联已知用户的GUID）。

工具辅助检测

• 使用专业工具如Autoruns（微软Sysinternals套件）扫描隐藏的登录项。
• PowerShell命令：

  Get-WmiObject -Class Win32_UserAccount | Select Name, SID, Disabled, Status
  

  对比结果与系统界面显示的用户列表差异。

日志分析
检查安全事件日志（Event ID 4720为账户创建事件），筛选异常时间戳或非管理员操作记录。

清除影子用户的步骤

手动删除注册表项

1. 以管理员身份运行regedit，导航至 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users。
2. 导出备份后，删除可疑子项（需根据SID或名称匹配）。

命令行强制删除

wmic useraccount where name='可疑用户名' delete

加固系统防御

• 启用Windows Defender攻击面减少规则（如阻止隐藏进程创建）。
• 定期审计组策略（gpedit.msc）中的用户权限分配。

注意事项

• 操作注册表前务必备份，误删可能导致系统崩溃。
• 企业环境中建议结合EDR（端点检测与响应）工具进行自动化监控。