💎【行业认证·权威头衔】
✔ 华为云天团核心成员:特约编辑/云享专家/开发者专家/产品云测专家
✔ 开发者社区全满贯:CSDN博客&商业化双料专家/阿里云签约作者/腾讯云内容共创官/掘金&亚马逊&51CTO顶级博主
✔ 技术生态共建先锋:横跨鸿蒙、云计算、AI等前沿领域的技术布道者

🏆【荣誉殿堂】
🎖 连续三年蝉联"华为云十佳博主"(2022-2024)
🎖 双冠加冕CSDN"年度博客之星TOP2"(2022&2023)
🎖 十余个技术社区年度杰出贡献奖得主

📚【知识宝库】
覆盖全栈技术矩阵:
◾ 编程语言:.NET/Java/Python/Go/Node…
◾ 移动生态:HarmonyOS/iOS/Android/小程序
◾ 前沿领域:物联网/网络安全/大数据/AI/元宇宙
◾ 游戏开发:Unity3D引擎深度解析


🚀一、短视频与直播运营

在这里插入图片描述

🔎1.内容简介

Windows是全球应用广泛的操作系统,安全机制随技术发展持续迭代升级。由于系统闭源且采用面向API的架构,其底层安全原理的探究门槛较高,长期是行业内的研究难点。如今Windows安全体系日趋复杂,也成为网络攻击的主要目标,深入掌握其安全机制对网络安全防护至关重要。本书共分为3部分,第1部分从编程视角梳理Windows操作系统基础,为后续安全知识学习搭建框架;第2部分聚焦Windows内核核心安全组件一一安全参考监视器,详解访问控制全流程相关原理与实现;第3部分深入剖析Windows身份验证体系,涵盖身份验证结构、各类验证协议及安全包等关键内容,并配套PowerShell实操示例助力理解。此外,本书还有两个附录,提供了Windows安全相关的配置细节和扩展学习资源。本书面向所有从事Windows安全相关工作的专业人员,包括希望保障产品安全性的Windows软件开发人员,负责企业级Windows安全防护的系统管理员,以及致力于挖掘操作系统安全漏洞的安全研究人员,是学习Windows安全内核知识、开展相关研究与实践的实用参考资料。

🔎2.作者简介

James Forshaw(詹姆斯&middot福肖),Google Project Zero团队的知名计算机安全专家,拥有超过20年的微软Wndows及其他产品安全问题分析与漏洞利用研究经验,已在微软平台上发现数百个公开披露的漏洞。他的研究成果常被业界广泛引用,并通过博客、国际顶级安全会议演讲以及原创工具进行呈现,深刻影响并启发了众多业内研究人员。在从事漏洞挖掘与安全突破研究之余,James也以防御者的身份,为多个团队提供安全设计咨询,并参与优化Chromium在Windows平台上的沙箱机制,为全球数十亿用户提供安全保障。

🔎3.精彩书评

Windows安全架构因API导向设计极度晦涩难吃透,而本书借助550余个专属PowerShel命令模块,用实操的方式把复杂的Windows安全底层原理拆解通透,是Windows安全从业者必备案头工具书。长久以来少有技术人能吃透Windows安全真实运行逻辑,这本书填补了这一学习壁垒,依托原生PowerShell工具打通API层底层探究路径,为安全开发、运维专家搭建了一条深度吃透Windows内核安全的高效路径。-PowerShell创始人、前Windows Server首席架构师、前微软技术院士 Jeffrey Snover

🔎4.产品特色

在这里插入图片描述

🔎5.目录

# 《深入Windows安全:PowerShell实战指南》内容综述

本书是一本面向安全研究人员、系统管理员及渗透测试者的技术专著,聚焦于如何利用 **PowerShell** 这一强大工具,深入探究 **Windows 操作系统** 的安全机制与内部原理。全书共 **15**,外加两个附录,从基础环境搭建到内核对象、用户模式 API、令牌与安全描述符、访问控制、身份验证协议、活动目录等,层层递进,最终构建出完整的 Windows 安全知识体系。

---

## 第 1 章:设置 PowerShell 测试环境
开篇为读者搭建实践舞台,涵盖版本选择、配置技巧及 PowerShell 语言速览(类型、变量、命令、帮助、函数、对象操作等),确保读者具备后续实验所需的脚本基础。

---

## 第 2 章:Windows 内核
深入 Windows 内核执行体,剖析**安全参考监视器****对象管理器**(命名空间、句柄、系统调用)、**I/O 管理器****进程/线程管理器****内存管理器**(虚拟内存、节对象)、**代码完整性****ALPC****配置管理器**。  
实践部分演示如何根据名称查找已打开句柄、修改映射节、定位可写可执行内存等,为内核级安全审计奠定基础。

---

## 第 3 章:用户模式应用程序
转向 Win32 API 与用户模式,讲解 DLL 加载、API 导入查看、GUI 资源、窗口消息、控制台会话,比较 Win32 API 与系统调用的差异。  
同时剖析注册表路径、DOS 设备路径、进程创建(命令行解析、Shell API),并介绍系统进程(会话管理器、登录进程、LSASS、服务控制管理器)。  
实践练习包括查找导入特定 API 的可执行文件、发现隐藏注册表项。

---

## 第 4 章:安全访问令牌
深入令牌(Token)机制——主令牌、模拟令牌、令牌类型转换、伪句柄、令牌组(启用/默认/强制/完整性等属性)、特权(Privilege)管理。  
重点讲解**沙箱令牌**(受限令牌、写入受限令牌、AppContainer LowBox 令牌)及 **UAC**(用户账户控制)的实现细节,包括虚拟化、UI 访问等。  
实践部分演示查找具有 UI 访问权限的进程、提取可模拟的令牌句柄、移除管理员特权。

---

## 第 5 章:安全描述符
系统讲解安全描述符(Security Descriptor)的二进制结构,包括 **SID****绝对/相对格式****ACL 头部与 ACE 条目**(各类 ACE 类型)。  
介绍如何构造、操作、排序及格式化安全描述符,并详细说明 **SDDL**(安全描述符定义语言)的使用。  
实践练习包含手动解析二进制 SID 及枚举 SID。

---

## 第 6 章:读取与分配安全描述符
讲述如何从资源中读取安全描述符,以及在资源创建或已有资源上分配新的安全描述符。  
对比 Win32 安全 API 与内核接口,探讨服务器安全描述符和复合 ACE 的行为,并总结 ACL 继承规则。  
实践任务包括查找对象管理器资源的所有者并修改所有权。

---

## 第 7 章:访问检查过程
详细剖析 Windows 访问检查的内部流程——内核模式检查、访问模式、令牌与自主访问控制的相互作用。  
使用 PowerShell 模拟访问检查函数,并演示强制完整性检查、令牌权限检查、自主访问检查。  
讨论沙箱机制(受限令牌、LowBox)对企业环境(对象类型检查、集中访问策略)的影响。  
实践提供 `Get-PSGrantedAccess` 命令计算资源的实际授予权限。

---

## 第 8 章:访问检查的其他应用场景
延伸访问检查的应用,包括**遍历检查**(`SeChangeNotifyPrivilege` 特权与受限遍历)、**句柄复制**的访问校验、**沙箱令牌检查**及自动化访问检查框架。  
实践指导简化对象的访问检查流程,并查找可写的 Section 对象。

---

## 第 9 章:安全审计
聚焦 Windows 安全事件日志及审计策略配置(系统级与每用户级)。  
讲解如何设置资源的 SACL(系统访问控制列表)和全局 SACL,实现细粒度访问监控。  
实践验证审计访问的安全性,并寻找包含审计 ACE 的资源。

---

## 第 10 章:Windows 身份验证
从本地身份验证入手,逐步过渡到域环境(域林、域配置、LSA 策略数据库),剖析 **SAM****SECURITY** 数据库结构,介绍远程 LSA 服务(SAM 远程服务、域策略远程服务)。  
实践涵盖 RID 循环遍历、强制用户更改密码、提取本地用户哈希等经典安全测试方法。

---

## 第 11 章:活动目录
全面介绍 Active Directory 的安全管理,包括通过 PowerShell 查询林/域信息、用户//计算机对象,理解可分辨名称、架构、安全描述符在 AD 中的运用。  
详述目录对象的访问检查(创建、删除、列出、读写属性、属性集、控制访问权限、验证写入等),并引入声明与集中访问策略(CAP)及组策略。  
实践指导构建授权上下文、收集对象信息并执行访问检查。

---

## 第 12 章:交互式身份验证
深入交互式登录场景,从创建用户桌面到调用 `LsaLogonUser` API,分析本地与域身份验证的差异,展示登录会话与控制台会话的关联及令牌生成过程。  
使用 PowerShell 调用该 API 并创建新进程,涵盖服务登录类型。  
实践测试登录权限、在其他控制台会话中创建进程、虚拟账户身份验证。

---

## 第 13 章:网络身份验证
详细讲解 **NTLM** 协议(密码衍生、直通验证、环回验证、替代凭据),并揭示 **NTLM 中继攻击** 的原理(服务器质询、签名/密封、目标名称、通道绑定)。  
通过 PowerShell 实现客户端与服务器 NTLM 身份验证测试,让读者直观理解漏洞与防御。

---

## 第 14 章:Kerberos
剖析 Kerberos 交互式身份验证流程(初始认证、网络服务认证),演示 PowerShell 中的 Kerberos 调用,并解密 AP-REQ/AP-REP 消息。  
讲解跨域认证、**Kerberos 委派**(无约束、约束委派)及用户对用户认证。  
实践包含查询票据缓存和简单的 **Kerberoasting** 攻击演示。

---

## 第 15 章:协商身份验证与其他安全包
介绍 SSPI 安全缓冲区机制、**Negotiate** 协议、及不常见的安全包(SchannelCredSSP)。  
讨论远程凭据防护与受限管理员模式,凭证管理器,额外请求属性(匿名会话、身份令牌)。  
详解 LowBox 令牌下的网络身份验证(企业身份验证、Web 代理、显式凭据)。  
最后讲解身份验证审计事件日志,实践排查认证失败原因及提取 TLS 证书。

---

## 附录
- **附录 A**:搭建供测试使用的 Windows 域网络,为读者提供实验环境搭建指南。
- **附录 B**:SDDL SID 别名映射,方便查阅常见的 SID 字符串表示。

Logo

openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构

更多推荐