任务1:Introduction(介绍)
我们将继续探索 Windows 操作系统。
总结前两个房间:
- 在 Windows Fundamentals 1 中,我们介绍了桌面、文件系统、用户帐户控制、控制面板、设置和任务管理器。
- 在 Windows Fundamentals 2 中,我们介绍了各种实用程序,例如系统配置、计算机管理、资源监视器等。
本模块将尝试提供 Windows 操作系统中安全功能的概述。
按下面的 Start Machine 按钮启动附加的虚拟机。
如果您希望通过远程桌面访问虚拟机,请使用下面的凭据。
机器 IP:10.10.158.24
用户:administrator
密码:letmein123!
任务2:Windows Updates(Windows 更新)
让我们从 Windows Update 开始。
Windows Update 是 Microsoft 提供的一项服务,用于为 Windows 操作系统和其他 Microsoft 产品(如 Microsoft Defender)提供安全更新、功能增强和补丁。
更新通常在每月的第 2 个星期二发布。这一天称为 Patch Tuesday。这并不一定意味着关键更新/补丁必须等待下一个 Patch Tuesday 发布。如果更新很紧急,则 Microsoft 将通过 Windows Update 服务将更新推送到 Windows 设备。
请参阅以下链接,在此处查看 Microsoft 安全更新指南。
Windows Update 位于“设置”中。见下文。
提示: 访问 Windows 更新的另一种方法是从“运行”对话框或 CMD 运行命令。
在附加的 VM 中,有几点需要强调。
- Windows 更新设置是“托管的”。(通常,家庭用户不会看到此类消息)
- 没有可用于虚拟机的可用更新。(连接的虚拟机无法访问 Internet 以与 Microsoft 通信以获取新的更新)
多年来,Windows 用户已经习惯于将 Windows 更新推迟到以后的日期或根本不安装更新。导致此操作的原因有很多,其中之一是 Windows 更新后通常需要重新启动。
Microsoft 在 Windows 10 中特别解决了这个问题。更新不能再被忽略或推到一边,直到被遗忘。Windows 更新只能推迟,但最终会进行更新,并且您的计算机将重新启动。Microsoft 提供这些更新是为了确保设备安全。
下图显示了 Restart required (需要重新启动) 的外观以及有关计划重新启动的几个可用选项。
任务3:Windows Security(Windows 安全)
根据 Microsoft 的说法,“Windows 安全中心是您管理保护设备和数据的工具的大本营”。
如果您错过了,Windows 安全也可以在“设置”中使用。
在上图中,将注意力集中在 保护区域 上。
- 病毒和威胁防护
- 防火墙和网络保护
- 应用程序和浏览器控制
- 设备安全性
接下来的每个任务都将简要涉及这些领域。
在继续之前,让我们对状态图标进行快速评论。
- 绿色表示您的设备受到充分保护,并且没有任何建议的操作。
- 黄色表示有安全建议供您查看。
- 红色表示警告,表明有事情需要您立即关注。
单击 。Open Windows Security
注意:由于连接的 VM 是 Windows Server 2019 版本,因此它看起来与 Windows 10 家庭版或专业版不同。
下图来自 Windows 10 设备。
接下来,我们将看看病毒和威胁防护。
任务4:Virus & threat protection(病毒和威胁防护)
病毒和威胁防护分为两部分:
- 当前威胁
- 病毒和威胁防护设置
下图仅关注当前威胁。
当前威胁
扫描选项
- 快速扫描 - 检查系统中经常发现威胁的文件夹。
- 完全扫描 - 检查硬盘上的所有文件和正在运行的程序。此扫描可能需要 1 小时以上。
- 自定义扫描 - 选择要检查的文件和位置。
威胁历史记录
- 上次扫描 - Windows Defender 防病毒会自动扫描您的设备以查找病毒和其他威胁,以帮助确保其安全。
- 隔离的威胁 - 隔离的威胁已被隔离并阻止在您的设备上运行。它们将定期被删除。
- 允许的威胁 - 允许的威胁是标识为威胁的项目,您允许在设备上运行这些威胁。
警告: 只有在您对自己正在执行的操作有 100% 把握时,才允许运行已被识别为威胁的项目。
接下来是病毒和威胁防护设置。
病毒和威胁防护设置
管理设置
- 实时保护 - 查找并阻止恶意软件在您的设备上安装或运行。
- 云提供的保护 - 通过访问云中的最新保护数据,提供增强和更快的保护。
- 自动示例提交 - 将示例文件发送到 Microsoft,以帮助保护您和其他人免受潜在威胁。
- 受控文件夹访问 - 保护设备上的文件、文件夹和内存区域免受不友好应用程序未经授权的更改。
- 排除项 - Windows Defender 防病毒不会扫描已排除的项目。
- 通知 - Windows Defender 防病毒将发送通知,其中包含有关设备运行状况和安全性的重要信息。
警告: 排除的项目可能包含使您的设备易受攻击的威胁。仅当您在 100% 确定自己在做什么时才使用此选项。
病毒和威胁防护更新
- 检查更新 - 手动检查更新以更新 Windows Defender 防病毒定义。
勒索软件防护
- 受控文件夹访问 - 勒索软件保护要求启用此功能,而此功能又需要启用实时保护。
注意:实时保护在连接的 VM 中处于关闭状态,以减少出现性能问题的可能性。由于 VM 无法访问 Internet,并且 VM 中没有任何威胁,因此可以安全地执行此操作。除非您拥有提供相同保护的第三方产品,否则绝对应该在您的个人 Windows 设备中启用实时保护。确保它始终是最新的并已启用。
提示:您可以通过右键单击项目并选择“使用 Microsoft Defender 扫描”来对任何文件/文件夹执行按需扫描。
下图是从另一台 Windows 设备拍摄的,用于显示此功能。
任务5:Firewall & network protection(防火墙和网络保护)
什么是防火墙?
根据 Microsoft 的说法,“流量通过我们所谓的端口流入和流出设备。防火墙控制着哪些端口被允许通过,更重要的是不允许通过这些端口。你可以把它想象成一个站在门口的保安,检查所有试图进出的人的 ID”。
下图将反映您在导航到防火墙和网络保护时将看到的内容。
注意:每个网络可能都有不同的状态图标。
这 3 个(域、私有和公共)有什么区别?
根据 Microsoft 的说法,“Windows Firewall 提供三种防火墙配置文件:域、私有和公共”。
- 域 - 域配置文件适用于主机系统可以向域控制器进行身份验证的网络。
- 私有 - 私有配置文件是用户分配的配置文件,用于指定私有或家庭网络。
- Public (公共) - 默认配置文件是公共配置文件,用于指定公共网络,例如咖啡店、机场和其他位置的 Wi-Fi 热点。
如果您单击任何防火墙配置文件,将出现另一个屏幕,其中包含两个选项:打开/关闭防火墙和阻止所有传入连接。
警告: 除非您对自己正在做的事情有 100% 的信心,否则建议您保持 Windows Defender 防火墙处于启用状态。
允许应用程序通过防火墙
您可以查看任何防火墙配置文件的当前设置。在上图中,多个应用程序可以访问私有和/或公共防火墙配置文件。如果可以通过按钮获得其他信息,一些应用程序将提供其他信息。Details
高级设置
配置 Windows Defender 防火墙适用于高级 Windows 用户。请在此处参阅以下有关最佳实践的 Microsoft 文档。
提示: 打开 Windows Defender 防火墙的命令是 。WF.msc
任务6:App & browser control(应用程序和浏览器控制)
在本部分中,您可以更改 Microsoft Defender SmartScreen 的设置。
根据 Microsoft,“Microsoft Defender SmartScreen 可防止网络钓鱼或恶意软件网站和应用程序,以及下载潜在的恶意文件”。
有关此处 Microsoft Defender SmartScreen 的更多信息,请参阅此处的 Microsoft 官方文档。
检查应用程序和文件
- Windows Defender SmartScreen 通过检查来自 Web 的无法识别的应用和文件来帮助保护您的设备。
漏洞利用保护
- Exploit Protection 内置于 Windows 10(在我们的例子中为 Windows Server 2019)中,以帮助保护您的设备免受攻击。
警告: 除非您对自己正在做的事情有 100% 的信心,否则建议您保留默认设置。
即使您可能永远不会更改这些设置中的任何一个,但为了完成,我们将简要介绍它。
内核隔离
- 内存完整性 - 防止攻击将恶意代码插入高安全性进程。
警告: 除非您对自己正在做的事情有 100% 的信心,否则建议您保留默认设置。
下图来自另一台计算机,用于显示个人 Windows 10 设备中应提供的另一项安全功能。
安全处理器
以下是安全处理器的详细信息。
什么是受信任的平台模块 (TPM)?
根据 Microsoft 的说法,“可信平台模块 (TPM) 技术旨在提供基于硬件的安全相关功能。TPM 芯片是一种安全的加密处理器,旨在执行加密操作。该芯片包括多种物理安全机制,使其防篡改,恶意软件无法篡改 TPM 的安全功能”。
任务7:Device security(设备安全性)
即使您可能永远不会更改这些设置中的任何一个,但为了完成,我们将简要介绍它。
内核隔离
- 内存完整性 - 防止攻击将恶意代码插入高安全性进程。
警告: 除非您对自己正在做的事情有 100% 的信心,否则建议您保留默认设置。
下图来自另一台计算机,用于显示个人 Windows 10 设备中应提供的另一项安全功能。
安全处理器
以下是安全处理器的详细信息。
什么是受信任的平台模块Trusted Platform Module (TPM)?
根据 Microsoft 的说法,“可信平台模块 (TPM) 技术旨在提供基于硬件的安全相关功能。TPM 芯片是一种安全的加密处理器,旨在执行加密操作。该芯片包括多种物理安全机制,使其防篡改,恶意软件无法篡改 TPM 的安全功能”。
任务8:BitLocker(windows的加密)
什么是 BitLocker?
根据 Microsoft 的说法,“BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,可解决数据被盗或因丢失、被盗或不当停用的计算机而泄露的威胁”。
在安装了 TPM 的设备上,BitLocker 提供最佳保护。
根据 Microsoft 的说法,“BitLocker 在与受信任的平台模块 (TPM) 版本 1.2 或更高版本一起使用时提供最大的保护。TPM 是计算机制造商在许多较新的计算机中安装的硬件组件。它与 BitLocker 配合使用,以帮助保护用户数据并确保计算机在系统离线时未被篡改”。
请参阅此处的 Microsoft 官方文档以了解有关 BitLocker 的更多信息。
注意:连接的 VM 中不包含 BitLocker 功能。
任务9:Volume Shadow Copy Service(卷影复制服务)
根据 Microsoft,卷影复制服务 (VSS)Volume Shadow Copy Service 协调所需的操作,以创建要备份的数据的一致卷影副本(也称为快照或时间点副本)。
卷影副本存储在每个启用了保护的驱动器的 System Volume Information 文件夹中。
如果启用了 VSS(系统保护已打开),则可以从高级系统设置中执行以下任务。
- 创建还原点
- 执行系统还原
- 配置还原设置
- 删除还原点
从安全角度来看,恶意软件编写者知道此 Windows 功能并在其恶意软件中编写代码以查找这些文件并将其删除。这样做会导致无法从勒索软件攻击中恢复,除非您有离线/异地备份。
如果要在附加的 VM 中配置卷影副本,请参阅下文。
奖励:如果您想与 VSS 进行动手互动,我建议您探索 Advent of Cyber 23 的第 2 天。
这个VSS我个人感觉就是快照。