Windows 系统安全,从漏洞到后门那些事儿
一、⚠️ 还记得 “永恒之蓝” 吗?那个让全球电脑中招的漏洞
几年前,“永恒之蓝” 简直是电脑用户的噩梦,全球上百万台电脑被攻击,不少公司数据被锁、损失惨重。它到底是怎么搞破坏的?
漏洞本质:一个 “没关好的门”
简单说,Windows 的SMB 文件共享服务(就是你局域网里传文件用的功能)出了个漏洞,黑客能通过445 端口直接拿到你电脑的最高权限,想干嘛就干嘛 —— 偷数据、装病毒、锁文件勒索,全能干。
黑客是怎么攻击的?(简化版流程)
- 先探路:用工具扫一下你的 IP,看看 445 端口开没开、漏洞还在不在
bash
运行
nmap -sV -p445 --script=smb-vuln-ms17-010 你的IP地址 - 下 “木马”:在攻击工具里选好对应的漏洞模块,填好你的 IP,一点运行
- 接管电脑:成功后,黑客就能像你自己用电脑一样,完全控制你的设备
提醒:当年没打补丁的 Windows 7、Server 2008,基本一戳就中。
二、👤 你电脑里的用户账号,其实是 “权限大门”
Windows 是多用户系统,不同账号权限不一样 —— 有的能改系统设置,有的只能看文件,这就是安全的基础。
常见用户类型(你电脑里肯定有)
- System:系统 “亲儿子”,权限最高,管着系统核心运行
- Administrator:默认管理员,你装软件、改设置基本靠它
- Standard User:普通用户,权限受限,瞎改也搞不坏系统
- Guest:来宾账号,基本啥也干不了,平时建议直接关掉
管账号的几个实用命令(cmd 里就能用)
bash
运行
# 看看电脑里有哪些用户 net user # 建个新用户(密码自己设) net user 新用户名 密码 /add # 删个不用的用户 net user 用户名 /delete # 把用户加到管理员组(给它最高权限) net localgroup administrators 用户名 /add文件权限:谁能碰你的文件?
你右键文件选 “属性→安全”,就能看到谁能读、谁能改。比如:
- 完全控制:能删能改能设权限,相当于 “文件主人”
- 读取和执行:只能看内容、运行程序,改不了
- 写入:只能加内容,不能删旧的
三、🚪 黑客留的 “隐形后门”:你看不见的用户账号
黑客拿下你电脑后,不会傻到直接用管理员账号登录 —— 他们会留 “后门”,方便以后随时回来。最常见的就是隐藏用户和影子用户。
1. 隐藏用户:名字里加个 “$” 就隐身了
黑客建用户时,在名字最后加个$,比如gaga$,你在 “计算机管理” 里根本看不到它,但它真实存在,还能登录你的电脑。
bash
运行
net user gaga$ 123456 /add这招很阴,普通排查很难发现。
2. 影子用户:克隆管理员权限的 “幽灵账号”
比隐藏用户更狠的是 “影子用户”,黑客会通过注册表,把管理员账号的权限 “复制” 给一个新账号:
- 打开注册表(Win+R 输
regedit) - 找到管理员账号的注册表项,把关键权限值复制给新账号
- 这个新账号看起来是普通用户,实际拥有管理员权限,藏得更深
四、🔍 怎么查自己电脑有没有被留后门?
别慌,咱们普通人也能做基础排查:
- 看用户列表:cmd 里输
net user,仔细看有没有带$的陌生账号 - 查注册表:打开
HKEY_LOCAL_MACHINE\SAM\SAM,看看有没有陌生的用户项(需要先改权限才能看) - 看登录日志:在 “事件查看器” 里搜安全日志,看看有没有陌生时间、陌生账号登录的记录
- 关危险端口:把 445 端口关掉,别给 “永恒之蓝” 留机会
其实 Windows 安全没那么玄乎,本质就是 “管好权限、堵好漏洞、盯好账号”。不管是个人用户还是企业运维,知道这些基础,至少能躲开大部分常见的坑。