最近有位Win10系統用戶使用電腦關機的時候，系統卻提示“此應用程序阻止關機”，用戶不知道怎么解決，為此非?？鄲溃敲磜in10系統關機被阻止怎么辦呢?今天為大家分享win10系統關機被阻止的解決方法。

關機被阻止解決方法：

1、打開Win10電腦，按【win+R】快捷鍵，打開運行窗口，輸入regedit，點擊確定;如圖所示：

2、進去注冊表編輯器，依次點擊HKEY_USERS-》.DEFAULT-》Control Panel-》Desktop，再鼠標右鍵選擇新建-》字符串值;如圖所示：

3、新建字符串命名為“AutoEndTasks”，并將值設置為1;如圖所示：

關于win10系統關機被阻止的解決方法就為用戶們詳細分享到這里了
本文來源于系統天地，轉載請注明出處。

搜索公眾號：暗網黑客

可領全套網絡安全課程、配套攻防靶場

所以，憑什么說我的主機被入侵了呢？

0×01 紅隊滲透流程

知攻擊才能懂防守，以作為攻擊方的紅隊視角：

作為攻擊者，當你拿到主機的一般用戶權限后你會做什么？

那當然是收集信息，然后盡可能的獲得更高的權限了

攻擊手段有千萬種，往往脫離不了以下規則：

1.盡可能的獲取有用的信息。 –>敏感文件被訪問

2.修改Windows相關配置以達到自身的目的。 –>系統配置被修改

先梳理一下滲透測試中常見的一些姿勢：

那么以上流程，在藍隊的視角里就是如下情況：

收集信息：

執行cmd指令

執行powershell腳本，指令

提權：

進行程序調試（如：privilege::debug)

某系統進程內存占有率異常增加.

權限維持：

SAM文件被訪問

lsass.exe 進程被調試

某些端口被進程打開/轉發

注冊表被修改

賬戶信息有變動

橫向滲透：

進行遠程登錄/命令執行

與域內主機的通信流量增加

smb流量增加

后滲透

日志丟失

0×02 藍隊排查流程

作為藍隊，應該以怎樣的思路判斷自己的主機已經淪陷了呢？

以下為總結的一些常規操作：

著重分析一下這些操作的具體方法：

注冊表排查

# 開機自啟
HKCU:\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
# winrm后門
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
# Logon Scripts后門
HKCU\Environment\
# 服務項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

安全配置排查

# 檢查防火墻策略
netsh firewall show config
# 檢查端口，進程連招
netstat -ano | findstr "[port]"
tasklist | findstr "[pid]"
# 檢查系統安裝的補丁
systeminfo

# Applocker應用控制策略檢查，查看是否對敏感目錄使用了適當的規則

Applocker用于限制某些目錄下應用程序，腳本等的執行。

# 打開方式

運行->secpol.msc

此處可參考微軟官方文檔：https://docs.microsoft.com/zh-cn/windows/security/threat-protection/windows-defender-application-control/applocker/working-with-applocker-rules

防御Applocker繞過

常見的繞過方式有Regsv***.exe繞過 和 msxsl.exe執行腳本繞過

禁止這兩個文件的使用即可

UAC (User Account Control)

在命令行中輸入gpedit.msc查看本地組策略，找到路徑 計算機配置->Windows設置->安全設置->本地策略->安全選項

排查安全策略是否配置妥當

例如，通過如下選項可配置當某程序要以管理員身份運行時彈出UI界面

PowerShell執行策略

#在powershell中運行如下指令
#查看策略
Get-ExecutionPolicy
#更改策略
Set-ExecutionPolicy -Scope CurrentUser Restricted #設置執行策略為允許單獨的命令，但不會運行腳本。
Get-ExecutionPolicy -List #查看當前的執行策略

繞過Powershell執行策略的方式有很多種，甚至直接在后面加上 -ep Bypass 就可以執行powershell腳本?？梢娢④洸]有將該策略當做一種嚴格安全防護。因此這里不再贅述。

ASR (Attack surface reduction，攻擊面減少規則)

適用Windows版本（windows較低版本中找不到對應的函數）

Windows 10 專業版、版本 1709或更高版本

Windows 10 企業版、版本 1709或更高版本

Windows Server、版本1803（半年度頻道）或更高版本

Windows Server 2019你可以使用組策略、PowerShell 和 MDM Csp 配置這些設置

# 運行powershell
# 設置ASR規則
Set-MpPreference -AttackSurfaceReductionRules_Ids <GUID> -AttackSurfaceReductionRules_Actions Enabled
# 禁用ASR規則
Add-MpPreference -AttackSurfaceReductionRules_Ids <GUID> -AttackSurfaceReductionRules_Actions Disabled

示例GUID：

阻止所有 Office 應用程序創建子進程 D4F940AB-401B-4EFC-AADC-AD5F3C50688A

阻止執行可能混淆的腳本 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

阻止從 Office 宏調用 Win32 API 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

阻止 Office 應用程序創建可執行內容 3B576869-A4EC-4529-8536-B80A7769E899

阻止 Office 應用程序將代碼注入其他進程 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

阻止 JavaScript 或 VBScript 啟動下載的可執行內容 D3E037E1-3EB8-44C8-A917-57927947596D

阻止來自電子郵件客戶端和 Web 郵件的可執行內容 BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

阻止可執行文件，除非它們滿足流行、年齡或受信任列表條件 01443614-cd74-433a-b99e-2ecdc07bfc25對勒索軟件使用高級防護 c1db55ab-c21a-4637-bb3f-a12568109d35

阻止從 Windows 本地安全機構子系統（lsass.exe）偷竊的憑據 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

阻止從 PSExec 和 WMI 命令發起的進程創建 d1e49aac-8f56-4280-b9ba-993a6d77406c

阻止從 USB 運行的不受信任和未簽名的進程 b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

阻止 Office 通信應用程序創建子進程 26190899-1602-49e8-8b27-eb1d0a1ce869

阻止 Adobe Reader 創建子流程 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c通過 WMI 事件訂閱阻止持久性 e6db77e5-3df2-4cf1-b95a-636979351e5b

以上代碼及資料均參考自微軟的官方文檔：https://docs.microsoft.com/zh-cn/windows/security/threat-protection/microsoft-defender-atp/customize-attack-surface-reduction

用戶權限分配

查看其中是否有用戶獲得異常的授權

該配置中的程序調試如果沒有需要盡量置為空，Mimikatz的privilege::debug便是借助該配置的不妥當才得以提權

檢查進程

Process Explorer

排查當前進程

可以右鍵選擇Check VirusTotal，

軟件會把當前文件上傳至VirusTotal進行在線查毒

并將結果返回至軟件

D盾

賬號：檢查當前用戶/用戶組

端口：是否有不該打開的端口被開放

進程：是否有可疑進程

均可在D盾中輕松查看，在此不再贅述

文件訪問記錄

訪問本地目錄 C:\Users\[用戶名稱]\AppData\Roaming\Microsoft\Windows\Recent

程序運行記錄

訪問本地目錄 C:\Windows\prefetch

可以看到有許多.pf，pf文件是一些預讀文件，用于提高程序的加載速度。

有沒有感覺新安裝的游戲，第二次打開要比第一次打開玩加載速度快。

可以使用工具WinPrefetchView進行查看，該軟件會自動定位系統中的上述文件夾并讀取內容

可以很清晰的查看到運行過的程序(隱私考慮。某些地方就打碼了

雙擊便可查看詳細信息，如創建時間，上一次的運行時間，程序所在路徑等，

選中上方程序在下方可以查看該程序訪問的文件（此處以chrome為例）

事件查看器

#打開事件查看器

eventvwr.msc

# 部分重點排查ID

1102審核日志已清除

4608Windows啟動

4609Windows關閉

4624帳戶已成功登錄

4625帳戶登錄失敗

4657注冊表被更改

4696向進程分配令牌

4697系統中添加服務

4698創建計劃任務

4699刪除計劃任務

4700啟用計劃任務

4704分配用戶權限

4706為域創建新信任

4713Kerberos策略被更改

4716可信域信息被修改

4719系統審核策略已更改

4720創建用戶帳戶

4723嘗試更改帳戶密碼

4724嘗試重置帳戶密碼

4726用戶帳戶已被刪除

4739域策略已更改

4741創建計算機帳戶

異常的計劃任務

查看定時任務

開始->運行taskschd.msc 查看定時任務。

查看自啟動程序

開始->運行msconfig.exe，查看自啟動程序。

Powershell / cmd執行記錄

Windows將cmd指令歷史和powershell指令歷史存到了一個文件中， 默認的儲存位置如下：

C:\Users\[用戶名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

使用殺軟

安裝殺軟進行全面的查殺

0×03 一些總結

以前一直在做逆向，近期才開始學內網安全方面的知識。

不少初學者包括我在內都有一些疑問，日志被攻擊者刪除了怎么辦？

上面這些操作是不是就沒有意義了？

查過一些資料，目前有不少已經開發的出的

如：堡壘機可以在內網保存日志信息的產品，一些有價值的攻擊目標也往往會部署這些安全產品來應對網絡安全問題。

寫這篇文章是做一個短期的總結，個人水平有限

若分享的文中有錯誤還望各位大佬斧正。

如果分享的這些知識能幫到各位看官就再好不過啦~

web安全體系化視頻教程，在線免費觀看！

進群+領工具+靶場=掃碼直接領

0×04 參考資料

https://www.cnblogs.com/backlion/p/9484950.html

https://www.cnblogs.com/pshell/p/7741823.html

https://lengjibo.github.io/Persistence/

https://blog.csdn.net/weixin_34216036/article/details/92367818?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase

https://docs.microsoft.com/zh-cn/windows/security/threat-protection/microsoft-defender-atp/customize-attack-surface-reduction

作者：IceyHac

轉載自：https://www.freebuf.com/articles/system/238860.html