今天我們來了解 Windows 系統中的安全性功能，包括註冊表鍵、應用白名單、群組策略以及 Windows Defender 的操作與設置 ～

1. 註冊表鍵：Run 和 RunOnce

Windows 註冊表是系統中一個關鍵的設定數據庫，管理著很多系統行為。特別是 Run 和 RunOnce 鍵，這些註冊表項目會控制應用程式在系統啟動或用戶登入時自動執行。

主要註冊表鍵：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

如何查詢這些註冊表鍵：

你可以使用 PowerShell 來查看目前系統中這些鍵的內容。例如，查詢 Run 鍵可以這樣做：

reg query HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

這個指令會列出該鍵中所有設定的自動啟動程序。

2. 應用程式白名單（Application Whitelisting）

應用白名單是 Windows 系統中一個強大的安全機制，它限制了只有經過批准的軟體應用程式才能夠在系統中運行，防止未經允許的軟體和潛在的惡意軟體執行。

白名單與黑名單的區別：

白名單：

只允許經過明確批准的應用程式運行，其他一律不允許執行。

黑名單：

阻止已知有害或不允許的應用程式運行，其他則允許。

推薦工具：AppLocker

AppLocker 是 Windows 的應用程式白名單解決方案，讓系統管理員能夠控制哪些應用可以被用戶運行。它支持基於應用程式的發行者、文件路徑或哈希值來設置規則。

如何設置 AppLocker：

• 打開「本地群組策略編輯器」：按 Win + R 鍵，輸入 gpedit.msc，然後按下回車鍵。

• 導航到 電腦配置 > Windows 設置 > 安全設置 > 應用程式控制策略 > AppLocker。

• 根據應用程式屬性設置規則，例如基於發行者、路徑或哈希值。

3. 群組策略（Local Group Policy）

群組策略允許系統管理員設置、配置和調整各種設定。在本地和域環境中，都可以通過群組策略來管理系統行為。它可以用來配置網絡、圖形介面設置，甚至鎖定計算機以加強安全性。

如何打開群組策略編輯器：

打開「開始」菜單，輸入 gpedit.msc。

編輯器分為兩個主要部分：「電腦配置」和「用戶配置」。

設置範例：

啟用憑證守衛（Credential Guard）：

你可以通過本地群組策略來啟用 Windows 10 的憑證守衛功能，該功能可以防止憑證盜竊攻擊。

AppLocker 的配置：

你可以通過群組策略來設置 AppLocker 的規則。

4. Windows Defender 防病毒

Windows Defender 是 Windows 操作系統內建的免費防病毒軟體，提供實時保護和基於雲端的防護。它可以保護你的設備免受已知威脅。

Defender 的主要功能：

• 實時保護：防止已知威脅實時攻擊你的系統。

• 雲端保護：上傳可疑文件到雲端進行分析，並防止文件在被分析前運行。

• 篡改保護：防止通過註冊表、PowerShell 或群組策略來修改 Windows Defender 的設置。

如何使用 PowerShell 檢查 Windows Defender 設置：

你可以使用以下命令來檢查 Windows Defender 的保護狀態：

Get-MpComputerStatus | findstr "True"

此命令會列出所有已啟用的防護設置，例如實時保護是否開啟、篡改保護是否生效等。

如何排除特定文件夾或文件：

如果你不希望某些文件或文件夾被 Defender 掃描，可以通過設定排除名單來實現。例如，測試用的工具文件夾可以被排除，防止其被 Defender 誤報或隔離。