在日常网络安全运维、渗透测试、应急响应和系统排查中,Windows命令行工具(CMD/PowerShell) 是最直接、最高效的武器。本文整理了 100条高频使用的Windows命令,帮助运维工程师和安全人员快速排错、定位问题、提升工作效率。
一、系统信息与诊断(15条)
- systeminfo
- 查看系统详细信息(补丁、版本、硬件信息)。
- winver
- 查看Windows版本号。
- hostname
- 显示计算机主机名。
- ver
- 显示操作系统版本。
- set
- 查看系统环境变量。
- tasklist
- 显示正在运行的进程。
- taskkill /PID <pid> /F
- 强制结束指定PID进程。
- driverquery
- 列出已安装的驱动程序。
- fsutil fsinfo drives
- 列出系统的逻辑驱动器。
- chkntfs C:
- 查看磁盘文件系统及状态。
- powercfg /energy
- 检测电源配置与能效报告。
- sfc /scannow
- 扫描并修复受损的系统文件。
- DISM /Online /Cleanup-Image /CheckHealth
- 检查Windows系统映像。
- msinfo32
- 打开系统信息窗口。
- dxdiag
- DirectX诊断工具,查看显卡和声卡信息。
二、用户与权限管理(10条)
- net user
- 列出系统所有用户。
- net user <username> <password> /add
- 添加新用户。
- net user <username> /del
- 删除用户。
- net localgroup administrators <username> /add
- 将用户加入管理员组。
- whoami
- 查看当前登录用户。
- query user
- 查看已登录的用户会话。
- net accounts
- 查看用户账户策略。
- runas /user:<username> cmd
- 使用其他用户身份运行命令。
- icacls C:\test
- 查看/修改目录权限。
- secedit /export /cfg secpolicy.cfg
- 导出本地安全策略。
三、网络与安全排查(25条)
- ipconfig
- 查看本机IP信息。
- ipconfig /all
- 显示完整网络配置。
- ipconfig /flushdns
- 清空DNS缓存。
- ipconfig /displaydns
- 显示DNS缓存内容。
- ping <host>
- 测试网络连通性。
- tracert <host>
- 跟踪数据包路由。
- pathping <host>
- 路由分析工具。
- arp -a
- 查看ARP缓存表。
- nbtstat -n
- 查看NetBIOS信息。
- netstat -ano
- 显示网络连接和PID。
- netstat -anob
- 显示连接对应的进程。
- route print
- 显示路由表。
- nslookup <domain>
- 查询域名解析。
- telnet <host> <port>
- 测试远程端口连通性。
- ftp <host>
- 使用FTP连接远程主机。
- curl <url>
- 测试Web接口。
- net view \\hostname
- 查看局域网共享资源。
- net use Z: \\host\share
- 挂载共享目录。
- net session
- 查看当前连接的会话。
- netstat -r
- 显示路由表。
- net share
- 查看本机共享。
- net use * /delete
- 删除所有网络映射。
- nbtstat -A <ip>
- 查询远程主机NetBIOS信息。
- Get-SmbSession (PowerShell)
- 查看SMB会话。
- Get-SmbConnection (PowerShell)
- 查看本机连接的SMB共享。
四、日志与事件(10条)
- wevtutil el
- 列出所有事件日志。
- wevtutil qe system /c:10 /f:text
- 查看最近10条系统日志。
- eventvwr
- 打开事件查看器。
- Get-EventLog -LogName Security -Newest 20
- PowerShell读取安全日志。
- auditpol /get /category:*
- 查看审核策略。
- auditpol /set /subcategory:"Logon" /success:enable /failure:enable
- 开启登录事件审计。
- logman query
- 查询性能计数器日志。
- perfmon
- 打开性能监视器。
- taskschd.msc
- 打开任务计划程序。
- gpresult /r
- 查看组策略结果。
五、文件与磁盘操作(20条)
- dir
- 列出目录内容。
- tree
- 显示目录结构。
- copy file1 file2
- 复制文件。
- xcopy
- 高级复制工具。
- robocopy
- 强大的文件同步工具。
- del /f /s <file>
- 强制删除文件。
- move
- 移动文件。
- attrib +h <file>
- 设置文件为隐藏。
- cipher /w:C:\
- 擦除已删除文件的残余数据。
- takeown /f <file>
- 获取文件所有权。
- icacls <file> /grant user:F
- 授予完全权限。
- compact /c <file>
- 压缩文件。
- fsutil file createnew test.txt 1000
- 创建指定大小文件。
- find /n "keyword" file.txt
- 搜索文件内容。
- findstr /s /i "password" *.txt
- 全盘搜索敏感信息。
- dir /s /b | find "keyword"
- 搜索目录下文件。
- diskpart
- 磁盘分区管理工具。
- chkdsk C:
- 检查磁盘错误。
- mountvol
- 查看卷挂载点。
- wmic logicaldisk get name,freespace,size
- 查看磁盘使用情况。
六、远程与安全控制(20条)
- mstsc
- 打开远程桌面连接。
- shutdown /i
- 打开远程关机对话框。
- shutdown /s /f /t 0
- 立即关机。
- shutdown /r /t 0
- 立即重启。
- psexec \\remote cmd
- 在远程主机执行命令。
- sc query
- 查看服务状态。
- sc start <service>
- 启动服务。
- sc stop <service>
- 停止服务。
- net start
- 查看所有启动的服务。
- net stop <service>
- 停止指定服务。
- gpedit.msc
- 打开组策略编辑器。
- secpol.msc
- 打开本地安全策略。
- lusrmgr.msc
- 打开用户与组管理。
- compmgmt.msc
- 打开计算机管理。
- regedit
- 打开注册表编辑器。
- reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- 查看自启动项。
- taskschd.msc
- 打开任务计划程序。
- gpupdate /force
- 强制刷新组策略。
- wmic qfe list brief
- 查看系统补丁。
- Get-WindowsUpdateLog (PowerShell)
- 查看Windows更新日志。
总结:
这100条Windows命令涵盖了 系统信息、用户权限、网络安全、日志分析、文件操作、远程控制 等方面,是运维与安全工程师的常用工具箱。
要成为真正的 网络安全专家,不仅要记住命令,还要能将这些命令与实际案例结合,用于入侵检测、日志分析、恶意软件排查、权限追踪等场景。