Windows 系统有哪些鲜为人知但非常实用的功能?

假定操作系统是Windows专业工作站版或Windows Server,下列内容排名不分先后,包含广义上的Windows功能:Windows内置功能/可选功能、微软旗下的工具、微软的开源项目、……

注:

  • Windows上企业的管理工具往往可以分成三套(有重叠的)体系:本地/内网体系(domain joined)、混合/共同管理体系(Entra Hybrid joined)、云体系(Entra joined),并且微软正在逐渐转向最后一种,这三种对微软云服务的依赖逐渐加深,典型服务包括Autopilot、Intune、Entra ID、Windows Hello for Business等等,后文中只介绍第一种体系
  • 微软由于经常性对产品和功能进行改名,导致下面的列表中有很多不同名称指向同一功能的情况,并且可能没有提到旧名称
  • 微软经常性砍掉一些功能和项目,这里就不列出了
  • 部分功能用第三方开源软件更方便

HyperV:Type-1 Hypervisor,开启HyperV/VBS/…后Windows本身会被虚拟化,成为一个特殊地位的HyperV虚拟机(也即root partition),同时可以托管虚拟机,且支持嵌套虚拟化,是相当多Windows功能的基石,并且本身也有很多高级特性(比如有HyperV RCT)

WSL:也就是WSL2,目前WSL1已经被抛弃了,WSL2是HyperV虚拟机中的Linux,兼容性很好,与Windows有较好的集成(比如有WSLg、镜像网络模式、……)(局限性:1. USB很难处理,要用usbipd等项目通过USB/IP在Linux内访问USB设备;2. HyperV强大的功能,比如暂停/恢复、RCT、设备直通/DDA、……都用不了)

卷影复制(VSS):为指定的卷提供一致的视图,用于备份使用中的数据,这是Windows上大部分备份软件(restic、Veeam、Synology ABB、……)所需要的底层机制

winget:微软的CLI工具,一个类似Linux包管理的软件安装和管理工具,与scoop和choco等第三方工具接近,对MSIX/AppX的支持相对好一点

MSIX:应用打包和分发机制,适用于传统Win32应用和被抛弃的UWP应用,甚至可以把一个已经安装好的Win32程序打包,支持增量更新,强制签名(意味着必须要微软签名服务、来自CA的组织签名或者本地信任根证书),可选带AppContainer沙盒,此外,还有PSF用于让打包现有项目更容易

AppContainer:沙盒机制,可以用来隔离应用程序,使得它只能访问指定的资源(局限性:1. 带GUI的程序不得不共享win32k.sys这个安全隐患;2. 不支持命名空间和挂载,它只是一个访问控制机制,而不是后文中提到的Windows容器)

Win32 App Isolation:基于AppContainer的Win32应用隔离机制,解决了部分缺陷(局限性:目前仍处于预览阶段,并且很长时间没有更新,有可能被抛弃)

App Control for Business / WDAC:控制哪些代码可以被执行,包括应用、驱动、脚本、PowerShell等等,对安全性非常关键,适合企业内部管理(比如,可以开启Secure Boot,然后配置签名的WDAC策略,该策略会被一直强制,只能更新为同样签名的策略,关闭Secure Boot才能修改,起到防篡改效果;还有,可以在配置自定义UEFI PK以后通过签名的CustomKernelSigners策略加载未经微软签名的内核驱动,不需要TestSigning或者bootkit)

Smart App Control:也是WDAC,但面向普通消费者(局限性:首次运行程序前有明显延迟,使用户体验变差)

Windows事件日志、ETW、WER、WHEA、……:重要的诊断和故障排除的信息来源,有eventvwr、wevtutil等工具,比如用于获取ECC内存的错误报告、检查哪个程序占用了可移动磁盘导致无法弹出、找出最近崩溃的程序以及直接原因、浏览某类被审计的行为的成功/失败记录、……

WMI:重要的系统信息来源,有wmic命令行工具、wbemtest图形界面工具以及PowerShell接口,支持远程操作(基于WinRM/WS-Man或DCOM),比如用于查询是否启用了内存ECC功能、查询最近的启动时间、启动和终止指定进程或指定服务、在指定进程被运行时执行回调、批量获取远程机器的信息和状态、……

WinRM、WS-Man:远程管理接口,是PowerShell Remoting、WMI等远程控制的基础,与RDP、SSH、Telnet均无关

服务:Windows自身或者用户提供的服务,一般以SYSTEM运行且无交互,可以配置自启动/依赖关系/自动重启策略/……

计划任务:在满足条件时执行指定的任务

Active Directory(AD):域,为企业内网提供集中的管理和维护服务

组策略:可以本地修改或者批量下发的配置体系,方便企业进行集中管理

Configuration Service Provider (CSP):为企业的MDM提供接口

Configuration Manager / SCCM:批量进行安装和更新或者下发配置/推送补丁

WSUS:集中管理所有机器的Windows更新情况,比如让所有机器推迟一周获取功能更新(背后的理由是让其它用户先更新,从而提前发现缺陷并降低风险)

Windows部署相关工具,包括但不限于DISM、WinADK、WinPE、MDT、WDS等等,典型应用场景有用官方的Windows评估与部署包(WinADK)制作自己的WinPE环境(当然也有方便的第三方工具)、用Answer File自定义Windows安装(安装过程中无需用户参与,并且能预先修改好系统配置,比如第三方工具UnattendedWinstall)等等

Windows Feature Store (i.e. Velocity):微软内部用于控制新功能分批推送的机制,参考Controlled Feature Rollout、Flighting、Feature Staging API,用户可以通过ViVe等第三方工具开关具体功能

Hotpatch:基于热更新的Windows更新,可以避免传统Windows更新后的重启,类似Linux上的kpatch,但要求基于Azure或额外付费订阅

Nano Server:Windows Server 2016引入的一个轻量级安装选项,提供一个非常轻的Windows Server,和Windows Server Core一样无GUI和桌面(要通过PowerShell管理),后续不再支持,转而被用于容器和虚拟化

Windows沙盒:一次性的完整Windows环境,是轻量级和优化过的HyperV虚拟机,不能持久化,关闭后自动清空所有数据

Windows容器:原生的容器,也称WCOW,支持Docker,可以基于进程隔离或HyperV虚拟化,并且不会遇到非英语Windows的代码页和编码问题(局限性:1. 不支持GUI和RDP;2. 除了Nano Server以外的Windows容器镜像都比较大;3. Windows和Linux相比更重)

WSLC:另一种运行Linux容器(LCOW)的方案,在此之前,Windows上用Docker运行Linux容器要么走WSL后端(也就是在一个WSL发行版里运行相关容器),要么走HyperV后端(也就是一个Linux虚拟机),现在有了第三种,直接基于WSL运行Linux容器,也就是WSLC

HCS(Host Compute System):关于Windows容器(WCOW)、Linux容器(LCOW)或HyperV的一套系统,参考微软官方SDK(hcsshim)和第三方开源软件NanaBox(一个开箱即用的虚拟机管理界面)

WHP / WHPX:基于HyperV的虚拟化平台,QEMU可以用它加速,类似KVM

虚拟磁盘(VHDX):单文件形式的一个虚拟的磁盘,用不少用途,还有差分VHDX

挂载:将硬盘挂载到一个NTFS路径上并访问(而不是使用盘符访问),参考 diskpart 和 mountvol

UNC路径和NT路径:通过路径直接访问指定的卷(无需挂载)、WSL2中的文件系统、带特殊名称(比如nul、con和符号)的文件、SMB/WebDAV共享文件夹、绕过MAX_PATH限制 ……

robocopy:文件的复制和同步工具(复制大量小文件时性能远远强于有缺陷/bug的Windows资源管理器)

UWF(Unified Write Filter):类似还原软件,过滤所有写入并重定向

Custom Shell:自定义Shell,不用Windows资源管理器而用你自己的Shell

挂起(suspend)和恢复进程:暂时停止进程的运行,后续可恢复运行,可以在资源监视器里直接操作;挂起以后再清理内存(工作集)可以减少其内存占用

Sysinternals等系列工具:微软官方的工具,比如用Autoruns检查所有启动项、用ProcMon检查应用程序的活动、搜索句柄来检查哪个程序占用了文件/文件夹导致无法删除(也能通过资源监视器实现)、……

开发工具,包括Windows SDK、Windows App SDK、WinRT、Debugging Tools for Windows(内含经典版WinDbg等等)、Windows Performance Toolkit(内含WPR/WPA/Xperf等等)

新版WinDbg:Windows上的调试器(现代版),功能仍然强大,它还有一个附加组件TTD用于Time Travel Debugging(类似Linux上的rr)

Windows PowerShell、PowerShell 7:Windows上的首选Shell,与COM/ActiveX/.NET的互操作性很好,还有各种Windows系统功能的集成,也支持远程操作,并且可以做脚本和自动化

安全桌面:用于UAC弹窗、第三方密码管理器(如KeePass)界面等场景(局限性:有绕过的可能性)

Windows恶意软件删除工具(MSRT):用于扫描和删除恶意软件

Sysmon:是Sysinternals的一部分,但最新版本里逐渐内置为Windows组件,用于监控和审计整个系统,类似EDR软件

BitLocker:软件实现的全硬盘加密(除了部分旧版本可能会用并不安全的SED功能),最常见的是TPM-only模式的BitLocker,但对于有安全要求的用户应当采用TPM+PIN模式(当然要注意及时备份密钥)(在部分设备上被OEM默认启用,称为设备监控)

VBS/VSM:基于虚拟化的安全性

VBS Key Protection:基于虚拟化实现的密钥存储功能,可以用于不可导出且自动持久化的密钥,功能上类似TPM,你可以请求密钥进行相关操作,而恶意软件(甚至包括BYOVD攻击后的或提权到SYSTEM的)无法从内存或硬盘的任何地方得到这个密钥(注意:不对抗DMA攻击,那是Kernel DMA Protection和IOMMU的责任,内存也没有实际加密,只是在hypervisor层阻止访问,类比Android的pKVM)

VBS Enclave:一种安全enclave,基于虚拟化(而非硬件安全功能)实现,可以保护enclave不受外部控制以及enclave内存不被其它软件读写,即使是BYOVD或者提权到SYSTEM权限的恶意软件进程也无法影响enclave(局限性:发布VBS Enclave需要被微软的Azure Trusted Signing签名,而这个签名很难搞到,这点上有点像PPL)

HVCI(Memory Integrity):在VBS/VSM基础上进一步保护系统,对于内核和驱动的安全很重要

Microsoft驱动程序阻止列表和打印保护模式:防止某些本身无恶意但存在漏洞的驱动被加载

DTRM / System Guard Secure Launch:在不可信的启动过程以后重新使系统回到保护状态,也算是基于硬件的安全性

WPBT:微软允许厂商在固件侧放一个Win32程序(.exe)并让Windows在启动时自动执行它,即使重装系统也会保留(严格来讲,WPBT不是Windows操作系统的东西,而是一个ACPI表)

DFCI:让企业将管理策略放到固件层/UEFI

DTrace for Windows:一个由微软将原本来自Solaris的DTrace工具移植到Windows(基于OpenDTrace)的开源项目,可以动态追踪和内核和用户进程,目前已经内置到Windows了(局限性:相对BSD来说功能覆盖较少)

eBPF for Windows:微软将Linux下eBPF移植到Windows(基于eBPF相关开源项目)的开源项目(局限性:目前处于比较初级的阶段、远远没有Linux eBPF通用和强大)

RDP:远程桌面,非视频流,支持多个平台的客户端,它不仅仅是一个方便的远程管理功能,同时还是一个显示协议,运用于虚拟机等场景,比如用在Windows沙盒中

RemoteApps:基于RDP的远程应用,可以用第三方工具RemoteAppsTool和RAWeb来创建

Projected File Systems:提供虚拟文件视图,参考VFS for Git或Git for Windows内置的Scalar等,它们为超大型Git仓库提供更好的体验(其实用第三方类FUSE方案也能实现,如WinFsp和Dokany)

Cloud Filter:用于网盘同步的虚拟文件视图,参考OneDrive等网盘

Shell扩展:对Windows资源管理器进行一定程度的扩展和自定义,参考Link Shell Extension(一个方便管理Windows硬链接/符号链接的Shell扩展)

DevDrive和ReFS:开发者驱动器以及新文件系统,有虚拟化友好、与Storage Spaces集成等特点,但ReFS不是用来替代NTFS的(局限性:不要用在系统盘上;各类第三方文件系统过滤驱动的兼容性可能有问题;有可能不够稳定可靠)

Storage Spaces:存储的池化以及软件RAID(局限性:有可能不够稳定可靠)

SMB 3:网络上的文件共享,支持RDMA(SMB Direct)等等

Hyperlight:一个MicroVM实现,但不是Firecracker替代品

Coreutils for Windows:基于uutils的coreutil实现

Windows Terminal:目前的官方指定终端

杂项:

  • 全局UTF-8编码(注意有些中文软件可能遇到问题)
  • 解除MAX_PATH限制
  • API SetWindowDisplay Affinity防截图
  • 配置指定进程崩溃后自动转储其内存
  • 可以绕过Windows 11 OOBE中的微软账号登录和TPM 2.0和Secure Boot要求
编辑于 2026-06-04 · 著作权归作者所有