0x01 前言
0x02 相关基础知识点
用户账户控制
用户访问权限
访问控制策略
0x03 实验设计
实验目的
在Windows 7系统下,进行添加账户、修改账户所属用户组、修改账户权限等操作,体会账户的功能及用户组的作用,并感受账户权限作用的对象。
对账户进行隐藏操作,并且从各个角度观察是否能检查到隐藏用户,能查看到则进行改进,达到更深层次的隐藏,若不能查看到,则研究防止该隐藏用户登录的措施。
实验环境
Windows 7系统虚拟机
360安全卫士
远程桌面协议
控制面板
命令提示符
计算机管理-事件查看器
0x04 实验实现
添加账户
(1) 查看计算机上现有账户
(2) 添加一个普通账户
添加账户后,可以查看到360的安全提示
此处为了实验进行,允许此次操作。
再次查看计算机上账户,用户已经添加。
之后,再创建一个以aaa$为名的账户,与已有aaa账户进行对比,同样360会弹出安全提示。
将aaa$账户加入管理员组,在360提示中允许操作。
再次查看计算机账户,发现并没有aaa$账户,此时已到达对账户的初步隐藏。
打开控制面板中[用户账户和家庭安全],仍可以查看到aaa$账户。
此时与命令提示符中查看到的用户对比,即可知道隐藏账户。
隐藏账户
若要在控制面板中隐藏aaa$账户,则需在注册表中进行操作。
打开注册表后,在图中路径下,可查看到计算机账户的注册项,可以看到aaa$也在其中。
若要在控制面板中隐藏账户,则将aaa$的注册项导出。
在保存后,将管理员账户参数配置的注册项中的F键值复制,替换掉aaa$参数配置注册项中的F键值,更改其权限,保存。
导入后,即添加了aaa$账户,在控制面板中再次查看,发现没有aaa$账户。
接下来验证aaa$账户存在。
在命令提示符中,更改aaa$账户密码,若成功则说明账户存在。
通过远程桌面连接查看隐藏账户。
若是自身创建了一个隐藏账户,并想用隐藏账户登录计算机,可采取以下步骤。
打开[本地组策略管理]-[Windows设置]-[安全设置]-[本地策略]-[安全选项],找到“交互式登录:不显示最后的用户名”,勾选“已启用”。
注销计算计算机后,可以发现登录界面变为输入用户名和密码了,此时输入隐藏账户的用户名和密码即可登录隐藏账户。
解决隐藏账户
如果黑客在计算机内注册了一个隐藏的账户,并关闭了本机对注册表的修改权限,则可以通过以下办法来解决隐藏账户。
打开计算机的本地组策略管理器-[Windows 设置]-[安全设置]-[本地策略]-[审核策略],打开[审核策略更改]一项,勾选上“成功”。
打开计算机管理,在[事件查看器]-[Windows日志]-[安全]中,则可看见计算机账户的登录事件。
在[计算机管理]-[本地用户和组]-[用户]中,同样可以查看到aaa$账户,但直接删除是无法删除的。
若要让黑客无法再从隐藏账户登录计算机,可以在命令提示符内修改掉隐藏账户的密码,并将权限调至最低,使黑客无法使用现有的账户和口令登录账户,即使登录也什么都不能做。