Objetivo
Comprenda el principio del establecimiento de cuentas ocultas de Windows y domine el proceso de eliminación de cuentas ocultas de Windows
entorno de laboratorio
Un servidor de windows 2012 r2
Principio experimental
La creación de cuentas ocultas se realiza a través del registro, y las cuentas ocultas se pueden crear manualmente
Procedimiento experimental
1. Crea un usuario usando la línea de comando
1. Abra la línea de comando
2. Crea un nuevo usuario test$
prueba de usuario neto$ sxf!7890 /añadir
prueba de administradores de net localgroup$ /add
En segundo lugar, observe el usuario de prueba $
1. Utilizar herramientas de gestión informática del sistema
Encontré que puedes ver el usuario test$
2. Use la línea de comando para ver los usuarios
Ingrese en la línea de comando: usuario de red
No puedo ver el usuario test$
3. Exportar información de registro de usuarios de test$ y administrador
1. Abra el registro
Entrada de línea de comando: regedit
2. Obtener permisos de elementos SAM
Actualizar permisos
3. Exportar información de usuario de test$
Exporte la siguiente clave como test.reg
Aquí 0x3e9 es un valor aleatorio, que será diferente para cada host
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Cuenta\Usuarios\Nombres\prueba$
4. Exporte el valor UID de test$
5. Exporte el elemento UID del administrador
En Windows, el UID del administrador se fija en 1F4
Cuarto, modifique la información de registro exportada
1. Copie el valor F en admin_id al valor F en uid
editar admin_id
Copia el valor de F
editar uid
guardar documento
5. Eliminar el usuario test$ e importar el registro
1. Eliminar el usuario test$
Use el siguiente comando: net user test$ /del
2. Importe los archivos de registro de prueba y uid en el escritorio
prueba de importación
importar uid
6. Ver cuentas ocultas
1. Use la administración de computadoras para ver los usuarios, pero no se encuentra test$
2. Modifique la política de grupo para permitir el inicio de sesión de usuario personalizado
En el símbolo del sistema, ingrese: gpedit.msc
habilitar, confirmar
Cerrar sesión del usuario administrador
Iniciar sesión con prueba de usuario $
Ingrese el nombre de usuario: prueba$
Introduzca la contraseña: sxf!7890
Inicio de sesión correcto
Use el Administrador de tareas para ver los usuarios actuales
Resumen del experimento
Al crear manualmente cuentas ocultas, comprenda el principio de funcionamiento de las cuentas ocultas de Windows. A través del principio, las cuentas ocultas se pueden procesar a la inversa. También hay herramientas disponibles para tratar con cuentas ocultas.