如何排查超级影子账户以及如何阻止创建影子账户

影子账户,顾名思义就是隐藏的账户,在“控制面板-用户账户”里面看不见,但却有管理员权限的账户。

那什么是超级影子账户呢?

简单说就是影子账户的升级版,在“控制面板-用户账户”可以看见,在注册表也可以看见,用户组属于Guests组,看起来此账户和普通账户完全没区别,但却拥有管理员权限。

普通影子账户,虽然在在“控制面板”里面看不见,但在注册表(HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names)可以肉眼看见,排查起来比较简单。

但超级影子账户,仅凭肉眼是无法发现的,必须在注册表逐个账户分析F值后才能发现,如果系统账户多达上百个,那几乎没法人工判断了。

如下图一,guest账户属于Guests组,看起来没有任何问题,其实它是一个超级影子账户。

 

guest账户

(图一:guest账户)

如何排查超级影子账户呢?

用肉眼非常难以排查,需要借助第三方工具实现。我们可以使用《护卫神.防入侵系统》的“系统审计”模块实现,审计结果如下图二。

找到影子账户后,只需要将此账户禁用或删除就可以解决问题了。

安全审计结果

 (图二:安全审计结果)

从上图可以看出,确定Guest是影子账户,并且还提示其他安全风险,帮助运维人员发现更多的安全隐患。

如何阻止创建超级影子账户呢?

最简单办法是禁止新建用户,可以使用《护卫神.防入侵系统》的“用户防护”模块来实现,如下图三。

 

禁止新建用户

(图三:禁止新建用户)

当创建新用户时,防入侵系统会立即拦截,并发送消息通知(如下图四)。

 

拦截新建用户消息通知

(图四:拦截新建用户消息通知)

对于已经存在的账户提权为超级影子账户,也可以使用《护卫神.防入侵系统》解决,在“安全巡检”模块,可以定时自动检查服务器安全威胁,其中就包括影子账户(如下图五)。

 

系统安全巡检

(图五:系统安全巡检)

当有账户提权为影子账户时,会立即发送消息通知给管理员(如下图六),支持短信、微信和邮件三种方式。此时只需要登录服务器删除或禁用该账户就可以了。

 

系统安全巡检通知

(图六:系统安全巡检通知)

原文:如何排查超级影子账户以及如何阻止创建影子账户

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值