如何排查超级影子账户以及如何阻止创建影子账户

最新推荐文章于 2025-12-01 23:24:11 发布
原创 最新推荐文章于 2025-12-01 23:24:11 发布 · 431 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #服务器

影子账户,顾名思义就是隐藏的账户,在“控制面板-用户账户”里面看不见,但却有管理员权限的账户。

那什么是超级影子账户呢?

简单说就是影子账户的升级版,在“控制面板-用户账户”可以看见,在注册表也可以看见,用户组属于Guests组,看起来此账户和普通账户完全没区别,但却拥有管理员权限。

普通影子账户,虽然在在“控制面板”里面看不见,但在注册表(HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names)可以肉眼看见,排查起来比较简单。

但超级影子账户,仅凭肉眼是无法发现的,必须在注册表逐个账户分析F值后才能发现,如果系统账户多达上百个,那几乎没法人工判断了。

如下图一,guest账户属于Guests组,看起来没有任何问题,其实它是一个超级影子账户。

 

guest账户

(图一:guest账户)

如何排查超级影子账户呢?

用肉眼非常难以排查,需要借助第三方工具实现。我们可以使用《护卫神.防入侵系统》的“系统审计”模块实现,审计结果如下图二。

找到影子账户后,只需要将此账户禁用或删除就可以解决问题了。

安全审计结果

 (图二:安全审计结果)

从上图可以看出,确定Guest是影子账户,并且还提示其他安全风险,帮助运维人员发现更多的安全隐患。

如何阻止创建超级影子账户呢?

最简单办法是禁止新建用户,可以使用《护卫神.防入侵系统》的“用户防护”模块来实现,如下图三。

 

禁止新建用户

(图三:禁止新建用户)

当创建新用户时,防入侵系统会立即拦截,并发送消息通知(如下图四)。

 

拦截新建用户消息通知

(图四:拦截新建用户消息通知)

对于已经存在的账户提权为超级影子账户,也可以使用《护卫神.防入侵系统》解决,在“安全巡检”模块,可以定时自动检查服务器安全威胁,其中就包括影子账户(如下图五)。

 

系统安全巡检

(图五:系统安全巡检)

当有账户提权为影子账户时,会立即发送消息通知给管理员(如下图六),支持短信、微信和邮件三种方式。此时只需要登录服务器删除或禁用该账户就可以了。

 

系统安全巡检通知

(图六:系统安全巡检通知)

原文:如何排查超级影子账户以及如何阻止创建影子账户

网安系列:Windows影子账户创建与防御
weixin_54626591的博客
05-30 375
Windows影子账户创建与防御
[权限维持] Windows 权限维持 —— 影子账户后门 - 克隆账户
Blue17 の 小窝
02-28 1133
问题描述  分别在Windows和Linux操作系统上安装Metasploit软件,并运行Metasploit完成针对Linux靶机usermap_script漏洞的渗透攻击,尝试使用植入VNC图形化远程控制工具的攻击载荷,成功获得Linux靶机上的远程控制桌面。做权限维持的前提是你已经拿到了靶机的一个权限(一般还是高权限,不然部分后门你还没有权限写入),所以我们得先用攻击机生成一个木马文件,上传靶机后运行,先拿到靶机的一个权限。这部分我们站在防守者视角,来排查下高级款的影子账户后门。
Windows服务器被入侵后如何实现排查工作,应该从那几方面入手,排查什么内容
tigerman20201的博客
11-25 1783
1. 检查系统账号 (1) 检查远程管理端口是否对公网开放,服务器是否存在弱口令。 检查方法: 检查防火墙映射规则,获取服务器账号登录,也可根据实际情况咨询相关管理员。 (2)查看服务器是否存在可疑账号或新增账号。 检查方法: 打开cmd窗口,输入lusrmgr.msc命令,查看是否有新增或可疑账号,如果管理员群组的(Administrators)里有新增账户,请立即删除。 (3)查看服务器是否存在隐藏账号。 检查方法: 运行CMD命令使用net use,看不到test$这个账号,但在控制面板和本地
Windows下的影子账户创建与防范
m0_46607055的博客
12-26 3455
1、查看当前系统账户 (1)打开cmd查看当前系统账户: net user (2)开始-->控制面板-->管理工具-->计算机管理,进入本地用户和组,查看用户。 (3)打开注册表,进入以下键值,查看用户和组。 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/ 其中,Names下的键值为用户名,用户名键值下的值,对应的Users下的键,内部的F,V值为该用户的登录设置信息,其中F键值,为权限设置信息。 2、添加账户
影子账户全面解析
老友记茶舍
09-02 6110
黑客在入侵系统后常常会建立一个影子账户。之所以称其为“影子账户”,是因为这种账户用系统中提供的工具或方法都无法看到,并且无论是“用户账户”、“计算机管理”,还是命令行中,都无法删除此账户。无法删除?也就是说即使知道已经有人建立了后门,都无法将他赶出去。如果你已经“中招”了,先别忙着重装系统,且看下文分解。 常用的账户建立/查看方法 ①用户账户:打开“控制面板→用户账户”,在打开的“用户账户”管理
网络安全蓝队应急响应之系统入侵排查
yyyyyybw的博客
09-20 1581
net user在红队的视角下,windows账户有三种1.正常用户 net user能看到2.隐藏用户 net user看不到,但是在控制面板、lusrmgr.msc 、用户组中能看到(在用户名后面有一个美元$符号)
windows排查
qq_43665434的博客
09-16 1383
Windows分析排查介绍 分析排查是指对Windows系统中的文件、进程、系统信息、日志记录等进行检测,挖掘Windows系统中是否具有异常情况。 目的:保护Windows系统安全。 文件分析 1、开机启动文件 一般情况下,各种木马、病毒等恶意程序,都会在计算机开机启动过程中自启动。 在Windows系统中可以通过以下三种方式查看开机启动项: 利用文件资源管理器 C:\Users\xiamo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\S
精选资源
windows 7使用注册表创建影子账户和隐藏账户.docx
09-27
Windows 7 使用注册表创建影子账户和隐藏账户 在 Windows 7 中,使用注册表可以创建影子账户和隐藏账户。这种方法可以绕过 Windows 的安全机制,创建一个隐藏的管理员账户,从而获取系统的最高权限。本文将指导您一...
Windows影子账户
qq_45427131的博客
03-18 923
影子账户 应急响应
Win7系统创建隐藏账户影子账户)的方法.docx
09-27
Win7系统创建隐藏账户影子账户)的方法 Win7系统创建隐藏账户影子账户)的方法是指在Win7系统中创建一个隐藏的账户,该账户不会出现在用户列表中,但仍然可以登录系统并具有管理员权限。下面是创建隐藏账户的...
影子账户全面解析(图) 给账户起个“小名”
xcntime的专栏
12-02 3382
<br /> 原创文章如转载,请注明:转载自冠威博客 [ http://www.guanwei.org/ ] <br />本文链接地址:http://www.guanwei.org/post/platformsecurity/08/shadow-account.html<br /> <br /> 特别注意:<br />★本文仅针对Windows 2000/XP/2003,Windows 9x不在本文讨论范畴。<br />★本文涉及注册表重要位置的修改,在实际操作前应好备份。<br />评评管理员账户安全
关于windows系统影子账户的问题
weixin_30847271的博客
08-03 2545
在这之前,需要大家了解几个问题,一个是SID,一个是账号的F值。 Windows账户的SID 在Windows系统中,系统会为每个用户账户建立一个唯一的安全标识符(Security Identifier,SID),在Windows系统的内部核心,都是利用SID而不是用户的账户名称来表示或识别每个用户的。SID综合用户账户创立的时间以及用户名等信息创建,因而是唯一的,并且不会被重复使用,通俗的说...
建立超级隐藏用户账户
月流霜的专栏
12-10 6769
一、“命令提示符”中的阴谋   其实,制作系统隐藏账户并不是十分高深的技术,利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。 一、“命令提示符”中的阴谋   其实,制作系统隐藏账户并不是十分高深的技术,利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。   点击“开始”→“运行”,输入“CMD”运行“命令提示符”,输入“net user p
关于影子账户的问题 新手可以进来看看哈
weixin_34341117的博客
10-24 872
2019独角兽企业重金招聘Python工程师标准>>> ...
影子账号(隐藏账户及防范)
m0_51186260的博客
03-10 1369
1.打开虚拟机window10 2. 对注册表赋予权限 新建特殊账户 4. 新建本地用户添加到本地用户组中去 5.在本地中查看,发现存在添加的账户账户必须有密码 6. 在注册表中查看有已添加的账户 7.导出注册表 8. 导出 9. 命令行删除特殊账户 10. 导入reg文件 11.启用远程桌面 12.远程桌面连接成功 13. 利用d盾扫描删除 14 删除成功 ...
入侵肉鸡,手动建立后门超级隐藏账户的方法
fengling132的专栏
05-09 2575
1.首先利用系统用户建立一个管理员用户 2.利用1$用户远程登录服务器 3.利用注册表建立超级隐藏用户1$,并删除自身用户 4.利用1$登录服务器,结果显示administrator。 5.注册表的权限取消administrators 6.任务管理器,注销1$. 7.删除C:\Documents and Set
怎样建立影子账户
weixin_34290096的博客
11-12 850
Windows 2000/XP/2003中都能找到一个系统内置的默认管理员账户——Administrator,该账户具有Windows的最高管理权限,用来完成软件安装、系统设置等任务。如果系统由于存在漏洞而被黑客入侵,黑客为了下次还能方便地进来,通常会留一个管理员账户影子账户 让你的账号拥有管理员权限,又不给她人发现 怎样设置影子账户 1....
网络安全防护指南:筑牢网络安全防线(510)
最新发布
2509_94105975的博客
12-01 741
网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息收集、存储、传输、交换、处理的系统。在当今数字化时代,网络已经成为人们生活和工作中不可或缺的一部分。它连接了世界各地的人们,使得信息的传递和交流变得更加便捷高效。
影子账户
03-20
### 影子账户的概念及其在IT安全中的作用 影子账户通常指的是未被正式记录或授权的用户账户,这些账户可能由员工或其他人员创建并用于访问公司资源。这类账户的存在可能会绕过企业的标准安全策略和流程,从而带来潜在的安全风险。 #### 1. **影子账户的定义** 影子账户可以分为两种主要形式: - **内部影子账户**:指未经IT部门批准而在企业内部系统中创建账户。这可能是由于某些员工为了方便工作而私自设立的账户,或者是为了规避审批流程而产生的。此类账户可能导致未经授权的数据访问以及安全隐患[^1]。 - **外部影子账户**:涉及使用第三方服务(如SaaS应用程序)而不通知IT团队的情况。例如,员工可能注册个人版Google Drive或Dropbox存储敏感资料,而这并未受到公司的安全管理政策约束[^3]。 #### 2. **影子账户对企业的影响** 尽管影子账户有时能够提高工作效率,但由于缺乏集中管理和监控机制,它们也可能引发一系列问题: - 数据泄漏风险增加:当影子账户持有者离职时,如果未能及时撤销其权限,则容易造成机密信息外泄; - 安全漏洞扩大化:基于传统边界防护模型的传统网络安全架构难以应对日益复杂的威胁环境,尤其是面对那些隐藏在网络深处的非法入口点——即所谓的“影子基础设施”; - 合规性挑战加剧:对于需要遵循严格法规的企业来说,任何未受控的操作都可能违反规定并招致罚款甚至法律诉讼。 #### 3. **如何有效管理影子账户** 针对上述提到的各种隐患,采取积极措施加强整体治理显得尤为重要: ##### (1)实施严格的访问控制制度 通过定期审查现有用户列表并与人力资源数据库同步更新状态变化情况来减少不必要的长期活跃连接;同时利用高级身份验证技术比如双因素认证(2FA),增强登录环节安全性[^2]. ##### (2)采用零信任框架重构防御体系结构 鉴于传统的基于边界的保护方法已逐渐失效的事实, 推荐采纳一种全新的理念—"Zero Trust"(零信任). 此种模式下,默认情况下没有任何实体被认为是可信的,无论位于防火墙内外部还是云端位置上; 所有请求均需经过细致核查才能获得进一步处理资格. ```python def verify_user(user_id): """模拟简单的用户验证逻辑""" trusted_users = ["admin", "manager"] if user_id not in trusted_users: raise PermissionError(f"User {user_id} is unauthorized.") verify_user("guest") # 将抛出异常表明该访客不具备相应权利. ``` ##### (3)推广教育活动提升全员意识水平 最后但同样重要的一环在于持续开展培训项目帮助全体员工理解各自角色背后所承担的责任义务,并鼓励他们主动报告可疑行为迹象以便快速响应处置可能出现的问题源。 --- ### 总结 综上所述,虽然影子账户能够在短期内满足特定需求,但从长远来看却会对整个组织构成严重威胁。因此建议各机构高度重视这一领域内的管理工作,综合运用多种手段构建更加稳健可靠的运行平台。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值