论文导读:用户帐户是指用户定义到Windows的所有信息组成的记录。这些帐户也就是通常所说的“隐藏账户”。最简单的隐藏帐户可以在CMD模式下通过命令创建。下面通过注册表建立一种在CMD模式和“本地用户和组”中“隐形”的账户。
关键词:用户帐户,隐藏,CMD,注册表
用户帐户是指用户定义到Windows的所有信息组成的记录。这些记录包括用户名和用户登录所需的密码、用户帐户所属组,以及用户使用计算机和网络并访问资源的权利和权限。通常管理用户的方式是使用Windows自带的帐户管理工具,例如netuser命令、计算机管理中的本地用户和组等,但是由于这些工具自身存在的缺陷,在使用这些工具的过程中,部分用户账号并没有显示出来,这些帐户也就是通常所说的“隐藏账户”,有时也叫“影子帐户”。
一、隐藏账户的种类。
在windows中的隐藏帐户分为以下几种,下面就来看看这些帐户的本来面目。
1、最简单的隐藏帐户
最简单的隐藏帐户可以在CMD模式下通过命令创建。点击“开始”→“运行”,输入“CMD”后回车,进入到CMD模式。下面使用“net user”命令来创建帐户,命令格式为“net user 帐户名称 账户密码 /add”,输入“net user test$ 123456/add”,回车,成功后会显示“命令成功完成”。
再使用“net user”命令查看当前系统中的帐户信息列表,发现并没有刚才创建的“test$”帐户。那么刚才创建的账户是否真的已经存在了呢?让我们点击“开始”→“运行”,输入“compmgmt.msc”后回车,进入到“计算机管理”,查看其中的“本地用户和组”,在“用户”一项中,发现刚才建立的账户“test$”是存在的(如下图)。
这说明刚才创建的“test$”确实是一个在CMD模式中不能用“net user”命令查看的隐藏帐户。
从上面的过程看,“test$”账户之所以被隐藏,是因为它的用户名有“$”后缀,这是windows自身的一种隐藏机制,而且这种通过特殊后缀名创建的账户只能在CMD中相对于使用“netuser”命令查看时进行隐藏,而对于通过“本地用户和组”查看用户信息则必然“显形”。其实,由于创建账户时默认为将用户加入到“users”组,在CMD模式中可以直接通过查看“users”组来让其“显形”,即在“命令提示符”后输入“netlocalgroup users”就会列出刚才创建的“test$”。并且这种隐藏账户会在用户切换或系统重启时自动“显形”在windows的登录界面中。因此这种隐藏账户的方法是一种初级的隐藏方法,只对那些粗心的管理员有效,是一种入门级的系统账户隐藏技术。
2、注册表型隐藏帐户
上面创建的隐藏账户很容易“显形”,下面通过注册表建立一种在CMD模式和“本地用户和组”中“隐形”的账户。发表论文,注册表。
我们都知道,创建的所有账户信息都会记录在注册表中。点击“开始”→“运行”,输入“regedit”后回车,进入到“注册表编辑器”,来到注册表编辑器的“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”处,当前系统中所有存在的账户都会在这里显示,当然包括我们的隐藏账户(若发现SAM不能展开,则“HKEY_LOCAL_MACHINESAMSAM”处右击选择“权限”,在弹出的“SAM的权限”编辑窗口中选中“administrators”账户,在下方的权限设置处勾选“完全控制”,完成后点击“确定”即可。然后我们切换回“注册表编辑器”,可以发现“HKEY_LOCAL_MACHINESAMSAM”下面的键值都可以展开了)。点击上面创建的隐藏账户“test$”,可以看到右边的窗格中对应的类型显示为“0x3ec”,在左边“Names”的上级结点“Users”下可以看到对应的“000003EC”,以上内容可能在实验中的显示标识有所不同。
将“test$”的键值导出为test$.reg,同时将“000003EC”导出为test$Value.reg。接下来进入CMD模式,在“命令提示符”后输入“net user test$ /del”将上面建立的隐藏账户删除。最后,将“test$.reg”和“test$Value.reg”导入注册表,至此,注册表型隐藏账户制作完成。发表论文,注册表。从这种创建账户的方式中可以看出,每一个账户的关键信息保存在注册表的“Users”的相关结点键值中,可以进一步地通过复制“administrator”的键值来提升隐藏账户的权限。这种创建隐藏用户的方法也可以使用“HideAdmin”这个软件非常容易地完成。
二、“狙击”隐藏账户。
如果入侵者在你的系统中创建这样一些隐藏账户,无疑会给你的系统安全带来极大的危害,下面就采用循序渐进的方式将其“扫地出门”。
1、如果是第一种最简单的隐藏账户,则直接在“在地用户和组”中将其删除即可,只是注意在检查账户列表时不能仅仅依靠CMD模式下的“net user”命令。
2、对于注册表型隐藏账户,在系统重启或进行账户的增删操作后会在“本地用户和组”中“显形”出来。那么是不是就可以像第一种一样直接删除呢?答案是否定的。发表论文,注册表。直接删除不能成功执行,那么就只好到注册表中去删除相应的结点项了。
3、如果入侵者创建了一个注册表型隐藏账户,并在此基础上删除了管理员对注册表的操作权限。那么管理员是无法通过注册表删除隐藏账户的,甚至无法知道隐藏账户名称。那我们就只好借助“组策略”的帮助,让黑客无法通过隐藏账户登陆。点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开至“审核策略”,双击右边的“审核策略更改”,在弹出的设置窗口中勾选“成功”,然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。这样我们就可以通过“事件查看器”准确得知隐藏账户的名称和登陆的时间。即使入侵者将所有的登陆日志删除,系统还会记录是哪个账户删除了系统日志,这样入侵者的隐藏账户就暴露无疑了。在得知隐藏账户的名称后即使不能删除这个隐藏账户,我们也可以修改其密码让其不能登录,这样该隐藏账户就形同虚设了。发表论文,注册表。
三、防范隐藏账户。发表论文,注册表。
与其在隐藏账户存在后进行“狙击”,不如事先采用适当的策略,将隐藏账户拒之门外,防患于未然。发表论文,注册表。
1、从管理层次上看,应该做好以下工作:
(1)管理员账户在采用强口令的基础上,除完成必要的管理任务外,不得进行日常操作;
(2)账户的增加和删除应该采用登记机制;
(3)账户权限应该采用“最小化”原则,避免越权操作;
(4)管理员应该定期和不定期地对账户列表进行检查,发现非法账户应及时进行处理;
(5)建立必要的账户恢复和应急策略。
2、从技术层次上看,应该做好以下几点:
(1)使用“组策略”配置账户管理;
(2)关闭远程注册表修改服务;
(3)采用多种方式检查用户账户列表;
(4)充分利用事件查看器中的审核信息进行防范。
从以上的分析可以看出,所谓的隐藏账户并不能达到真正的“无形”,只要你理解了windows账户的本质,掌握了一定的安全管理技术,具备良好的安全防范意识,隐藏账户式的攻击就会在你的面前知难而退。
参考文献:
[1]张月红:《网络安全与技术》,湖北长江出版社
[2]李明强:《操作系统安全综述》,《计算机世界报》
|
