2016年8月25日 星期四

在 Windows Server 2012 R2 建立隱藏帳號

最近發現某一台網路設備有連續的密碼功擊,追查下發現某台主機有奇怪的帳號,確定應該是被入侵,另外同事發現這篇 在Windows Server 2003下建立隐藏帐户 ,被入侵的主機也剛好是 WIndows Server 2003,於是好奇其他版本是否會有一樣的狀況,以下範例使用 Windows Server 2012 R2 實驗。


此文章僅供了解隱藏帳號的建立方法,以便知道如何檢查及防範。
 一、建立隱藏帳號
 1. 在命令提示字元下,輸入下列指令。(帳號名稱與密碼自訂,帳號名稱後需加上"$"符號)
  > net user <username>$ <password> /add


 2. 使用「net user」指令,無法顯示剛才建立的「admin$」帳號。


 3. 在「本機使用者和群組」中可以看到「admin$」帳號。


 4. 執行「regedit」,展開「電腦HKEY_LOCAL_MACHINE\SAM\SAM」,預設是無法看到 SAM 子項目,在 SAM 資料夾上,按滑鼠右鍵,選擇「使用權限」。


 5. 選擇「Administrators」,勾選允許「完全控制」及「讀取」。


 6. 展開「SAM\Domains\Users\Names」,在裡面看到「admin$」資料夾,「(預設值)」的「0x3f8」對應「Users\00003F8」資料夾。而「Administrator」對應「Users\00001F4」資料夾。


 7. 選擇「000001F4」Administrator 資料夾,雙擊「F」參數,將裡面的值複製到「000003F8」裡的「F」參數。


 
 8. 將「000003F8」及「admin$」的機碼匯出。

 


 9. 分別儲存成兩個檔案。


 10. 在命令提示字元中,刪除「admin$」帳號。
   > net user <username>$ /del


 11. 將剛剛匯出的登錄檔重新雙擊匯入。

 


 12. 回到「本機使用者和群組」,已看不見「admin$」帳號。


 13. 使用「net user」指令也看不到該帳號。


 14. 但使用「net user admin$」可顯示該帳號資訊。


 15. 使用「net user admin$ /del」也無法刪除該帳號。



二、缺點 
  • 如果修改 admin$ 的密碼,在「本機使用者和群組」就會顯示。
  • 系統重新啟動,也會在「本機使用者和群組」中顯示。

三、如何發現隱藏帳號。
  • 方法一:檢查登錄檔「電腦\HKEY_LOCAL_MACHINE\SAM\SAM」內是否有可疑帳號。
  • 方法二:執行 gpedit.msc「本機群組原則編輯器」,將「稽核帳戶登入事件」、「稽核登入事件」,勾選「成功」及「失敗」。若有異常登入,可從事件檢視器裡的「安全性」發現登入訊息。

四、刪除隱藏帳號 
  • 方法一:在登錄檔「電腦\HKEY_LOCAL_MACHINE\SAM\SAM」內直接刪除該帳號,但開啟「本機使用者和群組」時會出現錯誤訊息,可是不影響操作。
  • 方法二:因為無法刪除,故只能停用該帳號或變更密碼,讓他無法登入。


資料參考來源:

沒有留言:

張貼留言