10秒后自動(dòng)關(guān)閉
如何排查超級(jí)影子賬戶以及如何阻止創(chuàng)建影子賬戶

影子賬戶,顧名思義就是隱藏的賬戶,在“控制面板-用戶賬戶”里面看不見,但卻有管理員權(quán)限的賬戶。


那什么是超級(jí)影子賬戶呢?

簡(jiǎn)單說就是影子賬戶的升級(jí)版,在“控制面板-用戶賬戶”可以看見,在注冊(cè)表也可以看見,用戶組屬于Guests組,看起來此賬戶和普通賬戶完全沒區(qū)別,但卻擁有管理員權(quán)限。


普通影子賬戶,雖然在在“控制面板”里面看不見,但在注冊(cè)表(HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names)可以肉眼看見,排查起來比較簡(jiǎn)單。

但超級(jí)影子賬戶,僅憑肉眼是無(wú)法發(fā)現(xiàn)的,必須在注冊(cè)表逐個(gè)賬戶分析F值后才能發(fā)現(xiàn),如果系統(tǒng)賬戶多達(dá)上百個(gè),那幾乎沒法人工判斷了。


如下圖一,guest賬戶屬于Guests組,看起來沒有任何問題,其實(shí)它是一個(gè)超級(jí)影子賬戶。

 guest賬戶

(圖一:guest賬戶)


如何排查超級(jí)影子賬戶呢?

用肉眼非常難以排查,需要借助第三方工具實(shí)現(xiàn)。我們可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“系統(tǒng)審計(jì)”模塊實(shí)現(xiàn),審計(jì)結(jié)果如下圖二。

找到影子賬戶后,只需要將此賬戶禁用或刪除就可以解決問題了

安全審計(jì)結(jié)果

 (圖二:安全審計(jì)結(jié)果)


從上圖可以看出,確定Guest是影子賬戶,并且還提示其他安全風(fēng)險(xiǎn),幫助運(yùn)維人員發(fā)現(xiàn)更多的安全隱患。


如何阻止創(chuàng)建超級(jí)影子賬戶呢?

最簡(jiǎn)單辦法是禁止新建用戶,可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“用戶防護(hù)”模塊來實(shí)現(xiàn),如下圖三。

 禁止新建用戶

(圖三:禁止新建用戶)



當(dāng)創(chuàng)建新用戶時(shí),防入侵系統(tǒng)會(huì)立即攔截,并發(fā)送消息通知(如下圖四)。

 攔截新建用戶消息通知

(圖四:攔截新建用戶消息通知)


對(duì)于已經(jīng)存在的賬戶提權(quán)為超級(jí)影子賬戶,也可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》解決,在“安全巡檢”模塊,可以定時(shí)自動(dòng)檢查服務(wù)器安全威脅,其中就包括影子賬戶(如下圖五)。

 系統(tǒng)安全巡檢

(圖五:系統(tǒng)安全巡檢)


當(dāng)有賬戶提權(quán)為影子賬戶時(shí),會(huì)立即發(fā)送消息通知給管理員(如下圖六),支持短信、微信和郵件三種方式。此時(shí)只需要登錄服務(wù)器刪除或禁用該賬戶就可以了。

 系統(tǒng)安全巡檢通知

(圖六:系統(tǒng)安全巡檢通知)