Gavin's Linux學習手札
關於部落格
原本這個 Blog 是用來記錄研究 Linux 的學習過程, 後來變成記錄生活與工作, 這個 Blog 裡的文章已成為我不可缺少的回憶。
  • 522631

    累積人氣

  • 4

    今日人氣

    0

    訂閱人氣

在 Windows Server 2012 R2 建立隱藏帳號

 一、建立隱藏帳號
 1. 在命令提示字元下,輸入下列指令。(帳號名稱與密碼自訂,帳號名稱後需加上"$"符號)
  > net user <username>$ <password> /add

 2. 使用「net user」指令,無法顯示剛才建立的「admin$」帳號。

 3. 在「本機使用者和群組」中可以看到「admin$」帳號。

 4. 執行「regedit」,展開「電腦HKEY_LOCAL_MACHINESAMSAM」,預設是無法看到 SAM 子項目,在 SAM 資料夾上,按滑鼠右鍵,選擇「使用權限」。

 5. 選擇「Administrators」,勾選允許「完全控制」及「讀取」。

 6. 展開「SAMDomainsUsersNames」,在裡面看到「admin$」資料夾,「(預設值)」的「0x3f8」對應「Users00003F8」資料夾。而「Administrator」對應「Users00001F4」資料夾。

 7. 選擇「000001F4」Administrator 資料夾,雙擊「F」參數,將裡面的值複製到「000003F8」裡的「F」參數。

 
 

 8. 將「000003F8」及「admin$」的機碼匯出。

 

 9. 分別儲存成兩個檔案。

 10. 在命令提示字元中,刪除「admin$」帳號。
   > net user <username>$ /del

 11. 將剛剛匯出的登錄檔重新雙擊匯入。

 

 12. 回到「本機使用者和群組」,已看不見「admin$」帳號。

 13. 使用「net user」指令也看不到該帳號。

 14. 但使用「net user admin$」可顯示該帳號資訊。

 15. 使用「net user admin$ /del」也無法刪除該帳號。


二、缺點
  • 如果修改 admin$ 的密碼,在「本機使用者和群組」就會顯示。
  • 系統重新啟動,也會在「本機使用者和群組」中顯示。

三、如何發現隱藏帳號。
  • 方法一:檢查登錄檔「電腦HKEY_LOCAL_MACHINESAMSAM」內是否有可疑帳號。
  • 方法二:執行 gpedit.msc「本機群組原則編輯器」,將「稽核帳戶登入事件」、「稽核登入事件」,勾選「成功」及「失敗」。若有異常登入,可從事件檢視器裡的「安全性」發現登入訊息。

 

四、刪除隱藏帳號
  • 方法一:在登錄檔「電腦HKEY_LOCAL_MACHINESAMSAM」內直接刪除該帳號,但開啟「本機使用者和群組」時會出現錯誤訊息,可是不影響操作。
     
  • 方法二:因為無法刪除,故只能停用該帳號或變更密碼,讓他無法登入。


資料參考來源:
在Windows Server 2003下建立隐藏帐户


相簿設定
標籤設定
相簿狀態