10秒后自動關(guān)閉
如何排查超級影子賬戶以及如何阻止創(chuàng)建影子賬戶

影子賬戶,顧名思義就是隱藏的賬戶,在“控制面板-用戶賬戶”里面看不見,但卻有管理員權(quán)限的賬戶。


那什么是超級影子賬戶呢?

簡單說就是影子賬戶的升級版,在“控制面板-用戶賬戶”可以看見,在注冊表也可以看見,用戶組屬于Guests組,看起來此賬戶和普通賬戶完全沒區(qū)別,但卻擁有管理員權(quán)限。


普通影子賬戶,雖然在在“控制面板”里面看不見,但在注冊表(HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names)可以肉眼看見,排查起來比較簡單。

但超級影子賬戶,僅憑肉眼是無法發(fā)現(xiàn)的,必須在注冊表逐個賬戶分析F值后才能發(fā)現(xiàn),如果系統(tǒng)賬戶多達上百個,那幾乎沒法人工判斷了。


如下圖一,guest賬戶屬于Guests組,看起來沒有任何問題,其實它是一個超級影子賬戶。

 guest賬戶

(圖一:guest賬戶)


如何排查超級影子賬戶呢?

用肉眼非常難以排查,需要借助第三方工具實現(xiàn)。我們可以使用《護衛(wèi)神.防入侵系統(tǒng)》的“系統(tǒng)審計”模塊實現(xiàn),審計結(jié)果如下圖二。

找到影子賬戶后,只需要將此賬戶禁用或刪除就可以解決問題了。

安全審計結(jié)果

 (圖二:安全審計結(jié)果)


從上圖可以看出,確定Guest是影子賬戶,并且還提示其他安全風險,幫助運維人員發(fā)現(xiàn)更多的安全隱患。


如何阻止創(chuàng)建超級影子賬戶呢?

最簡單辦法是禁止新建用戶,可以使用《護衛(wèi)神.防入侵系統(tǒng)》的“用戶防護”模塊來實現(xiàn),如下圖三。

 禁止新建用戶

(圖三:禁止新建用戶)



當創(chuàng)建新用戶時,防入侵系統(tǒng)會立即攔截,并發(fā)送消息通知(如下圖四)。

 攔截新建用戶消息通知

(圖四:攔截新建用戶消息通知)


對于已經(jīng)存在的賬戶提權(quán)為超級影子賬戶,也可以使用《護衛(wèi)神.防入侵系統(tǒng)》解決,在“安全巡檢”模塊,可以定時自動檢查服務器安全威脅,其中就包括影子賬戶(如下圖五)。

 系統(tǒng)安全巡檢

(圖五:系統(tǒng)安全巡檢)


當有賬戶提權(quán)為影子賬戶時,會立即發(fā)送消息通知給管理員(如下圖六),支持短信、微信和郵件三種方式。此時只需要登錄服務器刪除或禁用該賬戶就可以了。

 系統(tǒng)安全巡檢通知

(圖六:系統(tǒng)安全巡檢通知)