Windows隱藏用戶小技巧

0x01 前言

       本文目的在於對於Windows賬戶訪問與控制的技術理論進行分析與總結，熟悉了解Windows賬戶的特性及相關操作，並依此進行Windows賬戶的相關實驗，進行實驗記錄與總結。通過本文記錄自己了解Windows賬戶訪問與控制的相關知識點，並且便於重現實驗環境及過程，深刻掌握其相關操作。

0x02 相關基礎知識點

用戶賬戶控制

       用戶賬戶控制 (User Account Control) 是Windows Vista（及微軟更高版本操作系統）中一組新的基礎結構技術，可以幫助阻止惡意程序（有時也稱為“惡意軟件”）損壞系統，同時也可以幫助組織部署更易於管理的平台。

       使用 UAC，應用程序和任務總是在非管理員賬戶的安全上下文中運行，但管理員專門給系統授予管理員級別的訪問權限時除外。UAC 會阻止未經授權應用程序的自動安裝，防止無意中對系統設置進行更改。

       賬戶分為管理員賬戶和一般賬戶，管理員賬戶能夠看見所有東西，並且擁有所有權限，簡單地說就是可以對計算機做任何修改。而一般賬戶只能用於瀏覽，不能對計算機做出任何修改，並且硬盤的有些文件是不允許瀏覽的，例如系統文件還有管理員設定的一些隱私文件。二者的作用，管理員是用來設定和修改計算機的相關操作，一般賬戶就是用做一般瀏覽，不能做出修改。

用戶訪問權限

       訪問權限是根據在各種預定義的組中用戶的身份標識及其成員身份來限制訪問某些信息項或某些控制的機制。訪問控制通常由系統管理員用來控制用戶訪問網絡資源（如服務器、目錄和文件）的訪問，並且通常通過向用戶和組授予訪問特定對象的權限來實現。

       權限是針對資源而言的。也就是說，設置權限只能是以資源為對象，即“設置某個用戶可以對哪些資源擁有權限”，而不能是以用戶為主，及“設置某個用戶可以對哪些資源擁有權限”。

訪問控制策略

       訪問控制策略是網絡安全防范和保護的主要策略，其任務是保證網絡資源不被非法使用和非法訪問。各種網絡安全策略必須相互配合才能真正起到保護作用，而訪問控制是保證網絡安全最重要的核心策略之一。訪問控制策略包括入網訪問控制策略、操作權限控制策略、目錄安全控制策略、屬性安全控制策略、網絡服務器安全控制策略、網絡監測、鎖定控制策略和防火牆控制策略等7個方面的內容。

0x03 實驗設計

實驗目的

在Windows 7系統下，進行添加賬戶、修改賬戶所屬用戶組、修改賬戶權限等操作，體會賬戶的功能及用戶組的作用，並感受賬戶權限作用的對象。

對賬戶進行隱藏操作，並且從各個角度觀察是否能檢查到隱藏用戶，能查看到則進行改進，達到更深層次的隱藏，若不能查看到，則研究防止該隱藏用戶登錄的措施。

實驗環境

Windows 7系統虛擬機

360安全衛士

遠程桌面協議

控制面板

命令提示符

計算機管理-事件查看器

0x04 實驗實現

1.1 添加賬戶

（1） 查看計算機上現有賬戶

（2） 添加一個普通賬戶

添加賬戶后，可以查看到360的安全提示

 

此處為了實驗進行，允許此次操作。

再次查看計算機上賬戶，用戶已經添加。

之后，再創建一個以aaa$為名的賬戶，與已有aaa賬戶進行對比，同樣360會彈出安全提示。

將aaa$賬戶加入管理員組，在360提示中允許操作。

再次查看計算機賬戶，發現並沒有aaa$賬戶，此時已到達對賬戶的初步隱藏。

打開控制面板中[用戶賬戶和家庭安全]，仍可以查看到aaa$賬戶。

此時與命令提示符中查看到的用戶對比，即可知道隱藏賬戶。

 

1.2 隱藏賬戶

若要在控制面板中隱藏aaa$賬戶，則需在注冊表中進行操作。

打開注冊表后，在圖中路徑下，可查看到計算機賬戶的注冊項，可以看到aaa$也在其中。

 

在一個賬戶的項下面可以看到相關鍵值，F表示的是相關權限的參數，V則表示用戶的一些基本進行的參數。如查看cz用戶的V鍵值，通過十六進制的計算可以在相應的地址下面找到賬戶的名稱。 

 

若要在控制面板中隱藏賬戶，則將aaa$的注冊項導出。

同時，導出aaa$賬戶及管理員賬戶的參數相關的注冊項導出。 

 

在保存后，將管理員賬戶參數配置的注冊項中的F鍵值復制，替換掉aaa$參數配置注冊項中的F鍵值，更改其權限，保存。

 

之后在命令提示符中，刪除aaa$用戶。 

在刪除后，注冊表中aaa$賬戶的相關注冊項也被刪除了，於是再將之前保存好了的名稱及參數配置的注冊項導入到注冊表中。 

導入后，即添加了aaa$賬戶，在控制面板中再次查看，發現沒有aaa$賬戶。

 

接下來驗證aaa$賬戶存在。

在命令提示符中，更改aaa$賬戶密碼，若成功則說明賬戶存在。

此處將密碼改為123456，並收到360提示，說明密碼成功修改，即賬戶存在。 

 

然后注銷計算機，查看可見的登錄用戶，發現沒有aaa$賬戶。 

 

通過遠程桌面連接查看隱藏賬戶。

在另一台虛擬機或本機上打開遠程連接（此處使用本機），輸入隱藏賬戶測試機的ip地址及aaa$，連接，輸入密碼123456，確定后發現連接上了Windows 7虛擬機的屏幕，即可確認隱藏賬戶存在。   

 

 

若是自身創建了一個隱藏賬戶，並想用隱藏賬戶登錄計算機，可采取以下步驟。

打開[本地組策略管理]-[Windows設置]-[安全設置]-[本地策略]-[安全選項]，找到“交互式登錄：不顯示最后的用戶名”，勾選“已啟用”。

注銷計算計算機后，可以發現登錄界面變為輸入用戶名和密碼了，此時輸入隱藏賬戶的用戶名和密碼即可登錄隱藏賬戶。

 

1.3  解決隱藏賬戶

在360的系統安全防護中查看隱藏用戶登錄痕跡，可在右下角查看到遠程登錄記錄，點擊后可查看到aaa$用戶登錄信息。 

 

 

如果黑客在計算機內注冊了一個隱藏的賬戶，並關閉了本機對注冊表的修改權限，則可以通過以下辦法來解決隱藏賬戶。

打開計算機的本地組策略管理器-[Windows 設置]-[安全設置]-[本地策略]-[審核策略]，打開[審核策略更改]一項，勾選上“成功”。

打開計算機管理，在[事件查看器]-[Windows日志]-[安全]中，則可看見計算機賬戶的登錄事件。

在清空日志后重新進行遠程登錄，觀察日志信息，查看到aaa$賬戶登錄記錄，由此可知有黑客通過隱藏賬戶訪問了計算機。 

 

 

在[計算機管理]-[本地用戶和組]-[用戶]中，同樣可以查看到aaa$賬戶，但直接刪除是無法刪除的。

 

 

若要讓黑客無法再從隱藏賬戶登錄計算機，可以在命令提示符內修改掉隱藏賬戶的密碼，並將權限調至最低，使黑客無法使用現有的賬戶和口令登錄賬戶，即使登錄也什么都不能做。

 

至此，Windows 7系統下隱藏用戶的小技巧總結完畢。