news 2026/7/9 2:51:51

从零开始学网络安全第三天

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
从零开始学网络安全第三天

Windows 用户、组管理与账户安全完整教程

一、学习目标

  1. 理解用户账户核心概念,熟练掌握用户账户创建、日常运维全流程操作;
  2. 理解用户组的设计作用,能够独立完成自定义组创建、成员增减管理;
  3. 结合网络安全与等保规范,从企业落地角度分析用户、权限、隐藏账户相关安全风险与防护手段。

二、Windows 用户账户基础管理

(一)核心基础概念

  1. 用户账户由用户名、登录密码、唯一安全标识符 SID 组成,不同账户对应差异化系统资源访问权限,依靠 SID 区分身份实现精细化权限管控。
  2. SID 关键特性:账户删除后新建同名用户会生成全新 SID,新旧账户权限、加密文件、证书完全不互通。
  3. 等保 2.0 三权分立规范(企业账户设计标准)
    • 系统管理员:负责新建、删除、修改用户与用户组;
    • 安全管理员:统一分配资源权限、划分角色权限;
    • 审计管理员:查看系统日志、审计登录与操作行为,保障合规。

(二)系统内置账户分类

1. 人工登录使用账户(普通运维 / 员工账户)
  • Administrator:本地最高权限管理员,拥有服务器无限制操作权限;生产环境建议重命名、限制本地 / 远程登录,降低爆破风险。
  • Guest:来宾低权限账户,默认闲置,企业环境必须禁用,防止匿名入侵。
2. 系统后台服务专用账户(无手动登录界面,系统进程自动调用)
  • SYSTEM(本地系统):系统最高权限服务账户,支撑底层核心进程运行;
  • LOCAL SERVICE(本地服务):最小权限账户,仅可访问本机本地资源,用于普通后台服务;
  • NETWORK SERVICE(网络服务):具备基础网络访问权限,DNS Client、DHCP Client 等联网服务默认使用该账户。

(三)用户账户常规运维操作(服务器管理器 / 本地用户和组)

  1. 创建用户时四大密码配置选项
    • 用户下次登录时须更改密码;
    • 用户不能更改密码;
    • 密码永不过期;
    • 账户已禁用。
  2. 日常管理操作:新建用户、重置密码、重命名账户、启用 / 禁用账户、删除闲置账户。
  3. 重要风险提示:重置账户密码会导致该用户加密文件、保存网页凭证、个人安全证书全部失效丢失,操作前必须提前备份相关数据。
  4. 权限管控配套工具:本地安全策略,通过「用户权限分配」「安全选项」管控账户登录、系统操作权限。

(四)命令行快速管理用户:net user

1. 基础语法

plaintext

net user [用户名] [密码] /add
2. 高频实操命令
  1. 创建新用户:net user john 123 /add
  2. 将用户加入管理员组:net localgroup administrators john /add
  3. 删除用户:net user john /delete
  4. 修改用户密码:net user john newpassword
  5. 查看用户详细信息:net user john
  6. 启用 / 禁用账户:net user john /active:yes/net user john /active:no
3. 常用参数说明
  • /domain:针对域控制器执行账户操作;
  • /passwordchg:{yes|no}:控制用户是否允许自行修改密码;
  • /passwordreq:{yes|no}:规定账户是否必须设置密码。
4. 使用限制

用户名最长 20 字符,密码最长 127 字符;参数间必须用空格分隔,带空格的名称需要用英文双引号包裹。

三、Windows 组账户管理

(一)组核心概念

组是批量用户的集合体,权限统一授予组,组内所有成员自动继承对应权限。 标准化管理思路:先按部门 / 项目分组,再对组分配权限,遵循最小权限安全原则,大幅简化人员变动后的权限维护。

(二)系统内置组两大分类

1. 静态内置组(管理员手动增减成员)
  • Administrators:系统超级管理员组,拥有服务器全部操作权限;
  • Users:标准普通用户组,无法修改系统配置、安装软件;新建普通用户默认自动加入该组;
  • Guests:来宾低权限组,对应 Guest 账户;
  • Power Users:兼容老旧系统,权限介于管理员与普通用户之间;
  • Backup Operators:可绕过安全权限,备份、还原服务器文件;
  • Remote Desktop Users:允许账户远程桌面登录服务器;
  • Print Operators:负责本地打印机管理维护。
2. 动态内置组(系统自动匹配成员,无法手动修改)
  • Authenticated Users:所有成功完成身份验证的合法用户,不包含 Guest 来宾;
  • Interactive:当前正在本机本地登录的所有用户;
  • Everyone:包含本机全部账户、来宾、匿名访问用户,开放权限风险极高,企业共享尽量替换为 Authenticated Users。

(三)组基础运维操作

新建自定义业务组、修改组描述、添加 / 移除组成员、重命名组、清理废弃无用组;支持批量将多名用户加入同一组,统一分配资源访问权限。

四、企业落地实操案例:Windows Server 2022 文件服务器权限规划

场景需求

企业多部门员工共用文件服务器,不同岗位、项目人员需要差异化文件夹访问权限。

实施步骤

  1. 前期规划:按部门(HR、技术、销售)、项目(汽车项目、保险项目)划分人员权限层级;
  2. 批量创建每位员工独立用户账户;
  3. 根据部门、项目创建自定义用户组(如 HR 组、技术工程师组、汽车销售组);
  4. 将对应员工添加至所属业务组;
  5. 针对共享文件夹直接给组分配访问权限,不单独给单个用户授权,员工离职、调岗仅需调整组成员即可。

五、高级安全知识点:Windows 隐藏账户(黑客持久化后门技术)

(一)隐藏账户定义与风险场景

隐藏账户是创建后常规可视化工具无法直接查看的管理员账号,主要两类用途:

  1. 普通用户隐藏私人登录账号;
  2. 黑客入侵后创建后门隐藏管理员账号,实现长期无感知远程持久化控制。

(二)基础隐藏账户创建(CMD 命令)

  1. 以管理员身份打开 CMD,执行命令创建带$符号隐藏账户:net user admin$ 11qq``` /add
  2. 特性:直接输入net user无法列出该账号,但执行net user admin$可查询账户信息;
  3. 赋予管理员权限:net localgroup administrators admin$ /add

缺陷:仅命令行隐藏,「本地用户和组」图形界面仍能看到账号,需修改注册表完成彻底隐藏。

(三)注册表克隆影子管理员账号(完全隐藏后门)

  1. 注册表权限配置 打开regedt32.exe,定位路径:HKEY_LOCAL_MACHINE\SAM\SAM右键权限,给 Administrators 账户勾选「完全控制」,保存后重启注册表。
  2. 导出账户注册表配置 进入路径:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names分别导出隐藏账户 admin$、默认管理员 Administrator 对应的注册表项;
  3. 权限克隆 打开 Administrator 注册表文件,复制「F」字段完整内容,替换隐藏账户注册表内「F」字段;
  4. 导入隐藏后门 CMD 删除临时账户net user admin$ /del,双击修改后的注册表文件完成导入; 恢复 SAM 注册表默认权限,图形界面、普通命令均无法查到该账号;
  5. 验证:远程登录隐藏账号,whoami显示为管理员身份,query user可看到隐藏账户登录记录。

六、账户后门检测方法(安全运维排查手段)

1. 注册表全量查询(检测所有隐藏账户)

执行命令读取全部注册账户,包含影子后门账号:reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

2. 系统日志审计分析(定位隐藏账户登录行为)

打开事件查看器,通过登录事件 ID 排查异常登录:

  • 事件 ID 4624:账户登录成功记录;
  • 事件 ID 4625:账户登录失败记录; 即使攻击者手动删除登录日志,系统仍会记录执行删除操作的账户,以此暴露隐藏后门账号。

七、整体安全管理规范(企业防护核心要点)

  1. 账户基础安全 禁用默认 Guest 来宾账户;修改默认 Administrator 管理员名称;全体账户配置强密码并定期轮换;员工离职立即禁用或删除对应账户。
  2. 权限最小化原则 普通员工禁止加入 Administrators 等高权限内置组;统一通过组分配资源权限,减少单独用户授权。
  3. 动态组权限管控 谨慎使用 Everyone 组开放共享权限,避免内网数据泄露,优先使用 Authenticated Users。
  4. 系统服务账户管控 SYSTEM、NETWORK SERVICE 等高权限服务账户禁止用于员工日常登录。
  5. 后门账户防护 定期通过注册表、系统登录日志巡检隐藏影子账户;限制普通用户管理员 CMD、注册表操作权限,防止黑客创建持久化后门。
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/9 2:50:58

零基础转行网络安全,3个月拿到15K offer的真实路径

🔥 不拼学历不拼背景,靠技术吃饭的时代来了你是不是也有这样的焦虑?工作三年五年,薪资还在原地踏步,看不到上升空间每天重复性劳动,随时可能被AI取代,心里发慌想转行但不知道学什么,…

作者头像 李华
网站建设 2026/7/9 2:50:35

MPW与Full Mask流片决策:3大成本模型与5个量产风险评估要点

MPW与Full Mask流片决策:成本模型与量产风险评估实战指南 引言 在芯片设计行业,从工程验证到量产的过程如同攀登一座技术高峰,而选择合适的流片模式则是决定登顶成败的关键装备。MPW(多项目晶圆)和Full Mask&#xff…

作者头像 李华
网站建设 2026/7/9 2:46:55

软件License防破解实战:5种常见攻击手段与Java代码混淆方案对比

软件License安全防护体系构建:从攻击防御到代码混淆的实战指南 1. 商业软件License安全现状与核心挑战 在数字化商业环境中,软件License作为知识产权保护的最后防线,其安全性直接关系到企业的核心利益。根据行业调研数据显示,超过…

作者头像 李华
网站建设 2026/7/9 2:45:55

F12 Overrides/Sources 页面应用:5分钟实现JS文件本地替换与调试

F12开发者工具高阶应用:5分钟掌握JS文件本地替换与断点调试实战 当你在调试一个复杂的网页应用时,是否遇到过这样的困境:页面加载的JavaScript文件经过混淆压缩,难以阅读;或者你想临时修改某个函数的行为,却…

作者头像 李华
网站建设 2026/7/9 2:45:03

Linux动态壁纸革命:告别静态桌面,拥抱沉浸式视觉体验

Linux动态壁纸革命:告别静态桌面,拥抱沉浸式视觉体验 【免费下载链接】linux-wallpaperengine Wallpaper Engine backgrounds for Linux! 项目地址: https://gitcode.com/gh_mirrors/li/linux-wallpaperengine 厌倦了Linux桌面上千篇一律的静态壁…

作者头像 李华