0%

账户安全

1. 账户安全

1. 系统命令排查用户情况

  • query user:查看当前登录账户
  • logoff ID:注销用户ID
  • net user:查看用户
  • net user username:查看某个用户的登录情况
  • Iusrmgr.msc:打开本地的用户组

一般用于服务器端,本机客户端有些命令不存在

2. 注册表查看隐藏账号

打开注册表,在“计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”这个目录下可以查看所有的用户,排查隐藏用户。

到某一步文件无法打开的时候,可以尝试给与查看的权限。

3. 利用Log Paeser查看日志

可以在事件管理器中导出所有的用户登录信息

1
2
3
4
5
6
7
8
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:Security.evtx where EventID=4624"

指定登录时间范围的事件:
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

提取登录成功的用户名和IP:
LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:Security.evtx where EventID=4624"

4. webshell的查杀

--------------本文结束感谢您的阅读--------------