1 查看账户信息
1.1 问题
本案例要求在 Windows 系统中查看用户信息,相关说明如下。
1)以管理员登录,进入命令提示环境查看用户
2)打开注册表查看用户
1.2 步骤
实现此案例需要按照如下步骤进行。
步骤一:以管理员登录,运行 “命令提示环境”,查看用户信息
以 administrator 登录电脑,运行 —>“cmd”—>“打开命令提示环境”,输入 net user 命令查看系统用户信息,如图 - 1 所示。
图 - 1
步骤二:打开注册表查看用户信息
1)运行 “regedit” 打开注册表,如图 - 2 所示。
图 - 2
2)依次展开 “HKEY_LOCAL_MACHINE\SAM\SAM” 右击 SAM 选择权限,添加 Administrator 用户勾选完全控制权限,如图 - 3 所示。
图 - 3
3)查看 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 下的键值为用户名,如图 - 4 所示。
图 - 4
4)用户名键值下的值,对应的 Users 下的键,如图 - 5 所示。
图 - 5
5)Users 下的 F 键值,为权限设置信息,如图 - 6 所示。
图 - 6
2 命令创建账户
2.1 问题
本案例要求在 Windows 系统中用命令创建账户,相关说明如下。
1)添加正常用户 abc,密码配置为 Taren1
2)添加隐藏账户 hdd,密码配置为 Taren1
2.2 步骤
实现此案例需要按照如下步骤进行。
步骤一:以管理员登录,运行 “命令提示环境”,创建正常账户
以 administrator 登录电脑,运行 —>“cmd”—>“打开命令提示环境”,输入 net user abc Taren1 /add 创建用户,net user 命令查看系统用户信息,如图 - 7 所示。
图 - 7
步骤二:以管理员登录,运行 “命令提示环境”,创建隐藏账户
以 administrator 登录电脑,运行 —>“cmd”—>“打开命令提示环境”,输入 net user hdd$ Taren1 /add 创建用户,net user 命令查看不到 hdd$ 账户,如图 - 8 所示。
图 - 8
3 创建影子账户
3.1 问题
本案例要求在 Windows 系统中创建影子账户,相关说明如下。
1)配置 hdd$ 账户拥有 Adiministrator 账户权限
2)将 hdd$ 键值及 hdd$ 对应的 Users 下的键值导出到桌面
3)删除 hdd$ 账户,再将导出的注册表信息重新导入注册表。
4)查看已删除帐户
3.2 步骤
实现此案例需要按照如下步骤进行。
步骤一:配置 hdd$ 账户拥有 Adiministrator 账户权限
1)以管理员登录,打开 “注册表”,双击 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 下的 F 值,如图 - 9 所示。
图 - 9
2)选中 F 值数据,右击选择复制,如图 - 10 所示。
图 - 10
3)点击 Names 下的 hdd$ 查看对应的 Users 下的值为 0x3eb, 如图 - 11 所示。
图 - 11
4)双击 000003EB 下的 F 值,如图 - 12 所示。
图 - 12
5)选中 F 值的数据右击粘贴,如图 - 13 所示
图 - 13
步骤二:将 hdd$ 键值及 hdd$ 对应的 Users 下的键值导出到桌面
1)右击 000003EB 选择导出,导出到桌面并命名为 “hdd 权限”,如图 - 14 所示。
图 - 14
2)右击 hdd$ 选择导出,导出到桌面并命名为 “hdd 帐户名”,如图 - 15 所示。
图 - 15
步骤三:删除 hdd$ 账户,再将导出的注册表信息重新导入注册表
1)打开用户管理窗口删除 hdd$ 账户
2)桌面双击 “hdd 账户名 “导入注册表,根据提示点击是,如图 - 16 所示。
图 - 16
3)桌面双击 “hdd 权限” 导入注册表,根据提示点击是,如图 - 17 所示。
图 - 17
步骤四:查看已删除账户
1)打开用户管理窗口查看已无 hdd$ 账户,如图 - 18 所示
图 - 18
2)net user 命令查看已无 hdd$ 账户,如图 - 19 所示
图 - 19
3)打开注册表可查看到 hdd$ 账户,如图 - 20 所示
图 - 20
4 关闭默认共享
4.1 问题
本案例要求在 Windows 系统中关闭默认共享,提高系统安全,相关说明如下。
1)在注册表编辑器,找到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters” 项
2)“AutoShareSks” 项关闭磁盘默认共享
3)“AutoShareServer” 项关闭 Admin 默认共享
4.2 步骤
实现此案例需要按照如下步骤进行。
步骤一:打开注册表找到 parameters” 项,编辑注册表关闭默认共享
1)进入 Windows 命令提示环境,输入 net share 已查看默认共享有 C,如图 - 21 所示。
图 - 21
2)以管理员登录,打开 “注册表”,查找 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters” 项,如图 - 22 所示
图 - 22
3)“parameter”项右侧窗口中查找 “AutoShareWks” 项,如果没有 “AutoShareWks”项,可自己新建一个键值 DWORD(32 位)值 (D),双击“AutoShareSks” 项将键值由 1 改为 0 如图 - 23 所示
图 - 23
4)“parameter”项右侧窗口中查找 “AutoShareServer” 项,如果没有 “AutoShareServer”项,可自己新建一个键值 DWORD(32 位)值 (D),双击“AutoShareServer” 项将键值由 1 改为 0 如图 - 24 所示
图 - 24
5)重启系统运行命令提示环境,输入 net share 已查看不到磁盘与 Admin 共享,如图 - 25 所示。
图 - 25
5 系统服务加固
5.1 问题
本例要求为 Windows 系统服务加固,禁用以下服务:
1)IP Helper、Base Filtering Engine、Print Spooler
2)Security Center、Server、SSDP Discovery
3)TCP/IP NetBIOS Helper
4)Windows Defender Service
5.2 步骤
实现此案例需要按照如下步骤进行。
步骤一:打开服务管理器
1)右击 “此电脑”—>“管理”—>“服务”,或者,运行 services.msc 都可以打开服务控制台,如图 - 26 所示。
图 - 26
2)双击需要关闭的系统服务(比如 IP Helper),将启动类型设为 “禁用”,如图 - 27 所示。如果需要立即禁用此服务,可以单击“停止” 按钮,其他需要停止的有务参照此方法完成。
图 - 27
6 可移动磁盘拒绝执行权
6.1 问题
移动存储设备是病毒木马传播的主要途径之一,由于移动存储设备的便捷性,也给非法用户窃取计算机中的重要资料提供了很大的方便,电脑存放有重要资料,有必要对移动存储设备的使用加以限制。本案例要求在本地组策略编辑器中,禁用移动存储设备执行权限,相关说明如下。
1)打开组策略编辑器
2)配置可移动磁盘拒绝执行权
6.2 步骤
实现此案例需要按照如下步骤进行。
步骤一:配置可移动磁盘拒绝执行权
1)运行 “gpedit.msc”,将会打开“本地组策略编辑器” 窗口,如图 - 28 所示。
图 - 28
2)在 “本地组策略编辑器” 窗口,依次展开 “计算机配置 —> 管理模板 —>系统 —>可移动存储访问”,如图 - 29 所示。
图 - 29
3)双击窗口右侧 “可移动磁盘:拒绝执行权限”,在弹出的窗口中选中 “已启用”,如图 - 30 所示。
图 - 30
https://tts.tmooc.cn/ttsPage/NTD/NTDTN202109/WINSEC/DAY02/CASE/01/index.html
若有收获,就点个赞吧
0 人点赞
