Windows应急响应-排查方式

什么是应急响应

网络安全应急响应（Network Security Incident Response，又称CSIRT）是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。

常见的应急响应事件分类：
常见的应急响应事件可分为四类，如下

• WEB入侵类：网页挂马、主页篡改、Webshell
• 病毒感染类：病毒、挖矿木马、蠕虫、勒索病毒
• 系统入侵类：漏洞利用、弱口令、远控后门
• 网络攻击类：DDOS 攻击、DNS 劫持、ARP 欺骗

Windows应急响应排查流程

一、账户排查

• 检查弱口令
• 检查可疑账户、新增账户
• 检查隐藏账户、克隆账户

排查方法

（1）查看用户信息

net user
net localgroup（如果隐藏账户没有修改注册表的话可以直接查看到）

对修改了注册表的隐蔽账户排查，操作如下：

 win+r 敲入以下命令
 regedt32.exe
 打开注册表编辑器
 找到——HHKEY_LOACAL_MACHINE——SAM右键打开权限，将用户权限设置为完全控制

删除隐蔽账户

win+r 敲入以下命令
regedit 命令进入注册表
在 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 下面找到用户，删除即可

PS：
如果存在隐藏账户，没权限删除，可以直接net user 用户名 密码 把这个隐藏账户密码改了，这样他人也登不上去了

（2）lusrmgr.msc手动查（比较麻烦）

win+r 敲入命令
lusrmgr.msc 打开本地用户和组管理界面

（3）检测克隆账户 —可使用安全工具D盾进行检测，同时可以直接查看端口情况

以管理员身份运行D盾工具
工具下载地址：
D盾下载官网

查看克隆账户

查看端口连接