1.1检查系统账号安全
1.检查服务器是否存在可以账号、新增账号:
打开cmd,输入lusrmgr.msc
如果有立即禁用或删除掉
2.检查服务器是否存在隐藏账号、克隆账号:
- 检查方法:
a、打开注册表 ,查看管理员对应键值。
b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。
3. 结合日志,查看管理员登录时间、用户名是否存在异常:
win+r输入eventvwr.msc,回车打开事件查看器
1.2检查异常端口、进程
1.检查端口连接情况,是否有远程连接、可疑连接。
打开cmd输入命令:netstat -ano