Domanda forense Utente invisibile [chiuso]

0

Sono riuscito a creare un utente invisibile in Windows 7 e 8.1.

L'utente non è visibile nella schermata di accesso, l'ho aggiunto al gruppo di account SYSTEM e al gruppo Utenti desktop remoto, L'amministratore può conoscere questo utente tramite l'opzione Computer management > Users and Groups e utilizzando Net User Command nella shell, Questo l'utente non può ottenere i privilegi di SISTEMA anche se ci sto provando.

Ma la domanda è quando I RDP in qualche host, L'utente locale non sa che è in esecuzione su RDP.

Come farà l'amministratore a sapere quando questo utente invisibile svolge attività dannose come eliminare un file, ecc. perché è invisibile nel registro eventi?

Puoi anche usare PsExec usando -u e -p opzione per il nome utente "sys" e la password "007" per accedere all'utente invisibile attraverso la shell dei comandi tramite l'altro tuo account, e puoi usare RDP usando l'utente invisibile che è esso. Perché esistono?

Per favore cancella questa domanda se ho torto e non ne so abbastanza, voglio sapere da esperti come te.

    
posta raven 27.10.2014 - 13:10
fonte

1 risposta

2

Ti sbagli. Si presenta ancora nei registri eventi e il computer sa se si tratta di una sessione RDP. Puoi vedere che c'è una connessione RDP attiva se hai gli strumenti giusti. Quello di cui stai parlando non è un "utente invisibile", è un utente di servizio, ed è una funzionalità progettata intenzionalmente di Windows, non un buco di sicurezza. Non hai abbastanza familiarità su come lavorare con loro e dove sono registrati. Gli utenti del servizio rendono Windows più sicuro perché consentono di configurare i processi automatizzati con le autorizzazioni minime di cui hanno bisogno senza compromettere le credenziali dell'account e l'accesso dell'account utente. Consentono inoltre che i servizi siano configurati per essere eseguiti per conto di un utente senza dover fornire all'utente livelli più profondi di accesso al sistema.

Inoltre, se un utente può accedere al tuo computer abbastanza bene da stabilire un utente del genere, non c'è motivo per cui sia necessario creare un utente. Il caricamento di un rootkit o di un trojan di accesso remoto consentirebbe il controllo del computer dell'utente senza lasciare indietro un account utente. Alcune attività potrebbero comunque finire nei log degli eventi per un semplice trojan di accesso remoto, ma un kit root decente potrebbe persino sovvertire la registrazione del sistema.

Lo scenario di attacco che descrivi non è uno scenario di attacco particolarmente praticabile e non è un difetto di sicurezza, ma piuttosto una funzionalità progettata di Windows, implementata per migliorare la sicurezza.

    
risposta data 27.10.2014 - 14:36
fonte

Leggi altre domande sui tag