红队之windows用户和组

用户帐户

用户帐户是对计算机用户身份的标识，本地用户帐户、密码存在本地计算机上，只对本机有效，存储在本地安全帐户数据库 SAM 中，文件路径：C:\Windows\System32\config\SAM ，对应的进程：lsass.exe 。通过本地用户和组，可以为用户和组分配权利和权限，从而限制用户和组执行某些操作的能力。 不同的用户身份拥有不同的权限 每个用户包含一个名称和一个密码 用户帐户拥有唯一的安全标识符(Security Identifier，SID)

当我们去进程管理里面杀死 lsass.exe 进程时，windows会提示遇到错误，然后关机。

查看用户的SID

whoami  /user     查看系统当前用户的SID
wmic  useraccount  get  name,sid      查看所有用户的SID

Windows 默认账户

用于特殊用途，一般不需更修改其权限 与使用者关联的用户帐户 Administrator（管理员用户） 默认的管理员用户 Guest（来宾用户） 默认是禁用的

Windows 内置用户账户 权限：System > Administrator > User > Guest

与windows组件关联的用户账户

System (本地系统)：为windows的核心组件访问文件等资源提供权限 Local Service (本地服务)：预设的拥有最小权限的本地账户 Network Service (网络服务)：具有运行网络服务权限的计算机账户

查看、创建和删除账户 使用命令查看、创建和删除账户

net  user　　   查看系统账户
net  user   kevin1      123   /add        创建新用户kevin1，密码设置为 123
net  user   hack$  123  /add        创建隐藏用户hack，密码为123
net  user  kevin1         查看账户kevin1 的属性
net  user  kevin1   x456.    将用户写的密码修改为x456.
net  user  kevin1   /del    删除用户xie
net  localgroup   administrators  kevin1     /add      将普通用户xie提权到管理员
net  localgroup   administrators  hack$  /add   将隐藏用户hack提权到管理员

当有杀软是会阻止

绕过360添加用户可以用这个师傅的脚本

https://github.com/lengjibo/RedTeamTools/tree/master/windows/bypass360%E5%8A%A0%E7%94%A8%E6%88%B7

组账户

组是一些用户的集合 组内的用户自动具备为组所设置的权限

内置组账户 需要人为添加成员的内置组

Administrators Guests Power Users Users（标准用户） Remote Desktop Users

administators 组

Administrators是管理员组，默认情况下Administrator中的用户对计算机 / 域有不受限制的完全访问权。 管理文件：Windows系统中，系统磁盘中的文件只能由Administrators组的账户进行更改 更改系统安全设置：安装新的功能、更改计算机网络设置、对服务器选项进行设置，这些操作都需要Administraotors组中的用户进行操作。如果用户的权限不够，选择管理员用户进行操作

Administrator账户的特点：

Administrator账户时计算机管理员组的成员 默认情况下，Adminiistrator账户处于禁用状态 当它处于请用状态时，Administrator账户具有对计算机的完全控制权限，并根据需要向用户分配权力和访问控制权限，该账户必须仅用于需要管理凭据任务 强烈建议Administrator设置为强密码 永远不可以从管理员组删除Adminsitrator账户，但是可以重命名或禁用该账户

Guests 组

是提供给没有用户帐户但是需要访问本地计算机内资源的用户使用，该组的成员无法永久地改变其桌面的工作环境。该组最常见的默认成员为用户帐号Guest。

Guest用户：

Guest是客人访问电脑系统的账户，也可以称之为来宾账户 通常这个账户没有修改系统设置和进行安装程序的权限，也没有创建修改任何文档的权限，只能读取计算机系统信息和文件 在windows系统中，Guest账户被任务是不安全的权限账户。默认情况下禁用Guest用户。而且此账户默认为Guests组成员，改组允许用户登陆计算机，其他权力及任何权限都必须由管理员组中的用户成员给与Guests组 Power Users 组 组内的用户具备比Users组更多的权利，但是比Administrators组拥有的权利更少一些，例如，可以：创建、删除、更改本地用户帐户；创建、删除、管理本地计算机内的共享文件夹与共享打印机；自定义系统设置，例如更改计算机时间、关闭计算机等。但是不可以更改Administrators，无法夺取文件的所有权、无法备份与还原文件、无法安装删除与删除设备驱动程序、无法管理安全与审核日志。 Users 组 Users组账户权限低于Adiministraotrs组的账户，但高于Guests组账户。 Users组用户可以进入“网络和共享中心”，并查看网络连接状态，但无法修改连接属性。当然Users组用户也无法关闭防火墙和更改防火墙策略 Users组账户无法安装软件，也无法对该用户文件夹以为的C盘进行修改 Remote Desktop Users 组 组内的成员拥有远程桌面登录的权限。默认Administrators组内的成员都拥有远程桌面的权限 Remote Desktop Users组的作用就是保障远程桌面服务的安全运行，一旦赋予Administrator组远程桌面的权限，就像是为入侵者省略了提权的步骤。相对于改变用户组权限，将需要连接远程桌面的用户分到Remote Desktop Users组中是一中更加安全的方式 动态包含成员的内置组 其成员由Windows程序“自动添加” ，Windows会根据用户的状态来决定用户所属的组 ，组内的成员也随之动态变化，无法修改 Interactive：动态包含在本地登录的用户 Authenticated Users：任何一个利用有效的用户帐户连接的用户都属于这个组。建议在设置权限时，尽量针对Authenticated Users组进行设置，而不要针对Everone进行设置。 Everyone ：任何一个用户都属于这个组。注意，如果Guest帐号被启用时，则给Everone这个组指派权限时必须小心，因为当一个没有帐户的用户连接计算机时，他被允许自动利用Guest帐户连接，但是因为Guest也是属于Everone组，所以他将具备Everyone所拥有的权限。 组的查看、创建和删除 使用命令查看、创建和删除组 net localgroup 查看系统的组 net localgroup marketGroup /add 新建一个marketGroup的组 net localgroup marketGroup kevin /add 将用户kevin加入marketGroup组中 net localgroup markGroup 查看markGroup组内的成员 net localgroup marketGroup kevin /del 将用户kevin从marketGroup组中移除 net localgroup marketGroup /del 删除marketGroup组 net localgroup "remote desktop users" hack /add 将用户hack加入远程桌面组 net localgroup "remote desktop users" hack /del 将用户hack从远程桌面组删除 Windows中的访问控制 访问控制列表(Access Control List)：访问权限决定着某个用户可以访问的文件和目录 对于每一个文件和文件夹，由安全描述符(SD)规定了安全数据 安全描述符决定安全设置是否对当前目录有效，或者它可以被传递给其他文件和目录

当一个用户试图访问一个文件或者文件夹的时候，NTFS 文件系统会检查用户使用的帐户或者账户所属的组是否在此文件或文件夹的访问控制列表（ACL）中。如果存在，则进一步检查访问控制项 ACE，然后根据控制项中的权限来判断用户最终的权限。

ACE访问控制项目 访问控制项ACE，是指访问控制实体，用于指定特定用户/组的访问权限，是权限控制的最小单位。

文件夹的NTFS权限 文件夹内的文件或文件夹会默认继承上一级目录的权限

完全控制：对文件或者文件夹可执行所有操作 修改：可以修改、删除文件或文件夹 读取和执行：可以读取内容，并且可以执行应用程序 列出文件夹目录：可以列出文件夹内容，此权限只针对文件夹存在，文件无此权限 读取：可以读取文件或者文件夹的内容 写入：可以创建文件或者文件夹 特别的权限：其他不常用的权限，比如删除权限的权限 文件的NTFS权限 完全控制：对文件或者文件夹可执行所有操作 修改：可以修改、删除文件或文件夹 读取和执行：可以读取内容，并且可以执行应用程序 读取：可以读取文件的内容 写入：可以修改文件的内容 特殊权限：其他不常用的权限，比如删除权限的权限 安全标识符SID SID也就是安全标识符（Security Identifiers），是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户，再删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有授权给前一个帐户的权力或权限，原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。 SID的作用 用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给 Windows NT，然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，Windows NT将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。 查看当前用户的SID： whoami /user

SAM账户的匿名枚举

windows默认安装允许任何空用户得到系统所有账号和共享列表。这本来是为了方便局域网用户共享资源和文件的，但是任何一个远程用户通过同样的方法都能得到账户列表，只用暴力破解账号密码之后，对机器进行操作，被称为账户暴力枚举。我们通常称之为空密码或者是弱密码

我们可以通过管理工具 --> 本地安全策略 --> 安全设置 --> 安全选项中找的不允许SAM账户和共享匿名枚举

账号安全 重命名管理员账号，防止通过默认账号来枚举爆破管理员账号密码 增强windows口令的复杂性 用户账户控制（UAC） 用户帐户控制（User Account Control，简写作UAC)是微软公司在其Windows Vista及更高版本操作系统中采用的一种控制机制。其原理是通知用户是否对应用程序使用硬盘驱动器和系统文件授权，以达到帮助阻止恶意程序（有时也称为“恶意软件”）损坏系统的效果。 它要求用户在执行可能影响计算机运行的操作或执行更改影响其他用户的设置的操作之前，提供一个确认的对话框窗口，使用户可以在执行之前对其进行验证，UAC可以帮助防止恶意软件和间谍软件在未经许可的情况下在计算机上进行安装或对计算机进行更改。