影子账户,顾名思义就是隐藏的账户,在“控制面板-用户账户”里面看不见,但却有管理员权限的账户。
那什么是超级影子账户呢?
简单说就是影子账户的升级版,在“控制面板-用户账户”可以看见,在注册表也可以看见,用户组属于Guests组,看起来此账户和普通账户完全没区别,但却拥有管理员权限。
普通影子账户,虽然在在“控制面板”里面看不见,但在注册表(HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names)可以肉眼看见,排查起来比较简单。
但超级影子账户,仅凭肉眼是无法发现的,必须在注册表逐个账户分析F值后才能发现,如果系统账户多达上百个,那几乎没法人工判断了。
如下图一,guest账户属于Guests组,看起来没有任何问题,其实它是一个超级影子账户。
(图一:guest账户)
如何排查超级影子账户呢?
用肉眼非常难以排查,需要借助第三方工具实现。我们可以使用《护卫神.防入侵系统》的“系统审计”模块实现,审计结果如下图二。
找到影子账户后,只需要将此账户禁用或删除就可以解决问题了。
(图二:安全审计结果)
从上图可以看出,确定Guest是影子账户,并且还提示其他安全风险,帮助运维人员发现更多的安全隐患。
如何阻止创建超级影子账户呢?
最简单办法是禁止新建用户,可以使用《护卫神.防入侵系统》的“用户防护”模块来实现,如下图三。
(图三:禁止新建用户)
当创建新用户时,防入侵系统会立即拦截,并发送消息通知(如下图四)。
(图四:拦截新建用户消息通知)
对于已经存在的账户提权为超级影子账户,也可以使用《护卫神.防入侵系统》解决,在“安全巡检”模块,可以定时自动检查服务器安全威胁,其中就包括影子账户(如下图五)。
(图五:系统安全巡检)
当有账户提权为影子账户时,会立即发送消息通知给管理员(如下图六),支持短信、微信和邮件三种方式。此时只需要登录服务器删除或禁用该账户就可以了。
(图六:系统安全巡检通知)
