账户安全

1. 账户安全

1. 系统命令排查用户情况

• query user：查看当前登录账户
• logoff ID：注销用户ID
• net user：查看用户
• net user username：查看某个用户的登录情况
• Iusrmgr.msc：打开本地的用户组

一般用于服务器端，本机客户端有些命令不存在

2. 注册表查看隐藏账号

打开注册表，在“计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”这个目录下可以查看所有的用户，排查隐藏用户。

到某一步文件无法打开的时候，可以尝试给与查看的权限。

3. 利用Log Paeser查看日志

可以在事件管理器中导出所有的用户登录信息

登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where EventID=4624"

指定登录时间范围的事件：
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

提取登录成功的用户名和IP：
LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:Security.evtx where EventID=4624"

4. webshell的查杀