Usuario invisible de la pregunta forense [cerrado]

Navega tus respuestas
0

Pude crear un usuario invisible en Windows 7 y 8.1.

El usuario no está visible en la pantalla de inicio de sesión, lo agregué al grupo de cuentas SISTEMA y al Grupo de usuarios de escritorio remoto. El administrador puede conocer este usuario mediante la opción Computer management > Users and Groups y usando el comando Net User en el shell, Este el usuario no pudo obtener privilegios de SISTEMA aunque lo esté intentando.

Pero la pregunta es cuando RDP en algún host, el usuario local no sabe que está siendo RDP.

¿Cómo sabrá el Administrador cuándo este usuario invisible realiza alguna actividad maliciosa como eliminar un archivo, etc., ya que es invisible en el registro de eventos?

También puede usar la opción PsExec usando la opción -u y -p para el nombre de usuario "sys" y la contraseña "007" para iniciar sesión en el usuario invisible a través del shell de comandos a través de su otra cuenta, y puede RDP usando un usuario invisible. eso. ¿Por qué existen?

Por favor, elimine esta pregunta si estoy equivocado y no sé lo suficiente, quiero saber de expertos como usted.

    
pregunta raven 27.10.2014 - 13:10
fuente

1 respuesta

2

Estás equivocado. Todavía aparece en los registros de eventos y la computadora sabe si es una sesión RDP. Puede ver que hay una conexión RDP activa si tiene las herramientas correctas también. Lo que está hablando no es un "usuario invisible", es un usuario del servicio y es una característica diseñada intencionalmente de Windows, no un agujero de seguridad. Simplemente no está lo suficientemente familiarizado sobre cómo trabajar con ellos y dónde están registrados. Los usuarios del servicio realmente hacen que Windows sea más seguro porque permiten que los procesos automatizados se configuren con los permisos mínimos que necesitan sin comprometer las credenciales de la cuenta y el acceso de la cuenta del usuario. También permiten que los servicios se configuren para que se ejecuten en nombre de los usuarios sin tener que proporcionar al usuario niveles más profundos de acceso al sistema.

Además, si un usuario pudiera acceder a su computadora lo suficientemente bien como para establecer un usuario así, no hay razón para que necesiten crear un usuario. Cargar un rootkit o un troyano de acceso remoto permitiría controlar la computadora del usuario sin dejar una cuenta de usuario atrás. Es posible que alguna actividad aún termine en los registros de eventos para un simple troyano de acceso remoto, pero un kit de raíz decente podría incluso subvertir el registro del sistema.

El escenario de ataque que describe no es un escenario de ataque particularmente viable y no es un defecto de seguridad, sino una característica diseñada de Windows, implementada para mejorar la seguridad.

    
respondido por el AJ Henderson 27.10.2014 - 14:36
fuente

Lea otras preguntas en las etiquetas

Cumplimiento de PCI: ¿Antivirus en el host y el entorno virtual? ¿Realmente tiene que ir a los extremos que dice esta guía? [duplicar]