Windows添加影子账户

普通隐藏账户缺点

只创建带有$的隐藏账户,不进行其他动作的情况下,虽然net users看不到,但是登录界面可以看到

创建完备影子账户

整体思路为:创建一个隐藏账户,修改注册表中的F值为高权限用户F值,之后将该账户的两个注册表导出,使用cmd删除该账户,再将注册表导入,这样达到了账户被删除,但账户信息仍在注册表里,效果为登陆界面也看不到该账户。

创建普通隐藏账户

net user krbtgt$ blacklotus! /add

修改注册表中控制权限的F值

这里替换为Administrator的值

导出注册表

CMD删除隐藏账户

这时krbtgt$的注册表目录已被删除

导入注册表

具体效果

登录界面无该影子账户

蓝军对应检测手段

直接排查注册表