Windows安全加固系列-----账号口令-SID详述

2019/6/12 ------

此文章关于Windows安全加固中的账号口令，进行加固

账号口令

优化账号

加固方法

图形化界面

开始--运行--计算机管理---本地用户和组，查看有没有不用的账号

命令行模式：

net user 用户名 /del   ----删除账号

net user 用户名 /active:no	 ----锁定账号

回退方法：

net user 用户名 /add   ----添加账号

net user 用户名 /active:yes ----解锁账号

查看账号

net user   查看所有的用户（建议）

net user guest  查看来宾账号是否启用

whoami  /user    查看当前用户的信息（SID）

wmic useraccount get name,sid  --查看所有账号的sid

psgetsid   

需要下载工具PSTools，在特定的路径下使用PSTools中的psgetsid工具
链接：https://pan.baidu.com/s/1v8uGyrEegnhd5JFQDt641Q
提取码：5xyn
下载完成后，在cmd中，切换到存放路径下

运行psgetsid，点击agree

查看test01的SID

SID 安全标识符

分配给所有用户、组和计算机的唯一识别码

s：sid的前缀
1：修订版本编号
5：标识符颁发机构代码（对NT系统来说是5）
5以后的四组数字：子颁发机构代码
最后一组数字：相对标识符

关于SID的一个小实验
实验说明：

一、在Windows server 2016 服务器上新建用户，然后对文件夹进行加密，然后用别的用户进行访问，发现不能进行访问。

二、然后把这个用户删除，再建立一个相同的用户，再打开这个文件，发现也是不能访问的，因为计算机区分用户不是根据用户名，而是根据SID来标识。

三、指定恢复代理用户（用这个指定恢复代理的用户打开被删除用户的加密文件。）

四、用户（test01）加密文件，用户（administrator）进行访问，发现可以打开

实验开始：

一、在Windows server 2016 服务器上新建用户，然后对文件夹进行加密，然后用别的用户进行访问，发现不能进行访问。

1、新建用户（test01）

2、切换用户

3、对文件加密

4、切换用户（administrator）

5、对加密文件进行访问

二、然后把这个用户删除，再建立一个相同的用户，再打开这个文件，发现也是不能访问的，因为计算机区分用户不是根据用户名，而是根据SID来标识。

1、切换用户（administrator）

2、删除用户（test01）

3、建立用户（test01）

4、切换用户（test01）

5、对加密文件进行访问

三、指定恢复代理用户，用这个指定恢复代理的用户打开被删除用户的加密文件。

1、切换用户（administrator）

2、生成证书和私钥

说明：test01 是证书名字

3、安装证书和私钥

对私钥进行安装

4、在组策略中指定恢复代理用户

现在还是打不开test01加密文件的，因为是在我们做恢复代理用户前加密的

四、用户（test01）加密文件，用户（administrator）进行访问，发现可以打开

	1、切换用户（test01）
	2、加密文件（test02）
	3、切换用户（administrator）
	4、访问文件（test02）

OK，有什么问题，还有评论交流 ?