刪除用戶時(shí)提示無(wú)法在內(nèi)置賬戶上運(yùn)行此操作

發(fā)布時(shí)間：2014-07-28 10:27:11 作者：佚名

一般情況寫黑客在入侵服務(wù)器后都會(huì)添加新的用戶或者和設(shè)置后門程序.如果大家在使用服務(wù)器的過(guò)程中發(fā)現(xiàn),出現(xiàn)了不能刪除的用且賬號(hào)不能夠正常刪除提示無(wú)法在內(nèi)置賬號(hào)進(jìn)行此操作。

如果管理員遇到這樣的情況的話就需要注意了你的服務(wù)器可能被入侵了。

一般黑客都將這種的添加賬號(hào)的手段稱為”不死賬戶”

首先我們來(lái)了解建立不死賬戶的方法，

1.黑客其將guest用戶放到administratorss組中，當(dāng)管理administrator登錄后刪除administratorss組中的guest賬戶，保存時(shí)提示“無(wú)法在內(nèi)置賬戶上運(yùn)行此操作”
(系統(tǒng)自帶的賬戶是不能刪除的只能禁用黑客就是利用了guest不能刪除的原理)
解決方法：把它隸屬管理員組的屬性去掉，禁用賬戶，這樣就可以了

2.再另外一臺(tái)服務(wù)器也是2003系統(tǒng)的電腦找到HKEY_LOCAL_MACHINE\SAM\SAM，單擊鼠標(biāo)右鍵在彈出的子菜單中選擇權(quán)限 (WIN 2000的操作系統(tǒng)運(yùn)行regedt32，找到HKEY_LOCAL_MACHINE\SAM\SAM，選擇安全→權(quán)限)
然后把你現(xiàn)在所使用的用戶添加進(jìn)入，并選擇完全控制，再刷新一下就可以看到SAM下面的項(xiàng)了。然后到guest賬號(hào)對(duì)應(yīng)的000001F5的項(xiàng)，鼠標(biāo)右鍵導(dǎo)出并保存該文件，名字隨意。
然后把保持的文件復(fù)制到被黑客入侵的的機(jī)器上，然后雙擊導(dǎo)入到注冊(cè)表。
（然后覺(jué)得麻煩也可以，把下面的值直接復(fù)制過(guò)去保存也可以）

復(fù)制代碼

代碼如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5]

"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,ff,ff,ff,7f,00,00,00,00,00,00,00,00,\

f5,01,00,00,01,02,00,00,15,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,b1,d4,61,f5

"V"=hex:00,00,00,00,b0,00,00,00,02,00,01,00,b0,00,00,00,0a,00,00,00,00,00,00,\

00,bc,00,00,00,00,00,00,00,00,00,00,00,bc,00,00,00,22,00,00,00,00,00,00,00,\

e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,\

00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,\

00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,\

00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,\

08,00,00,00,01,00,00,00,e8,00,00,00,04,00,00,00,00,00,00,00,ec,00,00,00,04,\

00,00,00,00,00,00,00,f0,00,00,00,04,00,00,00,00,00,00,00,f4,00,00,00,04,00,\

00,00,00,00,00,00,01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,44,00,00,\

00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\

00,00,00,00,02,c0,14,00,ff,ff,1f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\

00,4c,00,03,00,00,00,00,00,14,00,1b,03,02,00,01,01,00,00,00,00,00,01,00,00,\

00,00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,\

00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,24,02,00,00,\

01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,\

00,00,00,20,02,00,00,47,00,75,00,65,00,73,00,74,00,00,00,9b,4f,65,67,be,5b,\

bf,8b,ee,95,a1,8b,97,7b,3a,67,16,62,bf,8b,ee,95,df,57,84,76,85,51,6e,7f,10,\

5e,37,62,97,7b,01,02,00,00,07,00,00,00,01,00,01,00,01,00,01,00,01,00,01,00,\

01,00,01,00

現(xiàn)在即可打開(kāi)賬戶管理，從administrators組中即可刪除了。

以上方法解決的可行的，關(guān)于第一種方法禁用guest，可是禁用還可能會(huì)被黑客重新開(kāi)啟，還有就是guest賬號(hào)老賴在administrators組里很礙眼。

還有一種就是把guest賬號(hào)從注冊(cè)表里刪除，不過(guò)guest賬號(hào)再特殊的時(shí)候還是有它的用途的，不建議刪除。而且這種種了木馬的你直接從注冊(cè)表里刪除的話，你再重新打開(kāi)我的電腦管理里的賬戶管理，會(huì)每次彈出安全映射之類的報(bào)錯(cuò)。
所以再對(duì)注冊(cè)表操作之前一定要備份好相應(yīng)的項(xiàng)，以防萬(wàn)一時(shí)恢復(fù)注冊(cè)表。

安全措施：
1.guest賬號(hào)禁用。
2.guest賬號(hào)和administrator賬號(hào)重命名為自定義名字。
3.給administrator賬號(hào)重設(shè)一個(gè)復(fù)雜的密碼
4.檢查系統(tǒng)漏洞并更新補(bǔ)丁。