在系統(tǒng)賬戶中查找/刪除克隆賬戶

1.備份注冊(cè)表
操作前首先將注冊(cè)表SAM項(xiàng)中的內(nèi)容導(dǎo)出，做好備份，以便在修改出現(xiàn)問題時(shí)恢復(fù)。

2.查找克隆賬戶
mt.exe為一個(gè)查看克隆賬戶的工具，這個(gè)exe文件會(huì)被殺毒軟件當(dāng)成病毒殺掉，所以使用前要關(guān)閉殺毒軟件或排除對(duì)這個(gè)文件所在目錄的檢查。
在命令行下運(yùn)行 mt.exe -chkuser >> d:\chkuser.txt ，將結(jié)果保存到txt文件中，文件中會(huì)有類似如下的內(nèi)容（注意，如果之前沒有給SAM權(quán)限的話會(huì)提示Require System Privilege）：
UserName                 ExpectedSID    CheckedSID

Administrator              1F4          1F4
ASPNET                     3EE          3EE
Guest                      1F5          1F5
...........
其中ExpectedSID與CheckedSID一致的為正常賬戶，不一致的有可能是問題賬戶。如果不一致的內(nèi)容當(dāng)中為401/4010、501/5010形式，那么這些仍然為正常賬戶，但內(nèi)容中有1F4這個(gè)值的，可以肯定是克隆了管理員賬戶權(quán)限。

3.刪除克隆賬戶
一旦我們查到了克隆賬戶，怎么刪除呢？對(duì)于克隆賬戶，首先進(jìn)入注冊(cè)表查看是只復(fù)制了F值，還是F與V值都復(fù)制了。如果只復(fù)制了F值，可以直接在"本地用戶和組"中進(jìn)行刪除。
如果F與V值都復(fù)制了，則不能直接在"本地用戶和組"中刪除，否則會(huì)像上面說的那樣刪除管理員賬戶。需要到注冊(cè)表中刪除該克隆賬戶對(duì)應(yīng)的兩個(gè)項(xiàng)。
另外有些情況下在"本地用戶和組"直接刪除時(shí)也會(huì)報(bào)錯(cuò)（例如報(bào)"刪除用戶 xxx 時(shí),出現(xiàn)了以下錯(cuò)誤:用戶不屬于此組"），這時(shí)也需要到注冊(cè)表中刪除對(duì)應(yīng)項(xiàng)。

4.注意事項(xiàng)
1）如果將導(dǎo)出的SAM注冊(cè)表文件導(dǎo)回去，會(huì)出現(xiàn)"本地用戶和組"中的組無法顯示的情況，但不影響正常使用，重啟服務(wù)器后組會(huì)恢復(fù)正常顯示。
2）如果用刪除注冊(cè)表內(nèi)容的方式來刪除賬戶，在刪除后會(huì)出現(xiàn)刷新"本地用戶和組"中的用戶時(shí)出現(xiàn)錯(cuò)誤提示"讀取用戶屬性時(shí),出現(xiàn)了以下錯(cuò)誤:帳戶名與安全標(biāo)識(shí)間無任何映射完成"，但不影響用戶的顯示和使用，重啟服務(wù)器后錯(cuò)誤提示消失。
3）如果在手動(dòng)操作或者某些軟件操作時(shí)，出現(xiàn)錯(cuò)亂，導(dǎo)致Account\Users\Names中的用戶名和Account\Users下的值沒有一一對(duì)應(yīng)（例如缺少某個(gè)值出現(xiàn)一對(duì)多情況），則"本地用戶和組"中的賬戶會(huì)不顯示，但不影響大部分用戶的正常使用。刪除注冊(cè)表中的錯(cuò)誤項(xiàng)后即可恢復(fù)正常顯示。這里在刪除時(shí)，建議把有問題的賬戶全部刪除，例如出現(xiàn)了test和test1都對(duì)應(yīng)00000ABC這一項(xiàng)時(shí)，最好將test與test1刪除手動(dòng)重建。
4）操作前記得給注冊(cè)表SAM項(xiàng)管理員完全控制權(quán)限，操作完之后將權(quán)限改回去。
5）http://www.beginningtoseethelight.org/ntsecurity/index.php#F5503DC07F1DBE6D，這篇文章詳細(xì)介紹了windows2000賬戶相關(guān)的內(nèi)容，不過不完全適用于windows2003。
mt.exe下載

最新評(píng)論