查看服务器是否存在可疑账号、新增账号
Windows 服务器排查
在 Windows 系统中,我们可以通过命令行工具、注册表和日志来查找异常账号
1. 使用命令行检查
-
查看本地所有用户账号 使用
net user命令可以列出系统上的所有本地用户。仔细检查是否有不认识或命名异常的账号,例如:tempadmin、testuser、service_a等net user -
查看新增的管理员账号 使用以下命令可以查看本地管理员组的成员。如果发现新的或不熟悉的账号,需要重点排查
net localgroup administrators -
查看最近创建的账号
lusrmgr.msc(本地用户和组)是一个图形化界面,可以按创建日期排序。在命令行中,我们通常需要结合 安全日志 来进行排查
2. 检查安全事件日志
这是最可靠的方法之一。Windows 会记录用户创建、修改和删除等操作到安全事件日志中
-
事件查看器(Event Viewer)
- 打开事件查看器 (
eventvwr.msc) - 导航到“Windows 日志” -> “安全”
- 使用“筛选当前日志”功能,输入以下事件 ID 进行筛选:
- 4720: 创建用户账号
- 4722: 启用用户账号
- 4724: 重置用户密码
- 4732: 将用户添加到本地安全组(如管理员组)
- 4728: 将用户添加到全局安全组
通过筛选这些事件 ID,你可以快速定位到账号被创建、启用或权限提升的时间点,并查看操作者(通常是 SYSTEM 或其他管理员账号)
- 打开事件查看器 (