刪除用戶時提示無法在內(nèi)置賬戶上運行此操作

發(fā)布時間：2014-07-28 10:27:11 作者：佚名

我要評論

一般情況寫黑客在入侵服務(wù)器后都會添加新的用戶或者和設(shè)置后門程序.如果大家在使用服務(wù)器的過程中發(fā)現(xiàn),出現(xiàn)了不能刪除的用且賬號不能夠正常刪除提示無法在內(nèi)置賬號進行此操作。

如果管理員遇到這樣的情況的話就需要注意了你的服務(wù)器可能被入侵了。

一般黑客都將這種的添加賬號的手段稱為”不死賬戶”

首先我們來了解建立不死賬戶的方法，

1.黑客其將guest用戶放到administratorss組中，當管理administrator登錄后刪除administratorss組中的guest賬戶，保存時提示“無法在內(nèi)置賬戶上運行此操作”
(系統(tǒng)自帶的賬戶是不能刪除的只能禁用黑客就是利用了guest不能刪除的原理)
解決方法：把它隸屬管理員組的屬性去掉，禁用賬戶，這樣就可以了

2.再另外一臺服務(wù)器也是2003系統(tǒng)的電腦找到HKEY_LOCAL_MACHINE\SAM\SAM，單擊鼠標右鍵在彈出的子菜單中選擇權(quán)限 (WIN 2000的操作系統(tǒng)運行regedt32，找到HKEY_LOCAL_MACHINE\SAM\SAM，選擇安全→權(quán)限)
然后把你現(xiàn)在所使用的用戶添加進入，并選擇完全控制，再刷新一下就可以看到SAM下面的項了。然后到guest賬號對應的000001F5的項，鼠標右鍵導出并保存該文件，名字隨意。
然后把保持的文件復制到被黑客入侵的的機器上，然后雙擊導入到注冊表。
（然后覺得麻煩也可以，把下面的值直接復制過去保存也可以）

復制代碼

代碼如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5]

"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,ff,ff,ff,7f,00,00,00,00,00,00,00,00,\

f5,01,00,00,01,02,00,00,15,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\

00,00,00,b1,d4,61,f5

"V"=hex:00,00,00,00,b0,00,00,00,02,00,01,00,b0,00,00,00,0a,00,00,00,00,00,00,\

00,bc,00,00,00,00,00,00,00,00,00,00,00,bc,00,00,00,22,00,00,00,00,00,00,00,\

e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,\

00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,\

00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,\

00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,\

08,00,00,00,01,00,00,00,e8,00,00,00,04,00,00,00,00,00,00,00,ec,00,00,00,04,\

00,00,00,00,00,00,00,f0,00,00,00,04,00,00,00,00,00,00,00,f4,00,00,00,04,00,\

00,00,00,00,00,00,01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,44,00,00,\

00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\

00,00,00,00,02,c0,14,00,ff,ff,1f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\

00,4c,00,03,00,00,00,00,00,14,00,1b,03,02,00,01,01,00,00,00,00,00,01,00,00,\

00,00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,\

00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,24,02,00,00,\

01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,\

00,00,00,20,02,00,00,47,00,75,00,65,00,73,00,74,00,00,00,9b,4f,65,67,be,5b,\

bf,8b,ee,95,a1,8b,97,7b,3a,67,16,62,bf,8b,ee,95,df,57,84,76,85,51,6e,7f,10,\

5e,37,62,97,7b,01,02,00,00,07,00,00,00,01,00,01,00,01,00,01,00,01,00,01,00,\

01,00,01,00

現(xiàn)在即可打開賬戶管理，從administrators組中即可刪除了。

以上方法解決的可行的，關(guān)于第一種方法禁用guest，可是禁用還可能會被黑客重新開啟，還有就是guest賬號老賴在administrators組里很礙眼。

還有一種就是把guest賬號從注冊表里刪除，不過guest賬號再特殊的時候還是有它的用途的，不建議刪除。而且這種種了木馬的你直接從注冊表里刪除的話，你再重新打開我的電腦管理里的賬戶管理，會每次彈出安全映射之類的報錯。
所以再對注冊表操作之前一定要備份好相應的項，以防萬一時恢復注冊表。

安全措施：
1.guest賬號禁用。
2.guest賬號和administrator賬號重命名為自定義名字。
3.給administrator賬號重設(shè)一個復雜的密碼
4.檢查系統(tǒng)漏洞并更新補丁。