Lista de cuentas de usuario de Windows ocultas / virtuales

Estoy tratando de encontrar una manera de obtener una lista completa de las cuentas de usuario en un sistema Windows 7, incluidas las ocultas. El cuadro de diálogo Cuentas de usuario ( >control userpasswords2) solo muestra las cuentas de usuario normales, e incluso el editor de Grupos y usuarios locales solo muestra las cuentas de usuario normales y las cuentas estándar ocultas / deshabilitadas como Administrador e Invitado. El cuadro de diálogo Seleccionar usuarios o grupos tiene un botón Buscar ahora que combina usuarios y grupos, pero, por desgracia, tiene el mismo contenido que el LUG.

Estoy buscando una lista más completa que incluya cuentas de usuario "super-ocultas" / virtuales como TrustedInstaller (o para ser más precisos, NT Service \ TrustedInstaller: observe el "dominio" diferente).

Lo comprobé HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList, pero la SpecialAccountsclave no existe.

También lo verifiqué HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, y aunque tiene las cuentas SystemProfile, LocalService y NetworkService enumeradas, no tiene otras (como TrustedInstaller y su tipo).

TrustedInstaller específicamente es un poco confuso porque es un usuario, un servicio y un archivo ejecutable. Lo estoy usando como ejemplo porque está "súper oculto" ya que no parece estar incluido en ningún tipo de lista de usuarios. (Como experimento, traté de buscar en el registro completo el "instalador de confianza" para ver si podía encontrar un lugar donde figurara como usuario, pero no encontré ninguno).

Para ser claros, lo que estoy buscando es una lista de todos cuentas que se pueden usar en un campo de entrada de usuario, como en diálogos de permisos o como runasargumento.

No creo que haya una lista definitiva de todas las cuentas posibles.

Hay diferentes tipos de nombres que puede usar en el campo de entrada del usuario, como en los cuadros de diálogo de permisos.

Primero están las Win32_Accounts estándar, para obtener una lista completa, abra una sesión de PowerShell y ejecute:

get-wmiobject -class "win32_account" -namespace "root\cimv2" | sort caption | format-table caption, __CLASS, FullName

Estos son los usuarios habituales, los grupos y las cuentas integradas.

Desde Vista, hay una nueva clase de cuentas, llamadas cuentas virtuales, porque no aparecen en las herramientas de administración habituales. A veces también se llaman cuentas de servicio, y hay al menos tres tipos diferentes de estas:

• Cuentas de servicio de Windows

Dado que Vista, cada servicio de Windows tiene una cuenta virtual asociada, incluso se ejecuta bajo una cuenta de usuario diferente e incluso si no se ejecuta en absoluto. Parece queNT Service\MSSQLSERVER

Para obtener una lista de esos usos:

get-service | foreach {Write-Host NT Service\$($_.Name)}

• Grupos de aplicaciones IIS

Cada grupo de aplicaciones IIS que se ejecuta bajo ApplicationPoolIdentity se ejecuta bajo una cuenta especial llamada IIS APPPOOL\NameOfThePool

Suponiendo que tiene instaladas las herramientas de secuencias de comandos de administración de IIS, puede ejecutar:

Get-WebConfiguration system.applicationHost/applicationPools/* /* | where {$_.ProcessModel.identitytype -eq 'ApplicationPoolIdentity'} | foreach {Write-Host IIS APPPOOL\$($_.Name)}

• Máquinas virtuales de Hyper-V

En Server 2008+ y Windows 8+ tiene Hyper-V, cada máquina virtual crea su propia cuenta virtual, que se ve así: NT VIRTUAL MACHINE\1043F032-2199-4DEA-8E69-72031FAA50C5

para obtener una lista use:

get-vm | foreach {Write-Host NT VIRTUAL MACHINE\$($_.Id) - $($_.VMName)}

Aunque estas cuentas no se aceptan en el cuadro de diálogo de permisos, puede usarlas con icacls.exe para establecer permisos.

También hay un grupo especial NT Virtual Machine\Virtual Machines, que no aparece en ningún otro lado. Todas las cuentas de máquinas virtuales son miembros de este grupo, por lo que puede usar esto para establecer permisos para todos los archivos de VM.

Estos nombres son específicos del idioma, por ejemplo, en alemán se llama NT Virtual Machine\Virtuelle Computer

• Desktop Window Manager

El proceso dvm.exe (Desktop Window Manager) se ejecuta bajo un usuario Windows Manager\DWM-1

Nuevamente, no puede usar este tipo de usuarios en los cuadros de diálogo de permisos. Tampoco es realmente posible enumerarlos porque existe uno para cada 'sesión de escritorio', por lo que cuando usa dos sesiones RDP, también tiene DWM-2y DWM-3además DVM-1. Por lo tanto, hay tantos como escritorios disponibles.

• Nombres de computadora

En ciertos casos, también puede usar nombres de computadora en el cuadro de diálogo de permisos, generalmente cuando forma parte de un dominio de Active Directory.

• Usuarios virtuales remotos de Windows

Al usar PowerShell y 'JEA (Just suficiente Administration)' y conectarse a un servidor con una sesión remota PS, se puede crear un usuario virtual temporal.

estos tienen el siguiente formato:

winrm virtual users\winrm va_x_computername_username

y un SID que comienza con S-1-5-94-

la 'x' es un número entero.

Estas cuentas se pueden usar al asignar permisos NTFS, pero no sé cómo enumerar todos estos posibles usuarios virtuales.

Mientras está en una sesión de JEA, puede usar whoamipara averiguar el nombre de la cuenta actual.

• finalmente:

Incluso estas listas no le dan todas las cuentas posibles.

Por ejemplo, puede crear un grupo de aplicaciones y FooBarPoolluego eliminarlo nuevamente, aún puede usarlo IIS APPPOOL\FooBarPoolen el cuadro de diálogo de permisos, por lo que debe haber una lista interna en alguna parte.

Esto se debe a que TrustedInstaller es un servicio y no un objeto "usuario". Con Vista, los Servicios ahora son los principales de seguridad y se les pueden asignar permisos.

http://technet.microsoft.com/en-us/magazine/2007.06.acl.aspx

1. Vaya a cualquier archivo en su disco duro, haga clic derecho y seleccione propiedades.

2. Vaya a la pestaña de seguridad y haga clic Edit

   

3. Hacer clic Add...

4. Hacer clic Advanced...

   

5. Haga clic Object Types...y desmarque Groups, luego haga clicOK

   

6. Haga clic Find Now. Esto mostrará una lista de todos los usuarios regulares y usuarios del sistema incorporado ("principios de seguridad integrados", como Windows los llama).

   

Tenga en cuenta que no todas las cuentas que aparecen en esta página se pueden usar en un comando Ejecutar como, aunque todas se pueden usar en un diálogo de permisos.

A partir de Windows Vista, los servicios se tratan como usuarios. Es decir, se asigna un Identificador de seguridad (SID) a cada servicio. Esto no es específico del servicio TrustedInstaller . Puede ver el SID asignado a cualquier servicio utilizando el sc showsidcomando:

USO: sc showsid [nombre]

DESCRIPCIÓN : Muestra la cadena SID del servicio correspondiente a un nombre arbitrario. El nombre puede ser el de un servicio existente o inexistente.

Tenga en cuenta que no es necesario que el servicio exista en el sistema. Ejemplos:

C:\> sc showsid TrustedInstaller
NAME: TrustedInstaller
SERVICE SID: S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464

o, para el servicio Instrumental de administración de Windows ( Winmgmt):

C:\> sc showsid Winmgmt
NAME: Winmgmt
SERVICE SID: S-1-5-80-3750560858-172214265-3889451188-1914796615-4100997547

y, finalmente, para un servicio falso:

C:\> sc showsid FakeService
NAME: FakeService
SERVICE SID: S-1-5-80-3664595232-2741676599-416037805-3299632516-2952235698

Tenga en cuenta que todos los SID comienzan con S-1-5-80, donde 80se asigna a la SECURITY_SERVICE_ID_BASE_RIDsub autoridad. Además, esta asignación es determinista: no se utilizan RID y el SID será el mismo en todos los sistemas (consulte las referencias al final de esta publicación para obtener más información).

Como ejemplo, asignaré el NT Service\Winmgmtservicio, escribo permiso para algún archivo:

Windows subraya el nombre Winmgmty confirma que es una identidad válida:

Ahora, haga clic en Aceptar y luego asigne el permiso de escritura:

Esto confirma que cualquier nombre de servicio puede usarse como identidad de usuario. Por lo tanto, no los llamaría cuentas "ocultas en la cena": D

Para obtener más información, lea los siguientes artículos:

• Las nuevas ACL mejoran la seguridad en Windows Vista
• WS2008: Endurecimiento del servicio de Windows
• Componentes SID
• SID conocidos
• Identificadores de seguridad conocidos en sistemas operativos Windows

Puede usar la API NetQueryDisplayInformation, combinar con la comprobación de bit a bit en el indicador de información del usuario. Tengo exactamente el mismo requisito, por lo que cocino un código de muestra (modificado de la consulta GRUPO MSDN).

El indicador de usuario que utilicé es UF_NORMAL_ACCOUNT UF_ACCOUNTDISABLE UF_PASSWD_NOTREQD ---> esto garantiza que obtengamos una cuenta humana, la cuenta humana siempre requiere contraseña.

código de trabajo en: http://www.cceye.com/list-system-normal-user-account-only/