{"id":362,"date":"2012-10-22T11:48:48","date_gmt":"2012-10-22T09:48:48","guid":{"rendered":"https:\/\/www.asafety.fr\/?p=362"},"modified":"2015-11-11T00:42:04","modified_gmt":"2015-11-10T22:42:04","slug":"creer-un-compte-administrateur-invisible-sous-windows-xp-7-8","status":"publish","type":"post","link":"https:\/\/www.asafety.fr\/en\/administration-reseaux-et-systemes\/creer-un-compte-administrateur-invisible-sous-windows-xp-7-8\/","title":{"rendered":"Cr\u00e9er un compte administrateur invisible sous Windows (XP, 7, 8)"},"content":{"rendered":"

<\/p>\n

L’ex\u00e9cution d’application sous un compte administrateur est une probl\u00e9matique souvent abord\u00e9e sur les nouveaux Windows. Il peut s’av\u00e9rer n\u00e9cessaire de cr\u00e9er de nouveaux comptes administrateurs pour ex\u00e9cuter tels ou tels processus avec ces droits.<\/p>\n

Avec une vision plus n\u00e9gative, de potentiels attaquants ont r\u00e9guli\u00e8rement\u00a0recours\u00a0\u00e0 la cr\u00e9ation d’un compte administrateur lorsqu’ils infectent un syst\u00e8me. La raison? Ne pas interf\u00e9rer avec le compte de l’administrateur l\u00e9gitime, mais op\u00e9rer en secret sous un compte qui dispose de tous les droits et ce le plus invisible possible.<\/p>\n

En effet, une des fonctionnalit\u00e9s les plus r\u00e9pandue des Windows Server est le service TSE\/RDS permettant la prise de contr\u00f4le \u00e0 distante de l’environnement (\u00e9cran \/ clavier \/ souris). Lorsqu’un Windows Server est compromis, les assaillants s’empressent de cr\u00e9er un compte administrateur cach\u00e9 pour conserver un acc\u00e8s permanent au syst\u00e8me, m\u00eame si le mot de passe de l’administrateur l\u00e9gitime est chang\u00e9.<\/p>\n

La cr\u00e9ation d’un compte administrateur sur un environnement Windows est on ne peut plus simple via un terminal. Deux commandes suffisent :<\/p>\n

[bash]net user &amp;amp;lt;login&amp;amp;gt; &amp;amp;lt;password&amp;amp;gt; \/add&amp;lt;\/p&amp;gt;&lt;br \/&gt;
\n&amp;lt;p&amp;gt;net localgroup administrateurs &amp;amp;lt;login&amp;amp;gt; \/add[\/bash]<\/p>\n

\"Cr\u00e9ation<\/a>

Cr\u00e9ation d’un compte administrateur en ligne de commande sous Windows<\/p><\/div>\n

Comme illustr\u00e9 sur la figure pr\u00e9c\u00e9dente, la commande “net user” permet de lister tous les comptes du syst\u00e8me et l’on voit bien la cr\u00e9ation de notre nouveau compte “NEW_LOGIN”. Toutefois, apr\u00e8s l’ex\u00e9cution de ces commandes, ce compte est visible d’une part via la commande “net user” mais aussi \u00e0 l’\u00e9cran de connexion du syst\u00e8me si celui-ci est activ\u00e9. Un des m\u00e9canismes utilis\u00e9s pour cacher ce compte de la commande “net user” est de faire suffixer le nom du compte par un “$”. Celui-ci deviendra automatiquement invisible :<\/p>\n

[bash]net user &amp;amp;lt;login&amp;amp;gt;$ &amp;amp;lt;password&amp;amp;gt; \/add&amp;lt;\/p&amp;gt;&lt;br \/&gt;
\n&amp;lt;p&amp;gt;net localgroup administrateurs &amp;amp;lt;login&amp;amp;gt;$ \/add[\/bash]<\/p>\n

\"Cr\u00e9ation<\/a>

Cr\u00e9ation d’un compte invisible via la commande “net user”<\/p><\/div>\n

Cette solution satisfait amplement les assaillants souhaitant garder l’anonymat sur les machines Server. Toutefois, dans le cadre de postes clients qui listent les comptes existants sur le syst\u00e8me d\u00e8s le Winlogon, ce nouveau compte est visible. Exemple sur Windows 7 :<\/p>\n

\"Compte<\/a>

Compte visible sous le Winlogon<\/p><\/div>\n

Ainsi, une solution additionnelle existe permettant de camoufler le compte d\u00e8s le Winlogon. Pour r\u00e9aliser ceci, une cl\u00e9 du registre de type “DWORD” doit \u00eatre cr\u00e9\u00e9e avec pour nom le compte \u00e0 cacher et comme valeur “00000000” \u00e0 cet emplacement :\u00a0HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList. Pour r\u00e9aliser cet ajout au sein d’un terminal, la commande est la suivante :<\/p>\n

[bash]&amp;lt;\/p&amp;gt;&lt;br \/&gt;
\n&amp;lt;p&amp;gt;C:\\&amp;amp;gt;reg add &amp;amp;quot;HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList&amp;amp;quot; \/v &amp;amp;quot;NEW_LOGIN$&amp;amp;quot; \/t REG_DWORD \/d &amp;amp;quot;00000000&amp;amp;quot;&amp;lt;br \/&amp;gt;&lt;br \/&gt;
\nL’op\u00e9ration a r\u00e9ussi.&amp;lt;\/p&amp;gt;&lt;br \/&gt;
\n&amp;lt;p&amp;gt;[\/bash]<\/p>\n

A partir de l\u00e0, le compte “NEW_LOGIN$” sera invisible de la commande “net user” et du Winlogon :<\/p>\n

\"Compte<\/a>

Compte invisible au Winlogon<\/p><\/div>\n

Il est par cons\u00e9quent n\u00e9cessaire de bien contr\u00f4ler les diff\u00e9rents comptes cr\u00e9\u00e9s localement sur un syst\u00e8me. En particulier la cl\u00e9 du registre qui permet de les cacher du Winlogon. Pour ce qui est de la commande “net user” qui n’affiche pas les comptes suffix\u00e9s d’un “$”, ce soucis ne s’applique pas avec la commande “net locagroup <nomdugroupe>” qui liste convenablement tous les membres du groupe, m\u00eame ceux qui dispose d’un “$”.<\/p>\n<\/p>\n

<\/p>","protected":false},"excerpt":{"rendered":"

L’ex\u00e9cution d’application sous un compte administrateur est une probl\u00e9matique souvent abord\u00e9e sur les nouveaux Windows. Il peut s’av\u00e9rer n\u00e9cessaire de […]<\/p>\n","protected":false},"author":1337,"featured_media":1173,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[59,124,165,167],"tags":[151,153,157,156,155,154,159,152,158,118,117,35],"class_list":["post-362","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administration-reseaux-et-systemes","category-invisibilite-et-camouflage","category-os","category-windows","tag-administrateur","tag-compte","tag-hidden","tag-invisible","tag-net-localgroup","tag-net-user","tag-rds","tag-regedit","tag-tse","tag-windows-7","tag-windows-8","tag-windows-xp"],"_links":{"self":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/362","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/users\/1337"}],"replies":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/comments?post=362"}],"version-history":[{"count":8,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/362\/revisions"}],"predecessor-version":[{"id":1639,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/posts\/362\/revisions\/1639"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media\/1173"}],"wp:attachment":[{"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/media?parent=362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/categories?post=362"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.asafety.fr\/en\/wp-json\/wp\/v2\/tags?post=362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}