Проверка лишних пользователей в локальной группе Administrators
Мини-лайфхак из области hardening. Один из первых шагов при проверке безопасности сервера – убедиться, что в локальной группе Administrators нет лишних пользователей. Иногдп туда “по ошибке” добавляют кого угодно – от сервисных аккаунтов до обычных юзеров.
Проверить состав группы можно так:
|
1 |
Get-LocalGroupMember -Group "Administrators" |
Команда сразу покажет всех участников: локальных пользователей, группы и даже доменные аккаунты, если машина в AD.
Для быстрой проверки в доменной среде удобно прогнать скрипт сразу по всем серверам:
|
1 2 3 4 5 6 7 |
$servers = @("srv01","srv02","srv03") foreach ($s in $servers) { Invoke-Command -ComputerName $s -ScriptBlock { Write-Host "===== $env:COMPUTERNAME =====" Get-LocalGroupMember -Group "Administrators" } } |
Так можно сразу отловить “левые” учётки на всех узлах.
Добавьте регулярный аудит этой группы в свои скрипты мониторинга или через GPO/Defender for Identity. Часто именно здесь прячется backdoor.