PowerShell: Cambiare la password di un account locale

Per modificare la password di un utente locale, è necessario utilizzare i comandi Get-LocalUser e Set-LocalUser. Il codice seguente richiede di specificare un nome utente e una password. Il nome utente viene ricercato tra gli account locali del sistema e, se presente, gli viene attribuita la password specificata.

  $User = (Read-Host -Prompt "Username")   
  $Password = (Read-Host -Prompt "Nuova password" -AsSecureString)   
  $UserAccount = Get-LocalUser -Name $User   
  $UserAccount | Set-LocalUser -Password $Password  

FIG 1 - PowerShell, Modifica password account locale

PowerShell: Elencare gli account utenti locali

Il cmdlet Get-LocalUser visualizza gli account utente locali che includono gli account utente predefiniti integrati, gli account utente locali creati dall'utente e gli account locali collegati agli account Microsoft.

Sintassi

Get-LocalUser

   [[-Name] <String[]>]

   [<CommonParameters>]

   

Get-LocalUser

   [[-SID] <SecurityIdentifier[]>]

   [<CommonParameters>]

Parametri

-Name

Permette di specifica un array di nomi di account utente che il cmdlet dovrà verificare. È possibile utilizzare il carattere jolly.   

-SID

Permette di specificare un array di ID di sicurezza (SID) degli account utente che questo cmdlet dovrà verificare. Anche con tale parametro è possibile utilizzare il carattere jolly.

Esempi

Esempio 1

Get-LocalUser

Visualizza l'elenco degli account locali.

FIG 1 - Get-LocalUser

Esempio 2

Get-LocalUser -Name "Virtual"

In questo esempio vengono visualizzate informazioni sull'account locale Virtual, se presente.

FIG 2 - Get-LocalUser -Name

Esempio 3

Get-LocalUser -SID S-1-5-21-3709759149-2871342979-3498957072-1002

Visualizza informazioni sull'account locale avente il SID specificato.

Esempio 4

Get-LocalUser -Name "MicrosoftAccount\username@Outlook.com"

Visualizza informazioni sull'account utente specificato collegato a un account Microsoft. 

PowerShell: Identificare l'account amministratore locale

Nei sistemi Windows sono presenti alcuni account predefiniti come l'account locale "Administrator" che dispone di privilegi elevati. Il nome dell'account relativo all'amministratore locale può variare da regione a regione pertanto, per identificarlo indipendentemente dal suo nome, è opportuno ricercarlo tramite l'identificatore di sicurezza (SID). Il SID dell'account amministratore locale inizia sempre con 'S-1-5-' e usa il RID '-500'. Per ricercalo tramite PowerShell è possibile utilizzare il seguente comando

Get-LocalUser | Where-Object Sid -like 'S-1-5-*-500'

FIG 1 - Get-LocalUser

PowerShell: Rinominare l'account locale Administrator

Per ragioni di sicurezza, potremmo considerare di rinominare l'account Administrator locale incorporato in Windows che, avendo un nome noto e privilegi elevati, può essere oggetto di attenzione da parte di malintenzionati.

Prima di procedere con la rinomina dell'account bisogna chiarire alcuni punti:

• Una volta rinominato l'account questo continuerà a funzionare ma per utilizzarlo sarà necessario specificare il nuovo nome. 
• Assicurarsi che non ci siano processi automatici che utilizzino il vecchio nome account, in tal caso sarà necessario aggiornarli con il nuovo nome.
• Rinominare l'account non cambierà il suo SID. Trattandosi di un SID noto, l'account potrà essere comunque preso di mira da attacchi mirati.

Per modificare il nome dell'account Administrator tramite PowerShell basta eseguire il seguente comando da una finestra PowerShell eseguita come amministratore

Rename-LocalUser -Name "Administrator" -NewName "GLubrano"

sostituendo la stringa passata al parametro -NewName con il nuovo nome che si intende assegnare all'account.

Per verificare se il nome dell'account di amministratore locale è stato modificato, eseguire il comando

Get-Localuser | Where-Object Sid -like 'S-1-5-*-500'

FIG 1 - Rename-LocalUser

PowerShell: Disabilitare l'account locale Guest

Windows viene fornito con un account locale integrato chiamato "Guest". Dal momento che questo account è usato raramente e può essere utilizzato come vettore di attacco è di default disabilitato nelle recenti distribuzioni di Windows.

 

Poiché il nome dell'account è localizzato e può variare leggermente da regione a regione, per identificare l'account e visualizzarne lo stato è consigliabile usare il suo SID:

Get-LocalUser | Where-Object Sid -like 'S-1-5-*-501' 

FIG 1 - Get-LocalUser

Per disattivare l'account utilizzare il cmdlet Disable-LocalUser

Get-LocalUser | Where-Object Sid -like 'S-1-5-*-501' | Disable-LocalUser