Per modificare la password di un utente locale, è necessario utilizzare i comandi Get-LocalUser e Set-LocalUser. Il codice seguente richiede di specificare un nome utente e una password. Il nome utente viene ricercato tra gli account locali del sistema e, se presente, gli viene attribuita la password specificata.
Visualizzazione post con etichetta Get-LocalUser. Mostra tutti i post
Visualizzazione post con etichetta Get-LocalUser. Mostra tutti i post
mercoledì 31 agosto 2022
domenica 21 agosto 2022
PowerShell: Elencare gli account utenti locali
Il cmdlet Get-LocalUser visualizza gli account utente locali che includono gli account utente predefiniti integrati, gli account utente locali creati dall'utente e gli account locali collegati agli account Microsoft.
Sintassi
Get-LocalUser
[[-Name] <String[]>]
[<CommonParameters>]
Get-LocalUser
[[-SID] <SecurityIdentifier[]>]
[<CommonParameters>]
Parametri
-Name
Permette di specifica un array di nomi di account utente che il cmdlet dovrà verificare. È possibile utilizzare il carattere jolly.
-SID
Permette di specificare un array di ID di sicurezza (SID) degli account utente che questo cmdlet dovrà verificare. Anche con tale parametro è possibile utilizzare il carattere jolly.
Esempi
Esempio 1
Get-LocalUser
Visualizza l'elenco degli account locali.
Esempio 2
Get-LocalUser -Name "Virtual"
In questo esempio vengono visualizzate informazioni sull'account locale Virtual, se presente.
Esempio 3
Get-LocalUser -SID S-1-5-21-3709759149-2871342979-3498957072-1002
Visualizza informazioni sull'account locale avente il SID specificato.
Esempio 4
Get-LocalUser -Name "MicrosoftAccount\username@Outlook.com"
Visualizza informazioni sull'account utente specificato collegato a un account Microsoft.
martedì 25 gennaio 2022
PowerShell: Identificare l'account amministratore locale
Nei sistemi Windows sono presenti alcuni account predefiniti come l'account locale "Administrator" che dispone di privilegi elevati. Il nome dell'account relativo all'amministratore locale può variare da regione a regione pertanto, per identificarlo indipendentemente dal suo nome, è opportuno ricercarlo tramite l'identificatore di sicurezza (SID). Il SID dell'account amministratore locale inizia sempre con 'S-1-5-' e usa il RID '-500'. Per ricercalo tramite PowerShell è possibile utilizzare il seguente comando
Get-LocalUser | Where-Object Sid -like 'S-1-5-*-500'
lunedì 24 gennaio 2022
PowerShell: Rinominare l'account locale Administrator
Per ragioni di sicurezza, potremmo considerare di rinominare l'account Administrator locale incorporato in Windows che, avendo un nome noto e privilegi elevati, può essere oggetto di attenzione da parte di malintenzionati.
Prima di procedere con la rinomina dell'account bisogna chiarire alcuni punti:
- Una volta rinominato l'account questo continuerà a funzionare ma per utilizzarlo sarà necessario specificare il nuovo nome.
- Assicurarsi che non ci siano processi automatici che utilizzino il vecchio nome account, in tal caso sarà necessario aggiornarli con il nuovo nome.
- Rinominare l'account non cambierà il suo SID. Trattandosi di un SID noto, l'account potrà essere comunque preso di mira da attacchi mirati.
Per modificare il nome dell'account Administrator tramite PowerShell basta eseguire il seguente comando da una finestra PowerShell eseguita come amministratore
Rename-LocalUser -Name "Administrator" -NewName "GLubrano"
sostituendo la stringa passata al parametro -NewName con il nuovo nome che si intende assegnare all'account.
Per verificare se il nome dell'account di amministratore locale è stato modificato, eseguire il comando
Get-Localuser | Where-Object Sid -like 'S-1-5-*-500'
venerdì 21 gennaio 2022
PowerShell: Disabilitare l'account locale Guest
Windows viene fornito con un account locale integrato chiamato "Guest". Dal momento che questo account è usato raramente e può essere utilizzato come vettore di attacco è di default disabilitato nelle recenti distribuzioni di Windows.
Poiché il nome dell'account è localizzato e può variare leggermente da regione a regione, per identificare l'account e visualizzarne lo stato è consigliabile usare il suo SID:
Get-LocalUser | Where-Object Sid -like 'S-1-5-*-501'
Per disattivare l'account utilizzare il cmdlet Disable-LocalUser
Get-LocalUser | Where-Object Sid -like 'S-1-5-*-501' | Disable-LocalUser
Iscriviti a:
Post (Atom)