Visualizzazione post con etichetta Get-LocalUser. Mostra tutti i post
Visualizzazione post con etichetta Get-LocalUser. Mostra tutti i post

mercoledì 31 agosto 2022

PowerShell: Cambiare la password di un account locale

Per modificare la password di un utente locale, è necessario utilizzare i comandi Get-LocalUser e Set-LocalUser. Il codice seguente richiede di specificare un nome utente e una password. Il nome utente viene ricercato tra gli account locali del sistema e, se presente, gli viene attribuita la password specificata.
  $User = (Read-Host -Prompt "Username")   
  $Password = (Read-Host -Prompt "Nuova password" -AsSecureString)   
  $UserAccount = Get-LocalUser -Name $User   
  $UserAccount | Set-LocalUser -Password $Password  

PowerShell, Modifica password account locale
FIG 1 - PowerShell, Modifica password account locale

domenica 21 agosto 2022

PowerShell: Elencare gli account utenti locali

Il cmdlet Get-LocalUser visualizza gli account utente locali che includono gli account utente predefiniti integrati, gli account utente locali creati dall'utente e gli account locali collegati agli account Microsoft.

Sintassi

Get-LocalUser
   [[-Name] <String[]>]
   [<CommonParameters>]
   
Get-LocalUser
   [[-SID] <SecurityIdentifier[]>]
   [<CommonParameters>]

Parametri

-Name
Permette di specifica un array di nomi di account utente che il cmdlet dovrà verificare. È possibile utilizzare il carattere jolly.   

-SID
Permette di specificare un array di ID di sicurezza (SID) degli account utente che questo cmdlet dovrà verificare. Anche con tale parametro è possibile utilizzare il carattere jolly.

Esempi

Esempio 1
Get-LocalUser
Visualizza l'elenco degli account locali.
Get-LocalUser
FIG 1 - Get-LocalUser

Esempio 2
Get-LocalUser -Name "Virtual"
In questo esempio vengono visualizzate informazioni sull'account locale Virtual, se presente.
Get-LocalUser -Name
FIG 2 - Get-LocalUser -Name

Esempio 3
Get-LocalUser -SID S-1-5-21-3709759149-2871342979-3498957072-1002
Visualizza informazioni sull'account locale avente il SID specificato.

Esempio 4
Get-LocalUser -Name "MicrosoftAccount\username@Outlook.com"
Visualizza informazioni sull'account utente specificato collegato a un account Microsoft. 





martedì 25 gennaio 2022

PowerShell: Identificare l'account amministratore locale

Nei sistemi Windows sono presenti alcuni account predefiniti come l'account locale "Administrator" che dispone di privilegi elevati. Il nome dell'account relativo all'amministratore locale può variare da regione a regione pertanto, per identificarlo indipendentemente dal suo nome, è opportuno ricercarlo tramite l'identificatore di sicurezza (SID). Il SID dell'account amministratore locale inizia sempre con 'S-1-5-' e usa il RID '-500'. Per ricercalo tramite PowerShell è possibile utilizzare il seguente comando
Get-LocalUser | Where-Object Sid -like 'S-1-5-*-500'
Get-LocalUser
FIG 1 - Get-LocalUser







lunedì 24 gennaio 2022

PowerShell: Rinominare l'account locale Administrator

Per ragioni di sicurezza, potremmo considerare di rinominare l'account Administrator locale incorporato in Windows che, avendo un nome noto e privilegi elevati, può essere oggetto di attenzione da parte di malintenzionati.
Prima di procedere con la rinomina dell'account bisogna chiarire alcuni punti:
  • Una volta rinominato l'account questo continuerà a funzionare ma per utilizzarlo sarà necessario specificare il nuovo nome. 
  • Assicurarsi che non ci siano processi automatici che utilizzino il vecchio nome account, in tal caso sarà necessario aggiornarli con il nuovo nome.
  • Rinominare l'account non cambierà il suo SID. Trattandosi di un SID noto, l'account potrà essere comunque preso di mira da attacchi mirati.
Per modificare il nome dell'account Administrator tramite PowerShell basta eseguire il seguente comando da una finestra PowerShell eseguita come amministratore
Rename-LocalUser -Name "Administrator" -NewName "GLubrano"
sostituendo la stringa passata al parametro -NewName con il nuovo nome che si intende assegnare all'account.

Per verificare se il nome dell'account di amministratore locale è stato modificato, eseguire il comando
Get-Localuser | Where-Object Sid -like 'S-1-5-*-500'

Rename-LocalUser
FIG 1 - Rename-LocalUser



venerdì 21 gennaio 2022

PowerShell: Disabilitare l'account locale Guest

Windows viene fornito con un account locale integrato chiamato "Guest". Dal momento che questo account è usato raramente e può essere utilizzato come vettore di attacco è di default disabilitato nelle recenti distribuzioni di Windows.
 
Poiché il nome dell'account è localizzato e può variare leggermente da regione a regione, per identificare l'account e visualizzarne lo stato è consigliabile usare il suo SID:
Get-LocalUser | Where-Object Sid -like 'S-1-5-*-501' 

Get-Localuser
FIG 1 - Get-LocalUser


Per disattivare l'account utilizzare il cmdlet Disable-LocalUser
Get-LocalUser | Where-Object Sid -like 'S-1-5-*-501' | Disable-LocalUser