附加本地或域组

对手可能会向对手控制的账户添加附加本地或域组，以在系统或域中保持持久访问。 在Windows上，账户可以使用net localgroup和net group命令将现有用户添加到本地和域组。(引用: Microsoft Net Localgroup)(引用: Microsoft Net Group) 在Linux上，对手可能会使用usermod命令实现相同的目的。(引用: Linux Usermod) 例如，账户可能会被添加到Windows设备上的本地管理员组，以保持提升的权限。它们还可能被添加到远程桌面用户组，这允许它们利用远程桌面协议将来登录到终端。(引用: Microsoft RDP Logons) 在Linux上，账户可能会被添加到sudoers组，允许它们持久地利用使用Sudo和Sudo缓存获得提升的权限。 在Windows环境中，机器账户也可能被添加到域组。这允许本地SYSTEM账户在域上获得权限。(引用: RootDSE AD Detection 2022)