账户访问移除

对手可能通过禁止合法用户访问账户来中断系统和网络资源的可用性。账户可能被删除、锁定或操作（例如：更改凭据）以移除对账户的访问。对手还可能随后注销和/或执行系统关闭/重启以设置恶意更改。(引用: CarbonBlack LockerGoga 2019)(引用: Unit42 LockerGoga 2019) 在Windows中，Net实用程序、Set-LocalUser和Set-ADAccountPasswordPowerShell cmdlets可能被对手用来修改用户账户。在Linux中，可以使用passwd实用程序更改密码。账户也可以通过组策略禁用。 使用勒索软件或类似攻击的对手可能首先执行此行为和其他影响行为，例如数据销毁和篡改，以在完成数据加密以产生影响目标之前阻碍事件响应/恢复。