隐藏用户

对手可能使用隐藏用户来隐藏他们创建或修改的用户账户的存在。管理员可能希望在系统上有许多用户账户时隐藏用户，或者希望将他们的管理或其他管理账户隐藏起来。 在macOS中，对手可以通过操作plist文件、文件夹属性和用户属性来创建或修改隐藏用户。为了防止用户在登录屏幕和系统偏好设置中显示，对手可以将userID设置为500以下，并在/Library/Preferences/com.apple.loginwindow plist文件中将键值Hide500Users设置为TRUE。(引用: Cybereason OSX Pirrit) 每个用户都有一个与之关联的userID。当Hide500Users键值设置为TRUE时，userID低于500的用户不会出现在登录屏幕和系统偏好设置中。使用命令行，对手可以使用dscl实用程序通过将IsHidden属性设置为1来创建隐藏用户账户。对手还可以通过将chflags更改为隐藏来隐藏用户的主文件夹。(引用: Apple Support Hide a User Account) 对手也可能在Windows中类似地隐藏用户账户。对手可以将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList注册表键值设置为0，以防止特定用户出现在登录屏幕上。(引用: FireEye SMOKEDHAM June 2021)(引用: US-CERT TA18-074A) 在Linux系统上，对手可能会隐藏登录屏幕上的用户账户，也称为greeter。对手可能使用的方法取决于发行版当前使用的显示管理器。例如，在使用GNOME显示管理器（GDM）的Ubuntu系统上，可以使用gsettings命令隐藏greeter中的账户（例如：sudo -u gdm gsettings set org.gnome.login-screen disable-user-list true）。(引用: Hide GDM User Accounts) 显示管理器不固定在特定的发行版上，用户或对手可以更改它们。