欢迎光临 Enjoy IT (ITECN.NET) 登录 | 注册 | 帮助

实验探索六大登录权利所对应的注册表键值(二)

本文是登录权利探秘系列的第二部分,其他两个部分位于:
第一部分:http://blogs.itecn.net/ahpeng/archive/2005/06/27/346.aspx
第三部分:http://blogs.itecn.net/ahpeng/archive/2005/06/27/351.aspx

本文作者:盆盆

适用场合:Windows 2000/XP工作组环境

技术难度:Level 300

版权声明:保留所有权利(若需转载、或登载本文,请发电子邮件至pen.aihua AT gmail.com

内容导读:本文用实验分析帐户的登录权利(Logon Right)所对应的注册表键值,并根据实验结论利用远程注册表来帮助解决诸如“拒绝本地登录”等疑难杂症。

 

实验步骤

步骤1:实验查看“拒绝本地登录”的注册表键值

1)打开Regmon,在“Regmon Filter”里设置仅监测“HKLM\SECURITY”下的注册表分支,同时仅勾选“Log Writes”、“Log Successes”、“Log Errors”这三个复选框

2)在命令提示符下运行以下命令,给Peter帐户赋予“拒绝本地登录”的登录权利:

Ntrights –u Peter +r SeDenyInteractiveLogonRight

3)在Regmon里可以实时监测到HKLM\SECURITY下的注册表键值的变化,将发现在注册表HKLM\SECURITY\Policy\Accounts分支下创建了一个名为UserSID的项(UserSIDPeter帐户的SID代替),然后在其下分别创建ActSysAcSecDescSid三个子键

4)在命令提示符下运行以下命令,取消Peter帐户的“拒绝本地登录”权利:

Ntrights –u Peter -r SeDenyInteractiveLogonRight

可以看到UserSID注册表项被删除,这说明UserSID注册表项下的三个子键(ActSysAcSecDescSid)和登录权利有关。在Regmon里双击这三个子键,即可打开注册表编辑器,并自动定位到对应的子键。分别记录这三个子键下“Default”键值的数值数据,结果如表2所示。

Default”键值

数值数据

类型

ActSysAc

00000000  40 00 00 00

REG-NONE

 

 

 

SecDesc

 

 

00000000  01 00 04 80 48 00 00 00 - 58 00 00 00 00 00 00 00

00000010  14 00 00 00 02 00 34 00 - 02 00 00 00 00 00 18 00

00000020  0f 00 0f 00 01 02 00 00 - 00 00 00 05 20 00 00 00

00000030  20 02 00 00 00 00 14 00 - 00 00 02 00 01 01 00 00

00000040  00 00 00 01 00 00 00 00 - 01 02 00 00 00 00 00 05

00000050  20 00 00 00 20 02 00 00 - 01 01 00 00 00 00 00 05

00000060  12 00 00 00

 

 

 

REG-NONE

 

Sid

00000000  01 05 00 00 00 00 00 05 - 15 00 00 00 dc f4 dc 3b

00000010  00 6d 1f 07 e5 3b 2b - ed 03 00 00

 

REG-NONE

2 拒绝本地登录的对应键值

在以下的步骤中,我们将直接在注册表编辑器里查看HKLM\SECURITY\Policy\Accounts\UserSID注册表项下这三个键值的变化,以确认到底是哪个键值和登录权利有关。

5)结束该步骤前,在命令提示符下运行以下命令,确认Peter帐户的登录权利已经恢复到默认设置:

ShowUserPriv.bat Peter

步骤2:实验查看“拒绝从网络访问这台计算机”的注册表键值

1)在命令提示符下运行以下命令,给Peter帐户赋予“拒绝从网络访问这台计算机”的登录权利:

Ntrights –u Peter +r SeDenyNetworkLogonRight

2)打开注册表编辑器,可以看到该UserSID注册表项又在HKLM\SECURITY\Policy\Accounts分支下出现。定位到其下的三个子键(ActSysAcSecDescSid),分别记录这三个子键下“Default”键值的数值数据,结果如表3所示。

Default”键值

数值数据

类型

ActSysAc

00000000   80 00 00 00

REG-NONE

 

 

 

SecDesc

00000000  01 00 04 80 48 00 00 00 - 58 00 00 00 00 00 00 00

00000010  14 00 00 00 02 00 34 00 - 02 00 00 00 00 00 18 00

00000020  0f 00 0f 00 01 02 00 00 - 00 00 00 05 20 00 00 00

00000030  20 02 00 00 00 00 14 00 - 00 00 02 00 01 01 00 00

00000040  00 00 00 01 00 00 00 00 - 01 02 00 00 00 00 00 05

00000050  20 00 00 00 20 02 00 00 - 01 01 00 00 00 00 00 05

00000060  12 00 00 00

 

 

 

REG-NONE

 

Sid

00000000  01 05 00 00 00 00 00 05 - 15 00 00 00 dc f4 dc 3b

00000010  78 00 6d 1f 07 e5 3b 2b - ed 03 00 00

 

REG-NONE

3拒绝从网络访问这台计算机的对应键值

对比表2和表3,可以看到只有ActSysAc子键的“Default”键值发生了变化。

3)在命令提示符下运行以下命令,取消Peter帐户的“拒绝从网络访问这台计算机”权利:

Ntrights –u Peter -r SeDenyNetworkLogonRight

可以看到UserSID注册表项被删除。

4)结束该步骤前,在命令提示符下运行以下命令,确认Peter帐户的登录权利已经恢复到默认设置:

ShowUserPriv.bat Peter

步骤3:实验查看“在本地登录”的注册表键值

用类似的方法获知,“在本地登录”登录权利的对应注册表键值如表4所示。

Default”键值

数值数据

类型

ActSysAc

00000000  01 00 00 00

REG-NONE

 

 

 

SecDesc

00000000  01 00 04 80 48 00 00 00 - 58 00 00 00 00 00 00 00

00000010  14 00 00 00 02 00 34 00 - 02 00 00 00 00 00 18 00

00000020   0f 00 0f 00 01 02 00 00 - 00 00 00 05 20 00 00 00

00000030  20 02 00 00 00 00 14 00 - 00 00 02 00 01 01 00 00

00000040   00 00 00 01 00 00 00 00 - 01 02 00 00 00 00 00 05

00000050  20 00 00 00 20 02 00 00 - 01 01 00 00 00 00 00 05

00000060  12 00 00 00

 

 

 

REG-NONE

 

Sid

00000000  01 05 00 00 00 00 00 05 - 15 00 00 00 dc f4 dc 3b

00000010  78 00 6d 1f 07 e5 3b 2b - ed 03 00 00

 

REG-NONE

4 在本地登录的对应键值

对比表2~表4,可以看到只有ActSysAc子键的“Default”键值发生了变化。

步骤4:实验查看“从网络访问此计算机”的注册表键值

用类似的方法获知,“从网络访问此计算机”登录权利的对应注册表键值如表5所示。

Default”键值

数值数据

类型

ActSysAc

00000000  02 00 00 00

REG-NONE

 

 

 

SecDesc

00000000  01 00 04 80 48 00 00 00 - 58 00 00 00 00 00 00 00

00000010  14 00 00 00 02 00 34 00 - 02 00 00 00 00 00 18 00

00000020  0f 00 0f 00 01 02 00 00 - 00 00 00 05 20 00 00 00

00000030  20 02 00 00 00 00 14 00 - 00 00 02 00 01 01 00 00

00000040  00 00 00 01 00 00 00 00 - 01 02 00 00 00 00 00 05

00000050   20 00 00 00 20 02 00 00 - 01 01 00 00 00 00 00 05

00000060  12 00 00 00

 

 

 

REG-NONE

 

Sid

00000000  01 05 00 00 00 00 00 05 - 15 00 00 00 dc f4 dc 3b

00000010  78 00 6d 1f 07 e5 3b 2b - ed 03 00 00

 

REG-NONE

5 从网络访问此计算机的对应键值

对比表2~表5,可以看到只有ActSysAc子键的“Default”键值发生了变化。

步骤5:实验查看“通过终端服务拒绝登录”的注册表键值

用类似的方法获知,“通过终端服务拒绝登录”登录权利的对应注册表键值如表6所示。

Default”键值

数值数据

类型

ActSysAc

00000000  00 08 00 00

REG-NONE

 

 

 

SecDesc

00000000  01 00 04 80 48 00 00 00 - 58 00 00 00 00 00 00 00

00000010  14 00 00 00 02 00 34 00 - 02 00 00 00 00 00 18 00

00000020  0f 00 0f 00 01 02 00 00 - 00 00 00 05 20 00 00 00

00000030  20 02 00 00 00 00 14 00 - 00 00 02 00 01 01 00 00

00000040  00 00 00 01 00 00 00 00 - 01 02 00 00 00 00 00 05

00000050  20 00 00 00 20 02 00 00 - 01 01 00 00 00 00 00 05

00000060  12 00 00 00

 

 

 

REG-NONE

 

Sid

00000000?? 01 05 00 00 00 00 00 05 - 15 00 00 00 dc f4 dc 3b

00000010?? 78 00 6d 1f 07 e5 3b 2b - ed 03 00 00

 

REG-NONE

6过终端服务拒绝登录的对应键值

对比表2~表6,可以看到只有ActSysAc子键的“Default”键值发生了变化。

步骤6:实验查看“通过终端服务允许登录”的注册表键值

用类似的方法获知,“通过终端服务允许登录”登录权利的对应注册表键值如表7示。

Default”键值

数值数据

类型

ActSysAc

00000000  00 04 00 00

REG-NONE

 

 

 

SecDesc

</