server 2008安全-删除用户时,无法在内置帐户上运行此操作

本人遇到的问题是 在管理员组用中删除GEUST时出现无法在内置帐户上运行此操作

一般情况写黑客在入侵服务器后都会添加新的用户或者和设置后门程序.如果大家在使用服务器的过程中发现,出现了不能删除的用且账号不能够正常删除提示无法在内置账号进行此操作。

如果管理员遇到这样的情况的话就需要注意了你的服务器可能被入侵了。

一般黑客都将这种的添加账号的手段称为”不死账户”   本人遇到的问题是 在管理员组用中删除GEUST时出现无法在内置帐户上运行此操作

首先我们来了解建立不死账户的方法，

1.黑客其将guest用户放到administrators组中，当管理administrator登录后删除administrators组中的guest账户，保存时提示“无法在内置账户上运行此操作”
(系统自带的账户是不能删除的只能禁用黑客就是利用了guest不能删除的原理)
解决方法：把它隶属管理员组的属性去掉，禁用账户，这样就可以了  这一步我试过 还是不行

第一条 本人不行 如果大家可以的话就OK 了 我是用下面一条 解决我的服务器是 2008 SERVER

2. 从另外一台服务器也是2008系统的电脑找到HKEY_LOCAL_MACHINE\SAM\SAM，单击鼠标右键在弹出的子菜单中选择权限REGEDIT (WIN 2000的操作系统运行regedt32，找到HKEY_LOCAL_MACHINE\SAM\SAM，选择 安全→权限)
然后把你现在所使用的用户附上权限完全控制，再刷新一下就可以看到SAM下面的项了。然后到guest账号对应的000001F5的项，鼠标右键导出并保存该文件，名字随意。
然后把保持的文件复制到被黑客入侵的的机器上，然后双击导入到注册表。
（然后觉得麻烦也可以，把下面的值直接复制过去保存也可以）

代码如下:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5]
"F"=hex:02,00,01,00,00,00,00,00,08,f7,e3,76,8e,e3,cd,01,00,00,00,00,00,00,00,\
  00,28,34,be,a3,8e,e3,cd,01,00,00,00,00,00,00,00,00,b0,28,5b,16,61,de,ce,01,\
  f5,01,00,00,01,02,00,00,15,02,00,00,00,00,00,00,05,00,00,00,00,00,00,00,00,\
  00,00,00,31,00,31,00
"V"=hex:00,00,00,00,b0,00,00,00,02,00,01,00,b0,00,00,00,0a,00,00,00,00,00,00,\
  00,bc,00,00,00,00,00,00,00,00,00,00,00,bc,00,00,00,22,00,00,00,00,00,00,00,\
  e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,\
  00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,\
  00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,\
  00,00,00,00,00,00,00,00,00,e0,00,00,00,15,00,00,00,a8,00,00,00,f8,00,00,00,\
  08,00,00,00,01,00,00,00,00,01,00,00,04,00,00,00,00,00,00,00,04,01,00,00,04,\
  00,00,00,00,00,00,00,08,01,00,00,04,00,00,00,00,00,00,00,0c,01,00,00,04,00,\
  00,00,00,00,00,00,01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,44,00,00,\
  00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\
  00,00,00,00,02,c0,14,00,ff,ff,1f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\
  00,4c,00,03,00,00,00,00,00,14,00,1b,03,02,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,\
  00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,24,02,00,00,\
  01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,\
  00,00,00,20,02,00,00,47,00,75,00,65,00,73,00,74,00,00,00,9b,4f,65,67,be,5b,\
  bf,8b,ee,95,a1,8b,97,7b,3a,67,16,62,bf,8b,ee,95,df,57,84,76,85,51,6e,7f,10,\
  5e,37,62,66,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,00,01,00,01,02,00,00,07,00,00,00,02,00,01,00,02,00,01,00,02,00,01,00,02,\
  00,01,00

现在即可打开账户管理，从administrators组中即可删除了。

以上方法解决的可行的，关于第一种方法禁用guest，可是禁用还可能会被黑客重新开启，还有就是guest账号老赖在administrators组里很碍眼。

还有一种就是把guest账号从注册表里删除，不过guest账号再特殊的时候还是有它的用途的，不建议删除。而且这种种了木马的你直接从注册表里删除的话，你再重新打开我的电脑管理里的账户管理，会每次弹出安全映射之类的报错。
所以再对注册表操作之前一定要备份好相应的项，以防万一时恢复注册表。

安全措施：
1.guest账号禁用。
2.guest账号和administrator账号重命名为自定义名字。
3.给administrator账号重设一个复杂的密码
4.检查系统漏洞并更新补丁。