Net User-Befehl – Verwaltung lokaler Windows-Benutzerkonten

Tutorials
Windows

Net User-Befehl – Verwalten von lokalen Windows-Benutzerkonten. Während Windows eine Reihe von nativen Befehlszeilen und Werkzeugen bietet, ist der Netz Befehl einer der einfachsten. Netz-Befehle existieren seit Windows NT und sind seitdem bei Windows geblieben. 

Die Netz-Befehlsgruppe ermöglicht Administratoren, verschiedene Aufgaben schnell über die Eingabeaufforderung zu verwalten und hilft Administratoren, mühsame Aufgaben zu automatisieren. Netz-Befehle werden auch stark von böswilligen Akteuren (Living off the Land) verwendet, daher profitiert nicht nur Ihr Plattformteam vom Wissen über Netz-Befehle, sondern auch Ihr Incident-Response-Team. 

Trotz der weiten Verbreitung von Netz-Befehlen gehen wir in diesem Beitrag speziell auf die wichtigsten Netz-Befehle zur Verwaltung lokaler Konten unter Windows ein und zeigen anhand verschiedener Beispiele, wie diese Befehle funktionieren.

Für die vollständige Liste der Befehle sehen Sie sich die Dokumentation von Microsoft an.

Auch Lesen Wie man den NSLookup-Befehl unter Windows verwendet (Beispiele)

Erstellen, Ändern und Löschen von Benutzern mit dem Net User-Befehl

Netzwerkbenutzerist der Ausgangspunkt und am bekanntesten. Für diejenigen mit Erfahrung in der Ingenieurarbeit ist dieser Befehl sehr vertraut.

Erstellen eines neuen Benutzers mit Net User

Angreifer suchen nach diesen Befehlen, da das Passwort im Klartext vorliegt. Denken Sie daran, den Verlauf zu löschen, nachdem Sie diesen Befehl ausgeführt haben, und verstehen Sie, dass dies in den Windows-Ereignisprotokollen erfolgt. 

net user [username] [password] /add

Auch lesen Sie Probieren Sie das Azure AD-Gastberichte- &-Überwachungstool von InfraSOS aus

Anzeigen aller Benutzer

Dieser Befehl ermöglicht es Ihnen, alle Benutzer auf dem Host anzuzeigen. Dies ist nützlich, wenn Sie sehen möchten, wie viele oder welche Benutzerkonten auf dem Host vorhanden sind.

net user

Anzeigen spezifischer Benutzerdetails

Anstatt alle Benutzer aufzulisten, nehmen Sie einen bestimmten Benutzer ins Visier. Dies ermöglicht es Ihnen, verschiedene Informationen über den Benutzer zu sehen, einschließlich Gruppenzugehörigkeit, Passwort- und Nutzungsdaten.

net user [username]

Auch lesen Sie Schauen Sie sich das Active Directory Benutzer An- und Abmeldungsberichtstool (Erweiterte Filterung) an

Passwort eines Benutzers ändern

Hier können Sie das Passwort des Benutzers ändern und zurücksetzen. Dies kann nur von der Person selbst oder von Personen mit Administratorrechten erfolgen. 

net user [username] [newpassword]

Benutzer aktivieren

Dieser Befehl aktiviert das Konto, wenn es derzeit deaktiviert ist. Das ermöglicht die Verwendung des Kontos auf dem Host. 

net user [username] /active:yes

Auch lesen Sie Probieren Sie das InfraSOS Active Directory Deaktivierte Benutzer Berichtstool aus

Benutzer deaktivieren

Dies deaktiviert das Konto, so dass es nicht mehr auf dem Host verwendet wird. 

net user [username] /active:no

Kontoablaufdatum festlegen

Wenn Sie ein Konto nicht manuell deaktivieren möchten, können Sie stattdessen ein Intervall festlegen, in dem es abläuft. Dadurch wird eine gewisse Automatisierung ermöglicht, insbesondere für temporäre Konten.

net user [username] /expires:01/01/2024

Löschen eines Benutzers

Nach Abschluss des Kontos ist es ratsam, sie vollständig zu entfernen. Dadurch werden unerwartete Ergebnisse reduziert, falls sie versehentlich wieder aktiviert werden. 

net user [username] /delete

Auch Lesen View Active Directory (AD) Ereignisprotokolle und was sie verfolgen

Verwalten von lokalen Gruppen

Hier finden Sie Befehle, die mit lokalen Gruppen interagieren.

Auflisten aller lokalen Gruppen

Dieser Befehl ermöglicht es Ihnen, alle aktuellen lokalen Gruppen auf dem Host anzuzeigen. In den meisten Fällen wäre der Administrator über diese Ausgabe informiert, da die meisten Standardgruppen im Laufe der Jahre konsistent waren.

net localgroup

Erstellen einer lokalen Gruppe

Wenn Sie die Standardgruppen nicht verwenden möchten, erstellen Sie Ihre eigenen und beginnen Sie mit dem Verschachteln. Die Verwaltung des Zugriffs über eine Gruppe ist eine gute Praxis. 

net localgroup [groupname] /add

Hinzufügen eines Mitglieds zu einer Gruppe

Dieser Befehl ermöglicht es Ihnen, die Gruppenmitgliedschaft zu verwalten und Benutzer zur Gruppe hinzuzufügen.

net localgroup [groupname] [username] /add

Auch Lesen Mitglieder der Active Directory-Gruppe abrufen und mit PowerShell als CSV exportieren

Auflisten der Gruppenmitglieds

Dieser Befehl ermöglicht es Ihnen, die aktuelle Mitgliedschaft einer Gruppe anzuzeigen.

net localgroup [groupname]

Gruppenmitgliedschaft entfernen

Dieser Befehl entfernt den Benutzer aus der Gruppe.

net localgroup [groupname] [username] /delete

Gruppe löschen

Dieser Befehl ermöglicht es Ihnen, die Gruppe zu entfernen, wenn sie nicht mehr benötigt wird.

net localgroup [groupname] /delete

Auch LesenErstellen von Active Directory-Gruppenrichtlinienberichten mit PowerShell (GPO)

Verwalten von lokalen Benutzerkontorichtlinien

Hier betrachten wir Befehle, die die Kontorichtlinien für Ihre lokalen Benutzer anpassen.

Anzeigen lokaler Kontorichtlinien

Dieser Befehl zeigt Ihnen, welche aktuellen Kontorichtlinien gelten und angewendet werden.

net accounts

Festlegen der minimalen Passwortlänge

Dies ermöglicht die Durchsetzung stärkerer Passwörter. Die meisten Sicherheitsframeworks haben die Bedeutung der Länge hervorgehoben, um Brute-Force- oder Passwortknackangriffe abzuschrecken.

net accounts /minpwlen:14

Festlegen des maximalen Passwortalters

Dieser Befehl betrifft das maximale Passwortalter. In diesem Beispiel muss der Benutzer sein Passwort ändern, sobald 30 Tage vergangen sind.

net accounts /maxpwage:30

Auch lesen So richten Sie die Active Directory-Passwortrichtlinie ein und verwalten sie

Setzen Sie das Mindestalter für das Passwort

Dieser Befehl setzt das Mindestalter für das Passwort auf 2 Tage, was bedeutet, dass der Benutzer zunächst 2 Tage warten muss, bevor er sein Passwort ändern darf.

net accounts /minpwage:2

Setzen Sie die Einzigartigkeitsanforderung

Dieser Befehl setzt die Einzigartigkeitsanforderung des Passworts. Das bedeutet, dass das System sich an die letzten X Passwörter erinnert und verhindert, dass der Benutzer sie erneut verwendet.

net accounts /uniquepw:5

Setzen Sie die Sperrschwellenwert

Dieser Befehl setzt den Sperrschwellenwert auf X. Das bedeutet, dass wenn das Passwort des Benutzers X Mal eingegeben wird, wird das Konto gesperrt. Ein Administrator muss dann den Benutzer entsperren, bevor er es verwenden kann, oder nach Ablauf der Sperrdauer.

net accounts /lockoutthreshold:3

Setzen Sie die Sperrdauer

Wenn Sie das automatische Entsperren gesperrter Konten automatisieren möchten, setzen Sie die Dauer. Hier wird das Konto automatisch entsperrt, sobald die Dauer erreicht ist. Im folgenden Beispiel sind es 30 Minuten.

net accounts /lockoutduration:30

Vielen Dank für Ihre Zeit. Net User-Befehl – Verwalten von lokalen Windows-Benutzerkonten

Auch lesen Windows Server-Härtung: Konfigurieren von Sicherheitseinstellungen und Richtlinien für Windows Server

Net User-Befehl – Verwalten von lokalen Windows-Benutzerkonten Abschluss

Das Arsenal der net-Befehle in Windows offenbart eine leistungsstarke, skriptfähige Schnittstelle zur Verwaltung lokaler Konten und Systemkonfigurationen. Diese Befehle helfen Administratoren, ihre lokalen Konten potenziell automatisiert zu verwalten. Während das Windows-Engineering viele Optionen zur Verwaltung dieser Konten wie PowerShell haben mag, steht die Konsistenz und Einfachheit der net-Befehle nach wie vor hoch auf der Liste.

Source:
https://infrasos.com/net-user-command-manage-local-windows-users-accounts/