Net Userコマンド – ローカルWindowsユーザーアカウントを管理する

チュートリアル
Windows

Net Userコマンド – ローカルWindowsユーザーアカウントの管理。Windowsはさまざまなネイティブコマンドラインとツールを提供していますが、netコマンドは最も単純なものの一つです。NetコマンドはWindows NT以来存在し、今もWindowsと共にあります。

netコマンドスイートを使用すると、管理者はcmdプロンプトを介してさまざまなタスクを迅速に管理でき、面倒なタスクを自動化できます。Netコマンドは、悪意のある行為者(土地の利用)によっても頻繁に使用されるため、netコマンドの知識を知っているだけでプラットフォームチームに利益があります。インシデント対応チームにも役立ちます。

netコマンドの範囲が広いにもかかわらず、この記事では、特にWindows上のローカルアカウントを管理するためのトップのnetコマンドについて詳しく説明し、これらのコマンドがどのように機能するかを示しています。

コマンドの完全なリストについては、Microsoftのドキュメントをチェックしてください。

また、WindowsでNSLookupコマンドを使用する方法(例)も参照してください。

Net Userコマンドを使用してユーザーを作成、変更、削除します。

ネットユーザーは、我々が始める場所であり、最もよく知られています。エンジニアリングの経験を持つ人々にとって、このコマンドは非常に馴染み深いものです。

ネットユーザーを使用して新しいユーザーを作成する

攻撃者はこれらのコマンドを探し、パスワードが平文であるため、このコマンドを実行した後は履歴を消去し、これがWindowsイベントログにあることを理解してください。

net user [username] [password] /add

また読むInfraSOSによるAzure ADゲストレポート&監査ツールを試してみてください

すべてのユーザーを表示する

このコマンドを使用すると、ホスト上のすべてのユーザーを表示できます。これは、ホスト上に存在するユーザーアカウントの数や種類を確認したい場合に役立ちます。

net user

特定のユーザーの詳細を表示する

すべてのユーザーをリストアップする代わりに、特定のユーザーを対象にします。これにより、グループのメンバーシップ、パスワード、使用状況の詳細など、ユーザーに関するさまざまな情報を確認できます。

net user [username]

また読むActive Directoryユーザーログオンログオフレポートツール(高度なフィルター)

ユーザーのパスワードを変更

ここでは、ユーザーのパスワードを変更およびリセットできます。これは本人または管理者権限を持つ人のみが行えます。

net user [username] [newpassword]

ユーザーの有効化

このコマンドは、現在無効になっている場合、アカウントを有効にします。これにより、アカウントをホストで使用できるようになります。

net user [username] /active:yes

また読むInfraSOS Active Directory無効ユーザーレポートツールを試してみてください

ユーザーの無効化

これにより、アカウントがホストで使用されなくなります。

net user [username] /active:no

アカウントの有効期限の設定

アカウントを手動で無効にしたくない場合は、代わりに期間を設定して期限切れにすることができます。これにより、特に一時アカウントに対して自動化が可能になります。

net user [username] /expires:01/01/2024

ユーザーの削除

アカウントの処理が完了したら、それらを完全に削除するのが良い習慣です。これにより、誤って再度有効になった場合の予期せぬ結果が軽減されます。

net user [username] /delete

また、アクティブディレクトリ(AD)イベントログとそれらが追跡する内容を表示する

ローカルグループの管理

ここでは、ローカルグループとやり取りするコマンドを見ていきます。

すべてのローカルグループのリスト表示

このコマンドを使用すると、ホスト上のすべての現在のローカルグループを表示できます。ほとんどの場合、デフォルトのグループのほとんどは年月を経て一貫しているため、管理者はこの出力を把握しているでしょう。

net localgroup

ローカルグループの作成

デフォルトのグループを使用したくない場合は、独自のグループを作成して入れ子にしてください。グループを介したアクセスの管理は良い習慣です。

net localgroup [groupname] /add

メンバーをグループに追加

このコマンドを使用すると、グループのメンバーシップを管理し、ユーザーをグループに追加できます。

net localgroup [groupname] [username] /add

また、PowerShellを使用してアクティブディレクトリグループのメンバーを取得し、CSVにエクスポートする

グループのメンバーシップのリスト表示

このコマンドは、グループの現在のメンバーシップを表示することができます。

net localgroup [groupname]

グループメンバーシップの削除

このコマンドは、ユーザーをグループから削除します。

net localgroup [groupname] [username] /delete

グループの削除

このコマンドは、不要になった場合にグループを削除することができます。

net localgroup [groupname] /delete

さらに読むPowerShell(GPO)を使用してActive Directoryグループポリシーレポートを作成する

ローカルユーザーアカウントポリシーの管理

ここでは、ローカルユーザーのアカウントポリシーを調整するコマンドを見ていきます。

ローカルアカウントポリシーの表示

このコマンドは、現在のアカウントポリシーと適用されている内容を表示します。

net accounts

最小パスワード長の設定

これにより、より強力なパスワードを強制することができます。ほとんどのセキュリティフレームワークは、長さの重要性を強調しており、総当たり攻撃やパスワードクラッキング攻撃を防ぐために長さを設定することが重要です。

net accounts /minpwlen:14

最大パスワード有効期限の設定

このコマンドは、最大パスワード有効期限のためのものです。この例では、30日が経過すると、ユーザーはパスワードを変更する必要があります。

net accounts /maxpwage:30

また読むアクティブディレクトリのパスワードポリシーの設定と管理方法

最小パスワード有効期間の設定

このコマンドは、ユーザーがパスワードを変更する前に2日間待たなければならないことを意味します。

net accounts /minpwage:2

一意性要件の設定

このコマンドは、パスワードの一意性要件を設定します。これは、システムが最後のX個のパスワードを記憶し、ユーザーが再利用するのを防ぎます。

net accounts /uniquepw:5

ロックアウトしきい値の設定

このコマンドは、ロックアウトしきい値をXに設定します。これは、ユーザーのパスワードがX回入力されると、アカウントがロックアウトされます。その後、管理者がユーザーをロック解除する必要があります。または、ロックアウト期間後に使用できます。

net accounts /lockoutthreshold:3

ロックアウト期間の設定

ロックアウトされたアカウントを自動的に解除する場合は、期間を設定します。ここでは、期間が経過するとアカウントが自動的に解除されます。以下の例では、30分です。

net accounts /lockoutduration:30

お時間をいただきありがとうございます。Net Userコマンド – ローカルWindowsユーザーアカウントの管理

また読むWindows Serverのハードニング: Windows Serverのセキュリティ設定とポリシーの構成

Net Userコマンド – ローカルWindowsユーザーアカウントの管理 結論

Windowsのnetコマンドのアーセナルは、ローカルアカウントとシステム構成を管理するための強力でスクリプト可能なインターフェースを明らかにします。これらのコマンドは、管理者がローカルアカウントを潜在的に自動化された方法で管理するのに役立ちます。WindowsエンジニアリングにはPowerShellなどこれらのアカウントを管理するための多くのオプションがあるかもしれませんが、netコマンドの一貫性とシンプルさはそれをリストの上位に保っています。

Source:
https://infrasos.com/net-user-command-manage-local-windows-users-accounts/