隐藏用户

macOS 中的每个用户帐户都有一个与之关联的用户 ID。
在创建用户时，可以为该帐户指定用户 ID。
/Library/Preferences/com.apple.loginwindow 的 Hide500Users 属性可以在登录屏幕上隐藏用户 ID 500 及以下的用户。
通过创建用户 ID 小于 500 的账户并启用此属性（将其设置为 Yes)，攻击者可以更容易地隐藏其用户帐户：sudo dscl . -create /Users/username UniqueID 401 .

缓解

如果计算机已加入域，那么组策略可以帮助限制创建或隐藏用户。
类似地，阻止修改/Library/Preferences/com.apple.loginwindow。Hide500Users 值将强制所有用户可见。

检测

这种技术可以防止新用户在登录屏幕显示，但是新用户的所有其他标志仍然存在。
用户仍然获得 home 目录并将出现在身份验证日志中。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn