创建账户

具有足够访问级别的攻击者可以创建本地系统或域帐户。
这些帐户可用持久化，不需要在系统上部署持久远程访问工具。
net user 命令可用于创建本地或域帐户。

缓解

使用并强制执行多因素身份验证。
遵循防止或限制攻击者对可能用于在环境中创建特权帐户的有效帐户的访问的指南。
如果正确锁定访问级别，在系统上创建本地帐户的攻击者可能在网络中只具有有限的访问权限。
这些帐户可能只用于对单个系统的持久性，它们的用处取决于它们所驻留的系统工具。
确保关键服务器的安全配置正确以保护域控制器。
配置访问控制和防火墙以限制对这些系统的访问。
不要让域管理员帐户用于可能将其暴露给非特权系统上的潜在攻击者的日常操作。

检测

收集在网络中创建帐户时的数据。
在 Windows 系统和域控制器上创建用户帐户时生成事件 ID 4720。
定期审核域和本地系统帐户，以检测可能由攻击者创建的可疑帐户。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn