Как защитить локальные учетные записи Windows от атак через net user

Если злоумышленник уже может открыть командную строку на компьютере, net user для него — простой способ быстро понять, какие локальные учетные записи есть на системе, кто входит в администраторы и можно ли что-то изменить. Проблема не в самой команде. Проблема в том, что на многих Windows-компьютерах локальные учетные записи живут «как получится»: одинаковые пароли, лишние администраторы, старые пользователи и слабый контроль изменений.

Защита от атак через net user строится не на одном запрете, а на наборе простых мер: убрать лишние локальные администраторы, не использовать одинаковые пароли, ограничить возможность запускать команды, включить аудит и регулярно проверять, что в учетных записях не появилось ничего подозрительного.

Почему net user опасен именно для локальных учетных записей

Команда net user не взламывает Windows сама по себе. Она показывает и меняет то, к чему у текущего пользователя уже есть доступ. Если человек или вредоносный процесс работает с правами обычного пользователя, он увидит часть информации. Если получены права локального администратора — возможностей становится намного больше.

Через net user можно:

• посмотреть список локальных пользователей;
• узнать, активна ли учетная запись;
• посмотреть дату последнего изменения пароля и срок его действия;
• изменить пароль локального пользователя, если есть административные права;
• создать новую учетную запись;
• добавить пользователя в группу локальных администраторов;
• отключить или включить учетную запись.

На практике это выглядит не как «хакерская магия», а как быстрая разведка. Например, команда net user покажет список пользователей, а net localgroup administrators — кто имеет административные права. Дальше атакующий может попробовать подобрать пароль, воспользоваться уже полученными правами или создать запасную учетную запись для повторного входа.

Что именно нужно защищать

Локальные учетные записи в Windows бывают трех типов, и подход к ним разный.

Тип учетной записи	Где встречается	Главный риск	Что делать в первую очередь
Встроенный Administrator	Есть почти в каждой Windows	Популярная цель для подбора и использования одинаковых паролей	Отключить, если не используется; пароль хранить через LAPS/Windows LAPS
Обычные локальные пользователи	Рабочие станции, домашние ПК, старые системы	Слабые пароли, забытые учетные записи, лишние права	Удалить ненужных пользователей, проверить группы, усилить парольную политику
Локальные администраторы	Любая Windows, особенно в корпоративной сети	Компрометация одного пароля дает доступ ко многим компьютерам	Не использовать одинаковые пароли, ограничить круг администраторов, включить аудит

Главная мысль простая: если пароль локального администратора одинаковый на десятке компьютеров, net user становится не проблемой, а удобной точкой входа. На одном зараженном ПК атакующий может узнать или сменить пароль и двигаться дальше.

Шаг 1. Уберите лишние учетные записи

Первое, что я бы сделал на любом компьютере, — посмотрел список пользователей и удалил все, что не нужно. Старые учетные записи часто остаются после увольнения сотрудников, установки программ или временной помощи подрядчика. Они редко используются, поэтому пароли там обычно слабые или давно не менялись.

Проверить пользователей можно командой:

net user

Посмотреть, кто входит в локальные администраторы, можно так:

net localgroup administrators

Если видите пользователя, которого не знаете, не торопитесь сразу удалять его с рабочей машины, на которой кто-то работает. Сначала уточните назначение учетной записи. Иногда это сервисная учетная запись для бухгалтерской программы, кассового ПО, старой базы или оборудования. Но если учетная запись явно лишняя — ее лучше удалить или отключить.

Для домашней системы правило проще: один основной пользователь с правами администратора, остальные — обычные пользователи без прав администратора. Для офиса — отдельная административная учетная запись только для администрирования, а повседневная работа должна идти из обычной учетной записи.

Шаг 2. Не оставляйте локальных администраторов «на всех одинаковыми»

Один из самых частых сценариев атаки выглядит так: атакующий получает доступ к одному компьютеру, извлекает или подбирает пароль локального администратора, а затем пробует этот же пароль на других машинах сети. Если пароль одинаковый — проблема масштабируется очень быстро.

Что делать:

• не использовать один и тот же пароль локального администратора на разных компьютерах;
• не хранить пароль в Excel, блокноте, почте или на стикере;
• не давать пароль локального администратора обычным пользователям;
• использовать Windows LAPS или другой управляемый способ хранения паролей;
• регулярно менять пароли локальных администраторов.

Для доменной среды самый практичный вариант — Windows LAPS. Он позволяет автоматически управлять паролями локальных администраторов, хранить их защищенно и не держать один пароль на всех компьютерах. Для небольшого офиса без домена можно использовать парольный менеджер и индивидуальный пароль для каждого ПК, но это уже требует дисциплины.

Шаг 3. Ограничьте круг людей, которые могут менять учетные записи

net user становится опасным, когда его может выполнить администратор или процесс с административными правами. Поэтому ключевой вопрос: кто вообще имеет право быть локальным администратором?

Проверьте группу администраторов не только на одном компьютере, но и по типовой конфигурации, если машин несколько. В корпоративной среде это лучше делать через групповую политику. В небольшой сети можно пройтись по компьютерам вручную и сравнить списки.

Хорошая практика:

• локальная группа Administrators должна содержать только нужные учетные записи;
• обычные пользователи не должны входить в Administrators;
• для администрирования лучше использовать отдельные административные учетные записи;
• доступ к локальным администраторам должен выдаваться по заявке или понятному правилу;
• после увольнения сотрудника его учетная запись должна сразу исчезать из администраторов.

Если пользователь каждый день работает под администратором, любая программа, сайт или вложение, которые он запустит, потенциально получают больше прав, чем нужно. Это сильно упрощает атаки, где дальше уже используется net user, net localgroup или другие системные команды.

Шаг 4. Включите парольную политику, но без фанатизма

Слабый пароль локальной учетной записи — прямая дорога к проблеме. Даже если вы ограничили администраторов, обычный пользователь с паролем 123456 или названием компании останется слабым местом.

Минимальные требования, которые я считаю разумными:

• пароль не должен совпадать с именем пользователя, названием компании или простым словом;
• для администраторов — длинный уникальный пароль или парольная фраза;
• для рабочих станций — включить блокировку после нескольких неудачных попыток входа;
• не требовать менять пароль каждые две недели без причины — это часто приводит к паролям вроде Password2024!, Password2025!;
• использовать разные пароли для разных ролей: обычный пользователь, локальный администратор, доменный администратор.

В Windows это настраивается через локальную политику безопасности: secpol.msc → Политики учетных записей → Политика паролей и Политика блокировки учетной записи. В домене — через групповую политику домена.

С блокировкой тоже нужно быть аккуратным. Если поставить слишком низкий порог, например 3 попытки и короткую блокировку, в шумной сети можно получить волну случайных блокировок. Если поставить слишком мягкую политику, подбор станет проще. Для большинства рабочих мест разумно начинать с 5–10 неудачных попыток и блокировки на 10–30 минут, а дальше смотреть по событиям безопасности.

Шаг 5. Включите аудит изменений учетных записей

Защита от net user не ограничивается запретом. Нужно видеть, если кто-то создал пользователя, изменил пароль, добавил человека в администраторы или включил отключенную учетную запись.

В Windows события изменений учетных записей обычно попадают в журнал безопасности. Для локальных компьютеров это раздел Windows Logs → Security. В доменной среде события лучше собирать централизованно: в SIEM, Windows Event Forwarding или хотя бы в отдельный каталог логов.

На что смотреть:

• создание новой локальной учетной записи;
• изменение пароля локального пользователя;
• добавление пользователя в группу Administrators;
• включение встроенного Administrator;
• массовые неудачные попытки входа;
• вход под локальным администратором с необычного компьютера.

Если событие произошло ночью, с рабочей станции бухгалтера или с компьютера, где раньше администрирование не выполнялось, — это повод проверить компьютер, а не просто закрыть событие.

Как понять, что через net user уже пытались что-то сделать

Сама команда net user не всегда оставляет яркий след, особенно если атакующий просто просматривает пользователей. Но изменения учетных записей обычно фиксируются. Поэтому проверяют не только факт запуска команды, а результат: появились ли новые пользователи, изменились ли пароли, поменялся ли состав администраторов.

Признаки подозрительной активности:

• появился пользователь с похожим именем, например admin2, support, test;
• в администраторах оказался старый пользователь;
• включена встроенная учетная запись Administrator;
• у обычного пользователя внезапно появилось право администратора;
• изменился пароль локальной административной учетной записи;
• в описании учетной записи появилась странная заметка;
• на нескольких компьютерах появились одинаковые новые пользователи.

Если нашли такого пользователя, не удаляйте его сразу, если компьютер может понадобиться для расследования. Сначала сделайте скриншоты или выгрузку списка пользователей, проверьте время создания учетной записи, журналы входа и запущенные процессы. Удалять можно после того, как поняли масштаб и сохранили доказательства.

Какие меры дают самый заметный эффект

Мера	Что закрывает	Сложность	Когда особенно нужна
Удаление лишних пользователей	Сокращает число целей для подбора и создания новых прав	Низкая	Почти всегда, особенно на старых ПК
Ограничение локальных администраторов	Не дает обычному пользователю менять учетные записи через net user	Средняя	В офисах и на рабочих станциях
Windows LAPS	Убирает одинаковые пароли локальных администраторов	Средняя	В доменной или управляемой среде
Парольная политика и блокировка	Затрудняет подбор пароля	Низкая	Для всех учетных записей с локальным входом
Аудит изменений учетных записей	Помогает быстро заметить создание пользователя или добавление в администраторы	Средняя	В корпоративной сети и на важных ПК
Ограничение запуска команд	Затрудняет выполнение net user обычным пользователем или скриптом	Высокая	Там, где уже есть базовая защита и нужен контроль приложений

Что выбрать в зависимости от ситуации

Домашний компьютер. Оставьте одну основную учетную запись с правами администратора, включите пароль или PIN, отключите гостевые и старые учетные записи. Не работайте каждый день под администратором, если в этом нет необходимости. Для дома этого обычно достаточно, чтобы закрыть самые очевидные риски.

Маленький офис без домена. Сначала приведите в порядок список пользователей на каждом ПК. Уберите лишних администраторов. Задайте уникальные пароли локальных администраторов и запишите их в надежный парольный менеджер. Включите базовую парольную политику и аудит изменений учетных записей. Раз в месяц проверяйте группу Administrators хотя бы на критичных компьютерах.

Офис с доменом Active Directory. Не надейтесь на ручную настройку каждого ПК. Используйте групповые политики, Windows LAPS, централизованный сбор событий и регулярную проверку локальных администраторов. Отдельно проверьте, не добавляются ли пользователи в локальные администраторы через старые GPO Preferences с сохраненными паролями.

Компьютер с удаленным доступом. Если на него можно попасть по RDP, VPN или другому удаленному каналу, требования должны быть выше. Не открывайте RDP напрямую в интернет, используйте MFA, ограничьте круг пользователей с правом удаленного входа и обязательно отслеживайте попытки входа. Для таких машин локальные администраторы должны быть под особым контролем.

Компьютер для кассы, терминала или специализированного ПО. Здесь часто встречаются сервисные учетные записи и старые программы. Не удаляйте их без проверки с поставщиком ПО. Но права таких учетных записей нужно минимизировать: им не нужен полный доступ к администрированию только потому, что «так установили».

Как быстро проверить один компьютер

1. Откройте командную строку или PowerShell от имени администратора.
2. Выполните net user и выпишите всех пользователей.
3. Выполните net localgroup administrators и проверьте состав администраторов.
4. Откройте lusrmgr.msc и посмотрите, не включены ли странные или старые учетные записи.
5. Проверьте, не отключена ли парольная политика и нет ли пользователей без пароля.
6. Откройте журнал безопасности и посмотрите события создания пользователей, изменения паролей и добавления в группы.
7. Если компьютер в домене — сравните результат с групповой политикой, а не только с локальной настройкой.

Такой чек-лист занимает немного времени, но часто сразу показывает проблемы: забытого пользователя, лишнего администратора, включенный Administrator или одинаковый пароль на нескольких машинах.

Частые ошибки при защите локальных учетных записей

Оставляют встроенного Administrator включенным «на всякий случай». Это плохой «на всякий случай». Если учетная запись нужна для аварийного доступа, лучше использовать управляемый пароль через LAPS и включать ее только по понятной процедуре.

Переименовывают Administrator и считают проблему решенной. Переименование может немного снизить шум в логах и усложнить простой подбор, но это не защита. Атакующий все равно может найти SID администратора или работать с группой Administrators напрямую.

Дают всем пользователям права администратора. Это самый удобный путь к заражению. Пользователю часто нужны обычные программы, но не право менять системные учетные записи, службы и настройки безопасности.

Используют один пароль локального администратора на всех ПК. Это классическая ошибка. Один скомпрометированный компьютер превращается в ключ ко всей сети.

Включают аудит, но никто его не смотрит. Сам по себе журнал ничего не защищает. Должно быть правило: кто смотрит события, как часто и что делать при подозрительном изменении.

Блокируют учетные записи слишком жестко. Если после трех неудачных попыток пользователь блокируется на несколько часов, это может создать больше проблем, чем пользы. Настройку нужно проверять в реальной среде.

Удаляют старые учетные записи без понимания, где они используются. На рабочих станциях с бизнес-приложениями это может сломать доступ к программе или задаче планировщика. Сначала проверьте назначение учетной записи.

Практические рекомендации

Если нужно быстро и без лишней бюрократии усилить защиту, я бы действовал так:

• сначала проверил состав локальных администраторов на всех важных компьютерах;
• удалил или отключил ненужных пользователей;
• отключил встроенного Administrator, если он не используется;
• заменил одинаковые пароли локальных администраторов на уникальные;
• включил Windows LAPS там, где есть домен или централизованное управление;
• настроил аудит создания пользователей и изменения групп;
• проверил, не имеют ли обычные пользователи права устанавливать программы и менять системные настройки;
• отдельно проверил компьютеры с удаленным доступом.

Если компьютеров много, не пытайтесь решить все вручную за один вечер. Начните с самых опасных зон: компьютеры с доступом в интернет, рабочие места бухгалтерии, серверы, машины с удаленным доступом и ПК, где пользователи имеют локальные административные права.

Когда стоит ограничивать запуск cmd и PowerShell

Иногда хочется просто запретить cmd.exe и PowerShell, чтобы никто не запускал net user. Идея понятная, но как единственная мера она слабая. Командную строку можно заменить PowerShell, wmic, скриптами, MMC-оснастками или вредоносной программой. Кроме того, администраторам и специалистам поддержки командная строка нужна.

Ограничивать запуск команд имеет смысл, если уже выполнены базовые меры: нет лишних администраторов, пароли управляются нормально, включен аудит. Тогда можно использовать AppLocker, Windows Defender Application Control или политики ограничения PowerShell для сценариев, где обычным пользователям действительно не нужны командные инструменты.

Важно разделять два подхода. Для обычного пользователя задача — не дать ему случайно или намеренно запускать административные команды. Для администратора задача — оставить инструменты, но контролировать, кто и когда ими пользуется. Запрет команд для администраторов часто просто мешает работе и не решает корень проблемы.

Минимальный набор защиты

Если коротко, защита локальных учетных записей от атак через net user должна выглядеть так:

• минимум лишних пользователей;
• минимум локальных администраторов;
• уникальные пароли локальных администраторов;
• отключенный или управляемый встроенный Administrator;
• аудит изменений учетных записей и групп;
• регулярная проверка, особенно после увольнений, смены подрядчиков и установки нового ПО.

Не нужно пытаться «запретить net user» как отдельную кнопку. Нужно сделать так, чтобы даже при запуске этой команды атакующий не нашел полезных целей: лишних администраторов, одинаковых паролей, старых пользователей и незащищенных изменений.

Итог

net user опасен не сам по себе, а как быстрый инструмент разведки и изменения локальных учетных записей. Самый практичный способ защиты — сократить количество пользователей, убрать лишних администраторов, отказаться от одинаковых паролей и включить контроль изменений.

Начните с проверки команд net user и net localgroup administrators на критичных компьютерах. Затем приведите в порядок права, настройте уникальные пароли или Windows LAPS, включите аудит и договоритесь о регулярной проверке. Это даст больше пользы, чем попытка просто запретить одну команду.