文章总结： 本文详细分析了攻击者通过替换Windows系统Utilman.exe和sethc.exe文件在登录屏幕获取SYSTEM权限的攻击手法，指出该漏洞影响所有Windows版本包括域控制器。文章阐述了攻击原理、完整操作流程及隐蔽性特征，并提供了以BitLocker磁盘加密为核心的多层防御方案，包括物理安全、文件完整性监控和权限控制等措施。 综合评分： 85 文章分类： 漏洞分析,实战经验,安全建设,解决方案,终端安全

Windows服务器文件系统操纵

原创

寰宇秘阁 寰宇秘阁

寰宇密阁

2026年4月28日 10:02 安徽

在小说阅读器读本章

去阅读

引言

在前几篇文章中，我们反复强调了一个核心原则：一旦攻击者获得对服务器（或客户端）的直接物理访问，安全就无法再得到保证。这个道理看似简单，却在实际运维中被大量忽视。本文将通过一个经典的文件系统操纵攻击案例，展示攻击者如何利用Windows系统的内置功能，在登录屏幕上就获取完整的系统权限——甚至不需要输入任何密码。

1. 核心原则：物理访问 = 完全控制

这个等式适用于所有未加密的系统磁盘：

• 如果是系统盘——攻击者拥有整个操作系统
• 如果是数据盘——攻击者拥有所有数据

你可能会问：现代Windows不是自带了Windows Defender吗？文件被篡改难道不会被检测到？

理论上确实如此。但问题在于：一个拥有本地管理员权限的攻击者可以轻松禁用病毒扫描程序，或者添加排除规则，使特定文件不被标记为恶意。换句话说，杀毒软件在面对已经拥有管理员权限的攻击者时，几乎形同虚设。

更令人不安的是，攻击者甚至不需要使用Windows或Linux启动盘来绕过用户登录保护。Windows系统自身就提供了可被利用的功能。

2. Utilman.exe与sethc.exe：登录屏幕上的”后门”

这两个程序是什么？

在Windows的 C:\Windows\System32 目录下，有两个看似无害的系统工具：

| 程序 | 功能 | 触发方式 | | — | — | — | | Utilman.exe | 辅助功能管理器（为视觉障碍用户提供屏幕分辨率、字体缩放等设置） | 登录屏幕右下角的”轻松使用”按钮 | | sethc.exe | 粘滞键功能（Sticky Keys） | 连续按5次 Shift 键 |

为什么它们是安全隐患？

这两个工具有两个关键特性，组合在一起就构成了严重的安全问题：

1. 在用户登录之前就可以调用

   ——视觉障碍用户可能需要在输入密码前调整显示设置

2. 以SYSTEM账户的上下文运行

   ——拥有系统最高权限

这意味着，如果攻击者能够将这两个程序替换为其他可执行文件（比如 cmd.exe），那么在登录屏幕上触发它们时，就会以SYSTEM权限启动一个命令行窗口——完全不需要任何凭据。

攻击的隐蔽性

这种攻击还有一个额外的”优势”：由于程序是以SYSTEM用户身份运行的，日志中只会记录SYSTEM用户的活动。无论攻击者用这种方式重置密码、删除文件还是创建新账户，在审计日志中都很难追溯到具体的攻击者身份。

3. 攻击的完整流程

第一步：替换系统文件

如果攻击者已经拥有本地管理员权限，执行替换操作非常简单：

Copy c:\Windows\System32\cmd.exe c:\Windows\System32\Utilman.exe
Copy c:\Windows\System32\cmd.exe c:\Windows\System32\sethc.exe

关于TrustedInstaller的保护

从Windows 8开始，微软意识到了这个风险，将这些系统文件的所有者设置为 TrustedInstaller 用户，而非普通管理员。这意味着即使是本地管理员，默认情况下也没有写入权限。

但这个保护措施有一个致命的弱点：

本地管理员组的成员有权”夺取”文件的所有权（Take Ownership）。

攻击流程变为：

本地管理员权限
    ↓
夺取 Utilman.exe / sethc.exe 的所有权
    ↓
修改文件权限，授予自己写入权限
    ↓
用 cmd.exe 覆盖原文件
    ↓
在登录屏幕触发，获得SYSTEM权限的命令行

TrustedInstaller增加了一个步骤，但并没有从根本上阻止攻击。

第二步：在登录屏幕利用

替换完成后，攻击者（或任何能接触到登录屏幕的人）可以：

方式一：点击”轻松使用”按钮

• 在Windows登录屏幕右下角，点击辅助功能图标
• 原本应该启动Utilman.exe，现在启动的是cmd.exe
• 命令行以SYSTEM权限运行

方式二：连续按5次Shift键

• 触发粘滞键功能
• 原本应该启动sethc.exe，现在同样启动cmd.exe
• 同样以SYSTEM权限运行

第三步：为所欲为

在SYSTEM权限的命令行中，攻击者可以执行任何操作：

# 重置任意用户的密码
net user Administrator NewP@ssw0rd!

# 创建新的管理员账户
net user backdoor P@ssw0rd123 /add
net localgroup Administrators backdoor /add

# 启用被禁用的账户
net user Administrator /active:yes

# 打开计算机管理控制台，进行图形化操作
compmgmt.msc

⚠️ 域控制器上的灾难性后果

这种攻击在域控制器上同样有效！ 如果攻击者能够在域控制器的登录屏幕上执行此操作，他们可以：

• 重置任何域账户的密码（包括域管理员）
• 创建新的域管理员账户
• 修改任何组的成员关系
• 完全控制整个Active Directory域

4. 防御措施

既然这种攻击如此简单且危害巨大，我们该如何防御？

4.1 磁盘加密（最根本的防护）

| 方案 | 说明 | | — | — | | BitLocker | Windows内置的全盘加密方案，配合TPM使用效果最佳 | | BitLocker + PIN | 在启动时要求输入PIN码，提供额外的预启动认证层 |

磁盘加密确保攻击者即使拥有物理访问权限，也无法在离线状态下修改系统文件。

4.2 物理安全

• 服务器应放置在上锁的机房中
• 域控制器的物理安全应是最高优先级
• 限制对服务器控制台（包括远程控制台如iLO、iDRAC）的访问

4.3 文件完整性监控

部署文件完整性监控（FIM）工具，对关键系统文件（如 System32 目录下的可执行文件）进行持续监控：

• 检测文件哈希值变化
• 检测文件所有权变更
• 检测异常的文件替换操作

4.4 限制本地管理员权限

回到我们之前讨论过的主题——最小权限原则：

• 使用LAPS确保每台机器的本地管理员密码唯一
• 使用 S-1-5-114 限制本地管理员账户的网络访问
• 严格控制谁拥有本地管理员权限

4.5 监控与告警

即使无法完全阻止攻击，也应确保能够检测到攻击：

• 监控 Utilman.exe 和 sethc.exe 的文件哈希值变化
• 监控这些文件的所有权变更事件
• 对SYSTEM账户的异常活动设置告警
• 监控 net user 等敏感命令的执行

5. 微软为什么不修复这个问题？

你可能会问：既然这个攻击手法如此广为人知，微软为什么不彻底修复它？

原因在于这是一个功能与安全的权衡：

1. 辅助功能的合法需求：视觉障碍用户确实需要在登录前调整显示设置
2. 物理访问的前提：微软的安全模型假设物理访问已经意味着安全边界被突破
3. TrustedInstaller已是缓解措施：虽然不完美，但增加了攻击难度
4. 磁盘加密是正确答案：微软认为BitLocker才是应对物理访问威胁的正确方案

从Windows Server 2016到2019，这个”功能”一直存在，而且微软很可能会继续保留它。

总结

| 要点 | 说明 | | — | — | | 攻击原理 | 替换Utilman.exe/sethc.exe为cmd.exe，在登录屏幕获取SYSTEM权限 | | 前提条件 | 本地管理员权限（用于替换文件）或物理访问+离线修改 | | 影响范围 | 所有Windows版本，包括域控制器 | | 隐蔽性 | 日志仅记录SYSTEM用户活动，难以追溯 | | 核心防御 | BitLocker磁盘加密 + 物理安全 + 文件完整性监控 | | 微软态度 | 不视为漏洞，认为应通过磁盘加密解决 |

这个案例再次印证了安全领域的一条铁律：安全是一个体系，而非单一措施。仅仅依靠登录密码保护系统是远远不够的——你还需要磁盘加密、物理安全、权限控制、文件监控等多层防御的协同配合。永远不要假设攻击者不会获得物理访问权限，而是要确保即使他们获得了，也无法造成不可挽回的损害。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：寰宇密阁 寰宇秘阁 寰宇秘阁《Windows服务器文件系统操纵》