： 攻击者可能通过修改组策略，强制显示Guest账户或者解除了原本隐藏Guest账户的设置。 这个在哪里排查是否组策略被更改

要排查组策略是否被更改，可以按照以下步骤进行检查：

1. 打开组策略编辑器：

• 按 Win + R 键打开“运行”对话框，输入 gpedit.msc，然后回车打开组策略编辑器。

2. 检查本地计算机策略：

• 计算机配置 -> 管理模板 -> 系统 -> 用户账户

• 在组策略编辑器中，检查以下路径：

• 在“用户账户”分支下，寻找与Guest账户相关的策略，例如“帐户：来宾账户状态”（User Account Control: Guest Account status），检查其是否被启用或禁用。

3. 检查用户配置策略：

• 用户配置 -> 管理模板 -> 系统 -> 登录

• 用户配置 -> 管理模板 -> 控制面板 -> 用户账户

• 用户配置下的策略也有可能影响Guest账户显示与否，但通常影响较小，也可以适当浏览一下，如：

4. 检查安全设置：

• 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项

• 导航至以下路径：

• 查看与账户权限相关的策略设置，确认Guest账户是否有异常权限。

5. 检查域级组策略（如适用）：

• 如果服务器加入到域环境中，还需要检查域级别的组策略设置。这需要在域控制器上通过“组策略管理”（Group Policy Management Console, GPMC）工具进行检查。

在检查过程中，特别留意那些被启用或配置过的策略，以及策略描述中提及会影响Guest账户显示或权限的设置。若有异常，将其恢复至默认或安全状态。

另外，也可以通过事件查看器查看系统、安全和应用程序日志，查找是否有与组策略修改相关的事件记录。在系统遭到入侵的情况下，可能需要进行详尽的安全审计和系统恢复工作。

在早期的Windows系统中，确实有一个组策略设置叫做“帐户：来宾账户状态”（User Account Control: Guest Account status），但在Windows Server 2008 R2及以后的系统中，这个设置的位置有所不同。

在Windows Server 2008 R2中，检查来宾账户的状态和相关设置，可以参考以下路径：

1. 打开组策略编辑器：

• 按 Win + R 键打开“运行”对话框，输入 gpedit.msc，然后回车打开组策略编辑器。

2. 检查来宾账户是否启用：

• 转至“计算机配置” -> “Windows 设置” -> “安全设置” -> “本地策略” -> “安全选项”。

• 在这里查找类似于“帐户：来宾账户状态”（Guest Account status）的策略，它可能直接叫作“账户：来宾账户的来宾帐户状态”（Account: Guest account status）。

3. 检查是否显示在登录屏幕上：

• 有些情况下，来宾账户是否显示在登录屏幕上是通过不同的策略控制的，但由于在较新的Windows版本中，来宾账户默认是禁用和隐藏的，且通常不会通过组策略显式设定，所以可能没有明确的策略来控制这一点。

若仍然找不到相关的组策略，确认Guest账户状态的最直接方法是通过“计算机管理”中的“本地用户和组”检查Guest账户属性，查看其是否被启用。此外，确保系统更新至最新状态，并参考微软官方文档以获取最新和最准确的信息。