凭证转储是攻击者永久获取网站访问权限的一项重要技术。通过网络钓鱼渗透工作网站后,他们利用管理员管理和监控网络的常用方法来获取暴露的凭据。在您的Windows设备网络上使用这五个技巧来降低您的组织对凭据转储攻击的脆弱性。1.减少凭证重用首先,检查您的网络管理。您有多少次为了工作以外的任务登录网络?您重复使用网络帐户密码登录了多少次?NIST建议公司定期检查其密码是否在公共密码数据库中。任何在网络上使用过的密码都会出现在泄露的密码列表中,使用户的网络更容易受到攻击。TroyHunt发布了一个包含超过5亿个泄露密码的数据库。用户可以使用各种资源将这些暴露的密码与他们自己网络中使用的密码进行比较。例如,用户可以使用密码过滤器查看网络上使用的密码。然后根据组策略对这些密码进行特殊检查。2.管理本地管理员密码管理本地管理员密码的重要性不言而喻。本地管理员密码在整个网络中不应相同。考虑到本地管理员密码解决方案(LAPS)的部署,可以安装LithnetLAPSWeb应用程序,它提供了一个简单的移动友好Web界面,用于访问本地管理员密码。攻击者知道,一旦他们获得网络内部访问权限并获得本地管理员密码的哈希值,他们就可以在整个网络中畅通无阻地访问。随机分配密码意味着攻击者无法得逞。3.审查和审核NTLM的使用如果用户正在使用新技术LAN管理器(NTLM),攻击者可以使用NTLM哈希来访问他们的网络。依赖LM或NTLM身份验证,与任何通信协议(SMB、FTP、RPC、HTTP等)结合使用,会使用户面临攻击风险。企业内部设备防御薄弱,攻击者容易入侵。从Windows7/WindowsServer2008R2开始,默认情况下禁用NTLMv1和LM身份验证协议,但用户现在应重新检查并确保强制执行NTLMv2。PowerShell可用于查看网络中NTLM的使用情况。在组策略中,值设置如下:选择开始。选择运行。输入GPedit.msc。选择“本地计算机策略”。选择计算机配置。选择“Windows设置”。选择安全设置。选择本地策略。选择“安全选项”滚动到策略“网络安全:LANManager身份验证级别”。右键单击属性。选择“仅发送NTLMv2响应/拒绝LM和NTLM”。单击确定并确认设置更改。注册表设置值如下:打开regedit.exe,定位到HKLM\System\CurrentControlSet\control\LSA。单击LSA。如果您在右窗格中没有看到LMCompatibilityLevel,您可能需要添加一个新的注册表项。选择编辑。选择新建。选择“REG_DWORD”。将“新值#1”替换为“LMCompatibilityLevel”。双击右窗格中的LMCompatibilityLevel。输入“5”作为变化水平。您可能需要升级打印机固件以支持网络上的NTLMv2。4.管理“复制目录更改”的访问控制列表攻击者比用户更了解如何使用其域中的帐户。他们经常滥用MicrosoftExchange权限组。因此,用户需要了解域中关键功能的安全组和访问控制列表(ACL)的变化。当攻击者修改域对象的ACL时,会创建ID为5136的事件。然后,用户可以使用PowerShell脚本查询Windows事件日志,以在日志中查找安全事件ID5136:Get-WinEvent-FilterHashtable@{logname='security';id=5136}然后,使用ConvertFrom-SDDL4,它转换SDDL字符串转换为更具可读性的ACL对象。Server2016及更高版本提供了一个额外的审计事件,用于记录原始和修改的描述符。5.监控与Isass.exe交互的意外进程最后,监控lsass.exe进程中的意外峰值。域控制器使用lsass.exe进程作为域事务正常过程的一部分。拒绝服务和恶意流量可以隐藏在这些进程中。确定域控制器中的健康状况是监控攻击时间的关键。在域控制器上运行ActiveDirectory数据收集器的基本要求是了解网络的健康状况。让攻击者对用户无懈可击,首先要对他们的网络及其资源使用情况有一个很好的基本了解。花额外的时间去理解,这样攻击者就不会占上风。
