mimikatz是一款能夠從windows中獲取記憶體,並且獲取明文密碼和ntlm雜湊值的神器,本文將介紹如何防禦這款軟體獲取密碼。
mimikatz是一款能夠從windows認證(lsass)的程序中獲取記憶體,並且獲取明文密碼和ntlm雜湊值的工具,攻擊者可以藉此漫遊內網。他們可以通過明文密碼或者傳遞hash值來提權。可能很多人會問「難道微軟就沒想過怎麼防禦嗎?」
在google上搜尋「mimikatz的防禦」,你會發現搜尋結果很有限。我找到的最好的一篇文章就是這篇。裡面提到了很多好的建議,諸如使用最近版本的活動目錄中的「受保護的使用者」使用者組(sid:s-1-5-21–525),或者是限制使用管理員,或者通過登錄檔設定不在記憶體中儲存密碼。你可以限制以系統身份執行的服務數量,或者移除除錯許可權,防止攻擊者使用mimikatz。這篇文章和其他的那些文章都要讓你安裝windows8或者8.1或者10版本。那那麼多執行windows7/2008 r2的電腦怎麼辦呢?對於這些版本的windows,你一樣有防禦手段。
首先你可以公升級你的域或林的功能級別到2012 r2。這個級別新增了個「受保護的使用者」使用者組。如果你看過technet上對它的介紹,你可能會感覺這個使用者組會防止mimikatz獲取密碼。實際情況是怎樣的呢?
注意:對於非保護使用者,mimikatz是可以獲取到ntlm雜湊的。
而當使用者被新增到保護使用者組的時候,ntlm雜湊和明文密碼都看不到了。
很顯然,這招很管用,那windows 7或者2008 r2上的保護使用者組又是怎樣的呢?
可以看到,即使加入了保護使用者組,密碼和雜湊還是可見的。
不過這台機器沒有打過補丁。實際上如果電腦不知道保護使用者組意味著什麼,那這個使用者組也就失去了意義。幸運的是,微軟已經把這個windows8.1 和2012r2有的功能移植到舊版本的windows上了。
如果你一直安裝windows更新的話,kb2871997應該已經裝好了。這個更新會把保護使用者組的功能移植到舊版的windows中。一旦安裝了這個更新,windows2008 r2就也能防禦mimikatz了。
安裝kb2871997更新後沒有把使用者放入保護使用者組就是這樣的效果
而一旦加入了保護使用者組,效果就跟2012 r2上的一樣了
這一步是可選的,因為你可能想把所有的賬號放到保護使用者組裡面,但是實際上不行。微軟反對把計算機賬號和服務賬號放到保護使用者組裡面。所以這一步是針對那些不在保護使用者組裡面的使用者的。
在windows 2012 r2上,無論使用者有沒有被新增到保護使用者組,mimikatz都沒有獲取到過密碼,而windows2008中,如果不新增到保護使用者組,mimikatz還是能夠獲取密碼的。
密碼的儲存是由乙個登錄檔設定決定的。就像保護使用者組的功能一樣,在新版本的windows(8.1+ & 2012r2+)中,密碼預設不會儲存在記憶體中。這一特性也在kb2871997更新中被移植到了老版本中。但是由於相容原因,在安裝更新後,老版本人就會預設在記憶體中儲存密碼。你只要把登錄檔中的「uselogoncredential」項設定成0就好了。
這位使用者沒有被新增到保護使用者組,但是登錄檔的值改過了,因此,mimikatz無法獲取到明文密碼。
總結一下,把active directory功能級別公升級到2012 r2,及時進行windows更新,把重要賬號加入保護使用者組,設定登錄檔值。另外,不要授予賬號過多的管理許可權。希望這篇文章能夠幫助大家防禦mimikatz。
如何防禦ddos ?
ddos是利用一批受控制的機器向一台機器發起,這樣來勢迅猛的令人難以防備,因此具有較大的破壞性。如果說以前網路管理員對抗dos可以採取過濾ip位址方法的話,那麼面對當前ddos眾多偽造出來的位址則顯得沒有辦法。所以說防範ddos變得更加困難,如何採取措施有效的應對呢?下面是一些對付它的常規方法 1 ...
如何防禦ddos攻擊?
ddos攻擊是利用一批受控制的機器向一台機器發起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性。如果說以前網路管理員對抗dos可以採取過濾ip位址方法的話,那麼面對當前ddos眾多偽造出來的位址則顯得沒有辦法。所以說防範ddos攻擊變得更加困難,如何採取措施有效的應對呢?下面是一些對付它...
如何防禦DDOS攻擊
ddos 攻擊,在網路時代如同死亡和稅收一樣不可避免。據統計,2019年上半年我國境內峰值超過10gbps的ddos 攻擊事件數量平均每月約4,300起,同比增長18 半數以上的 在受到ddos攻擊後都很難消除影響,23 的 在受到攻擊後流量損失超過70 造成不可逆的困境。隨著網路技術的發展,ddo...