凭据转储是攻击者永久性获得网页访问的一项关键技术性。她们根据网络垂钓潜进工作网站后,运用管理人员管理方法和监控网络的常见方式来获得公布凭证。
在Windows机器设备网络上应用这五个方法,降低企业的管理遭到凭据转储进攻的缺陷风险性。
一、降低凭据器重
最先,查询自已的网络管理方法。因工作中以外的每日任务登陆了几回网络?网络帐户密码反复登陆了几回?
NIST提议公司定期维护自已的密码是不是在公布的密码数据库查询里。假如在网络上应用过的密码发生在密码泄漏目录中,都是会使用户的网络更易于遭到进攻。
Troy Hunt公布了一个数据库查询,包括了高于5亿次失窃用的密码。用户可以采用多种資源将这种曝露的密码与自身网络中采用的密码开展较为。例如,用户可以应用密码过滤装置以查询网络上已经应用的密码。随后根据组策略给这种密码做专业的审查。
二、管理方法当地管理人员的密码
管理方法当地管理人员密码的重要程度显而易见。当地管理人员密码在全部网络中不应该一样。充分考虑布署当地管理人员密码解决方法(LAPS),可以安裝Lithnet LAPS Web应用软件,该应用程序带来了一个简便的便于挪动的Web页面,用以浏览当地管理人员密码。
攻击者了解,一旦她们取得了网络内部结构的访问限制并获得了当地管理人员密码的哈希值,她们便可以在全部网络中畅行无阻。有着任意配置的密码代表着攻击者没法猖狂。
三、核查和审批NTLM的应用
假如用户应用的是新技术应用LAN管理工具(NTLM),则攻击者可以应用NTLMhach来浏览其网络。借助LM或NTLM身份认证,融合一切通讯协议(SMB,FTP,RPC,HTTP等)应用,会使用户有进攻的风险性。企业内部机器设备防御力较差,攻击者非常容易侵入。从Windows 7 / Windows Server 2008 R2逐渐,默认设置状况下将禁止使用NTLMv1和LM身份认证协议书,可是如今用户应当如何查验并保证实行了NTLMv2,可以应用PowerShell查询网络中NTLM的应用。
在组策略中,值设定如下所示:
注册表文件设定值如下所示:
四、管理方法“拷贝文件目录变更”的访问控制列表
攻击者比用户更掌握怎么使用她们域中的帐户。她们常常会乱用Microsoft Exchange管理权限组。因而,用户必须留意域中重要作用对安全性组和访问控制列表(ACL)的变更。
当攻击者改动域目标的ACL时,将建立一个ID为5136的事情。随后,用户可以应用PowerShell脚本制作查看Windows事情日志,以在日志中搜索安全事故ID 5136:
随后,应用ConvertFrom-SDDL4,它将SDDL字符串数组变换为易读性更高一些的ACL目标。Server 2016及更高一些版本号给予了一个附加的审批事情,该事件记录了初始和调整后的描述符。
五、监控与Isass.exe互动的出现意外过程
最终,监控lsass.exe过程中的出现意外最高值。域控制器将lsass.exe过程作为域事务管理的基本全过程的一部分。拒绝服务攻击和故意总流量很有可能潜藏在那些过程中。明确域控制器中的常规情况是监控进攻時间的重要。在域控制器上运作Active Directory数据信息回收器,基本上规定取决于网络一切正常运转的数据可视化。
用户要使攻击者自始至终没法侵入,最先要对自身的网络以及資源应用有优良的基础掌握。多花一些时间段来了解,那样攻击者就不容易有优势。