PJzhang:如何缓解Mimikatz从Windows2008 R2内存中读取域控密码?
猫宁!!!
参考:
https://xz.aliyun.com/t/4180
https://www.anquanke.com/post/id/156299
https://www.cnblogs.com/Fluorescence-tjy/p/11222495.html
Mimikatz能够从内存中提取出明文形式的密码,因此成为内网渗透的一个利器。
针对Windows2008 R2这种老版本的系统,微软专门推出一个补丁KB2871997。
微软有关KB2871997补丁的通告:
https://support.microsoft.com/zh-cn/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a
https://docs.microsoft.com/zh-cn/security-updates/SecurityAdvisories/2014/2871997?redirectedfrom=MSDN
下面是5项缓解措施,可以增加攻击者的渗透成本。
1--安装微软KB2871997补丁
https://download.microsoft.com/download/E/E/6/EE61BDFF-E2EA-41A9-AC03-CEBC88972337/Windows6.1-KB2871997-v2-x64.msu
2--修改本地安全策略两项
(1)本地安全策略--本地策略--用户权限分配--调试程序设置为无人可调试或者本地最高管理员(而非域控管理员)可以调试,用于防范命令privilege::debug提权
(2)本地安全策略--安全选项--之前登录到缓存的次数--设置为0,原来是10,用于防范账号密码在内存中的缓存
3--修改注册表两项
(1)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest,将Negotiate以及UseLogonCredential键值设为0,从而禁止该协议。避免mimikatz命令与LSASS交互,因为密码明*文存储在LSASS中。
(2)HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,创建RunAsPPL,值设置为1。避免mimikatz命令与LSA交互。
4--受限管理员模式两项
(1)HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa,创建DisableRestrictedAdmin,值设置为0,创建DisableRestrictedAdminOutboundCreds,值设置为1
(2)组策略管理--Computer Configurations--Policies--Administrative Templates--System--Credential Delegation,
并设置Restrict Delegation of credential to remote servers为开启,限制模式为Require Restricted Admin,避免泄露RDP会话凭证
5--禁止纯文本密码存储
Computer Configuration--Security Settings--Account Policies--Password Policy ,关闭Store Passwords using reversible encryption,避免明文密码获取。
攻击者如果获取了本地管理员权限,一样可以通过修改注册表,修改本地安全策略的方式,再次实现窃取内存中的密码,不过注册表和安全策略的修改也会暴露攻击者的行动路径。
PJzhang:如何缓解Mimikatz从Windows2008 R2内存中读取域控密码?的更多相关文章
- 数据库的应用——直接从内存中读取osg节点 (转)
数据库的应用——直接从内存中读取osg节点 目的:要从数据库中读取节点数据到osg. 一开始的方法是这样的,每当我要添加一个数据库中的节点数据时,首先把它读取到内存中,然后写入一个文件,最后再次从文件 ...
- ffmpeg 从内存中读取数据(或将数据输出到内存)
更新记录(2014.7.24): 1.为了使本文更通俗易懂,更新了部分内容,将例子改为从内存中打开. 2.增加了将数据输出到内存的方法. 从内存中读取数据 ffmpeg一般情况下支持打开一个本地文件, ...
- ffmpeg 从内存中读取数据(或将数据输出到内存)(转)
更新记录(2014.7.24): 1.为了使本文更通俗易懂,更新了部分内容,将例子改为从内存中打开. 2.增加了将数据输出到内存的方法. 从内存中读取数据 ffmpeg一般情况下支持打开一个本地文件, ...
- ffmpeg 从内存中读取数据 .
http://blog.csdn.net/leixiaohua1020/article/details/12980423 ——————————————————————————————————————— ...
- FFMPEG内存操作(二)从内存中读取数及数据格式的转换
相关博客列表: FFMPEG内存操作(一) avio_reading.c 回调读取数据到内存解析 FFMPEG内存操作(二)从内存中读取数及数据格式的转换 FFmpeg内存操作(三)内存转码器 在雷神 ...
- C# 操作地址 从内存中读取写入数据(初级)
本示例以植物大战僵尸为例, 实现功能为 每1秒让阳光刷新为 9999.本示例使用的游戏版本为 [植物大战僵尸2010年度版], 使用的辅助查看内存地址的工具是 CE. 由于每次启动游戏, 游戏中阳光 ...
- php 如何在有限的内存中读取大文件
突然遇到了一个要读取超过80M文件的需求,很悲剧的,不管是file_get_content还是file什么的,都会将读取的文件一次性加载到内存中. 正常情况下,我们可以使用fseek来读取,好处就是不 ...
- openssl从内存中读取私钥进行签名
麻痹的找了好久,真恶心! #include <stdio.h> #include <stdlib.h> #ifdef WIN32 #include <windows.h& ...
- Android简易实战教程--第七话《在内存中存储用户名和密码》
首先是配置文件: <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns ...
随机推荐
- Django的 select_related 和 prefetch_related 函数对 QuerySet 查询的优化
引言 在数据库存在外键的其情况下,使用select_related()和prefetch_related()很大程度上减少对数据库的请求次数以提高性能 1.实例准备 模型: from django.d ...
- JavaScript的7大基本类型
- windows OpenCV 2.4.9 Python 2.7配置
1 .下载 OpenCV 2.4.9 .下载OpenCV-2.4.9,使用方便 下载地址 2. OpenCV-自解压文件,直接运行.即可解压.解压到想要的opencv文件夹里E:\Programme\ ...
- ZOJ4019——贪心&&DP
题目 链接 大意:有一个容量为$c$的背包,有$n$个$s_1$类物体,价值都为$k_1$,体积分别为$s_{1,1}, s_{1,2}, \cdots, s_{1,n}$,有$m$个$s_2$类物体 ...
- Qt5 使用lambda
c11新特性中加入了lambda表达式,所以Qt 也支持 需在.pro文件中加入 CONFIG += c++11 m_timer = new QTimer(); m_timer->start() ...
- 【EXE报错】win10运行C#程序保存报错:HTTP 无法注册URL ,进程不具有此命名空间的访问权限
在win10系统运行C#程序出现以下报错 异常信息 [1]异常信息:HTTP 无法注册 URL http://+:13000/Core/Real/HandheldService/.进程不具有此命名空间 ...
- SQL Server孤立用戶
如何解决孤立用户问题 http://blog.csdn.net/zzl1120/article/details/7394468 SQL SERVER孤立用户问题解决方法 http://www.2cto ...
- Rhel7.4系统部署cobbler
cobbler安装 一.系统信息: [root@openstack ~]# cat /etc/redhat-release Red Hat Enterprise Linux Server releas ...
- POJ3764
题目 POJ3764 The xor-longest Path 原题传送门 主要思路: 1.求出每个点到根节点(这里是树,所以直接取0)路径上所有权值xor和为d[i],则任意两点间路径xor和则为 ...
- springboot 配置跨越访问
import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.H ...