憑證轉(zhuǎn)儲(chǔ)是攻擊者永久獲取網(wǎng)站訪(fǎng)問(wèn)的一項(xiàng)重要技術(shù)。他們通過(guò)網(wǎng)絡(luò)釣魚(yú)潛入工作網(wǎng)站后，利用管理員管理和監(jiān)視網(wǎng)絡(luò)的常用方法來(lái)獲取公開(kāi)憑據(jù)。

在Windows設(shè)備網(wǎng)絡(luò)上使用這五個(gè)技巧，減少企業(yè)組織遭受憑證轉(zhuǎn)儲(chǔ)攻擊的漏洞風(fēng)險(xiǎn)。

一、減少憑證重用

首先，查看自己的網(wǎng)絡(luò)管理。因工作之外的任務(wù)登錄了多少次網(wǎng)絡(luò)?網(wǎng)絡(luò)賬戶(hù)密碼重復(fù)登錄了多少次?

NIST建議企業(yè)定期檢查自己的密碼是否在公開(kāi)的密碼數(shù)據(jù)庫(kù)里。如果在網(wǎng)絡(luò)上使用過(guò)的密碼出現(xiàn)在密碼泄露列表中，都會(huì)使用戶(hù)的網(wǎng)絡(luò)更容易受到攻擊。

Troy Hunt發(fā)布了一個(gè)數(shù)據(jù)庫(kù)，包含了超過(guò)5億個(gè)被盜用的密碼。用戶(hù)可以使用各種資源將這些暴露的密碼與自己網(wǎng)絡(luò)中使用的密碼進(jìn)行比較。例如，用戶(hù)可以使用密碼過(guò)濾器以查看網(wǎng)絡(luò)上正在使用的密碼。然后依據(jù)組策略給這些密碼做專(zhuān)門(mén)的核查。

二、管理本地管理員的密碼

管理本地管理員密碼的重要性不言而喻。本地管理員密碼在整個(gè)網(wǎng)絡(luò)中不應(yīng)該一樣?？紤]到部署本地管理員密碼解決方案(LAPS)，可以安裝Lithnet LAPS Web應(yīng)用程序，該應(yīng)用程序提供了一個(gè)簡(jiǎn)單的易于移動(dòng)的Web界面，用于訪(fǎng)問(wèn)本地管理員密碼。

攻擊者知道，一旦他們獲得了網(wǎng)絡(luò)內(nèi)部的訪(fǎng)問(wèn)權(quán)限并獲取了本地管理員密碼的哈希值，他們便可以在整個(gè)網(wǎng)絡(luò)中暢通無(wú)阻。擁有隨機(jī)分配的密碼意味著攻擊者無(wú)法橫行。

三、審查和審核NTLM的使用

如果用戶(hù)使用的是新技術(shù)LAN管理器(NTLM)，則攻擊者可以使用NTLM哈希來(lái)訪(fǎng)問(wèn)其網(wǎng)絡(luò)。依靠LM或NTLM身份驗(yàn)證，結(jié)合任何通信協(xié)議(SMB，F(xiàn)TP，RPC，HTTP等)使用，會(huì)使用戶(hù)有攻擊的風(fēng)險(xiǎn)。企業(yè)內(nèi)部設(shè)備防御較弱，攻擊者容易入侵。從Windows 7 / Windows Server 2008 R2開(kāi)始，默認(rèn)情況下將禁用NTLMv1和LM身份驗(yàn)證協(xié)議，但是現(xiàn)在用戶(hù)應(yīng)該重新檢查并確保執(zhí)行了NTLMv2，可以使用PowerShell查看網(wǎng)絡(luò)中NTLM的使用。

在組策略中，值設(shè)置如下：

1. 選擇“開(kāi)始”。
2. 選擇“運(yùn)行”。
3. 輸入GPedit.msc。
4. 選擇“本地計(jì)算機(jī)策略”。
5. 選擇“計(jì)算機(jī)配置”。
6. 選擇“ Windows設(shè)置”。
7. 選擇“安全設(shè)置”。
8. 選擇“本地策略”。
9. 選擇“安全選項(xiàng)”
10. 滾動(dòng)到策略“網(wǎng)絡(luò)安全：LAN Manager身份驗(yàn)證級(jí)別”。
11. 右鍵單擊“屬性”。
12. 選擇“僅發(fā)送NTLMv2響應(yīng)/拒絕LM和NTLM”。
13. 單擊“確定”并確認(rèn)設(shè)置更改。

注冊(cè)表設(shè)置值如下：

1. 打開(kāi)regedit.exe并導(dǎo)航到HKLM \ System \ CurrentControlSet \ control \ LSA。單擊LSA。如果在右側(cè)窗格中看不到LMCompatibilityLevel，則可能需要添加新的注冊(cè)表項(xiàng)。
2. 選擇“編輯”。
3. 選擇“新建”。
4. 選擇“ REG_DWORD”。
5. 將“新值#1”替換為“ LMCompatibilityLevel”。
6. 雙擊右側(cè)窗格中的LMCompatibilityLevel。
7. 輸入“ 5”代表更改的級(jí)別。您可能需要升級(jí)打印機(jī)上的固件以支持網(wǎng)絡(luò)中的NTLMv2。

四、管理“復(fù)制目錄更改”的訪(fǎng)問(wèn)控制列表

攻擊者比用戶(hù)更了解如何使用他們域中的賬戶(hù)。他們經(jīng)常會(huì)濫用Microsoft Exchange權(quán)限組。因此，用戶(hù)需要注意域中關(guān)鍵功能對(duì)安全組和訪(fǎng)問(wèn)控制列表(ACL)的更改。

當(dāng)攻擊者修改域?qū)ο蟮腁CL時(shí)，將創(chuàng)建一個(gè)ID為5136的事件。然后，用戶(hù)可以使用PowerShell腳本查詢(xún)Windows事件日志，以在日志中查找安全事件ID 5136：

Get-WinEvent -FilterHashtable @{logname='security'; id=5136} 

然后，使用ConvertFrom-SDDL4，它將SDDL字符串轉(zhuǎn)換為可讀性更高的ACL對(duì)象。Server 2016及更高版本提供了一個(gè)額外的審核事件，該事件記錄了原始和修改后的描述符。

五、監(jiān)視與Isass.exe交互的意外進(jìn)程

最后，監(jiān)視lsass.exe進(jìn)程中的意外峰值。域控制器將lsass.exe進(jìn)程用作域事務(wù)的常規(guī)過(guò)程的一部分。拒絕服務(wù)和惡意流量可能隱藏在這些進(jìn)程中。確定域控制器中的正常狀態(tài)是監(jiān)視攻擊時(shí)間的關(guān)鍵。在域控制器上運(yùn)行Active Directory數(shù)據(jù)收集器，基本要求在于網(wǎng)絡(luò)正常運(yùn)行的可視化。

用戶(hù)要使攻擊者始終無(wú)法入侵，首先要對(duì)自己的網(wǎng)絡(luò)及其資源使用有良好的基本了解。多花一些時(shí)間來(lái)理解，這樣攻擊者就不會(huì)占上風(fēng)。