防御Mimikatz攻击的方法介绍

简单先容 Mimikatz 进击

Mimikatz 在内网渗透测试中发挥着至关紧张的感化,主如果由于它能够以明文形式从内存中提取明文密码。众所周知,进击者在他们的渗透中大年夜量应用 Mimikatz,只管微软推出了安然补丁,然则在较旧的操作系统(如 Windows 2008 Server)中 Mimikatz 仍旧有效,以是在很多环境下它可能导致横向移动和域权限提升。值得留意的是,假如 Mimikatz 是从本地治理员等权限履行的,则它只能导出用户凭证和密码哈希值。

下面经由过程几种措施来防御 Mimikatz 进击:

Debug 权限设置

根据 Microsoft 的调试权限确定哪些用户可以将调试器附加到任何进程或内核。默认环境下,此权限赋予本地治理员。然而,除非他是系统进程,否则本地治理员极弗成能必要此权限。

本地治理员-调试权限

在默认安装的 Windows Server 2016 系统中,不决义调试权限的组策略,这意味着只有本地治理员具有此权限。

调试权限 – 组策略

从进击者的角度来看,可以经由过程应用 Mimikatz 以下敕令履行此反省:

privilege::debug

反省调试权限

Mimikatz 必要此权限,由于它要与 LSASS 进程交互。是以,将此权限仅设置为必要这权限的特定用户或组,并将其从本地治理员中删除是异常紧张。可以经由过程将策略定义为不包孕任何用户或组来禁用 SeDebugPrivilege。

Group Policy Management Editor -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> Debug programs -> Define these policy settings:

禁用 SeDebugPrivilege

Mimikatz-禁用调试权限

WDigest

WDigest 协议是在 WindowsXP 中被引入的,旨在与 HTTP 协议一路用于身份认证。默认环境下,Microsoft 在多个版本的 Windows(Windows XP-Windows 8.0 和 Windows Server 2003-Windows Server 2012)中启用了此协议,这意味着纯文本密码存储在 LSASS(本地安然授权子系统办事)进程中。Mimikatz 可以与 LSASS 交互,容许进击者经由过程以下敕令检索这些凭证:

sekurlsa::wdigest

Mimikatz — WDigest

Microsoft 在 Windows8.1,Windows 10,Windows Server 2012 R2 和 Windows Server 2016 系统中默认禁用此协议。然则,假如您的组织应用较旧的操作系统(如 Windows 7 和 Windows Server 2008 等),Microsoft 已宣布了一个补丁(KB2871997),容许治理员启用或禁用 WDigest 协议。打完补丁后,建议验证是否已经从注册表中禁用 WDigest。

HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigest

WDigest-禁用

Negotiate 和 UseLogonCredential 注册表项值应设置为 0 可以完全禁用此协议。应该留意的是,在较新的操作系统(Windows Server 2016,Windows 10 等)中,UseLogonCredential 注册表项不存在。当然,具有本地治理员权限的进击者可以改动注册表以启用 WDigest 并获取凭证,由于 Dave Kennedy 在他的博客中对此进行了大年夜量解释。是以,假如在禁用此协议后将这些值设置为 1,则注解存在进击。应该赓续监视注册表改动,以便在早期阶段得到警报并捕获要挟。

假如我们禁用此协议,进击者考试测验从 WDigest 检索纯文本凭证将掉败:

Mimikatz-WDigest 已禁用

LSA 保护

本地安然权限办事(LSASS)验证用户是否进行本地和远程登录,并实施本地安然策略。Windows 8.1 及更高版本的系统中,Microsoft 为 LSA 供给了额外的保护,以防止不受相信的进程读取内存或代码注入。Windows 8.1 之前的系统,进击者可以履行 Mimikatz 敕令来与 LSA 交互并检索存储在 LSA 内存中的明文密码。

sekurlsa::logonPasswords

[1] [2] [3]下一页

Mimikatz-与 LSA 交互

建议 Windows Server 2012R2 和 Windows 8.1 之前的系统应启用 LSA 保护,以防止 Mimikatz 造访 LSASS 进程的特定内存位置获取明文密码。可以经由过程创建注册表项 RunAsPPL 并设置其值为 1 来启用此保护。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA

LSA 保护已启用

在启用了 LSA 保护的系统中,进击者将收到以下差错:

Mimikatz-LSA 保护

受限定的治理模式

Microsoft 在 WindowsServer 2012 R2 中引入了一项额外的安然功能,可以有效的防止本地治理员的纯文本凭证在 RDP 会话时代存储在 LSASS 中。纵然 LSA 保护可以阻拦 Mimikatz 检索凭据,但建议在进击者禁用 LSA 保护的环境下应用此安然功能作为额外的安然保护。

应在以下位置创建「DisableRestrictedAdmin」注册表项并且设置为 0,这样可以经由过程收集 RDP 会话哀求治理员登岸系统。此外,创建「DisableRestrictedAdminOutboundCreds」注册表项值为 1,可以禁止治理员履行 RDP 的系统内部的收集身份验证。缺少此注册表项,治理员可以导出凭证。

HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa

已启用受限定的治理模式

必要在域中强制履行「对远程办事器的凭证限定委派」策略,以确保所有出站 RDP 会话都应用「RestrictedAdmin」模式,是以才不会泄露凭证。

组策略限定凭据授权

必要应用「Require Restricted Admin」设置启用该策略。

启用受限定的治理员-限定凭据授权

强制履行此策略后,治理员可以远程 RDP 到所需注册表权限的事情站和办事器,以便节制 Windows 运行一些法度榜样。

运行-受限定的治理模式切换

或者直接从敕令提示符履行它。

敕令提示符-受限定的治理模式切换

对付 Windows 2012 R2 和 Windows 8.1 之前的旧操作系统,此选项是 Microsoft 补丁的一部分 KB2871997。

凭据缓存

假如域节制器弗成用,Windows 将反省已缓存的着末一个密码哈希值,以便应用系统对用户进行身份验证。这些密码哈希值缓存在以下注册表设置中:

HKEY_LOCAL_MACHINESECURITYCache

假如履行 Mimikatz 以下敕令,可以检索这些哈希值:

lsadump::cache

默认环境下,Windows 会缓存着末 10 个密码哈希值。建议经由过程将以下安然设置来防止密码的本地缓存,将其值设置为 0。

Computer Configuration -> Windows Settings -> Local Policy -> Security Options -> Interactive Logon: Number of previous logons to cache -> 0

交互式登录-不缓存登录

进击者考试测验应用 Mimikatz 检索这些密码哈希将掉败:

Credential Caching 禁用后 Mimikatz 掉足

受保护的用户组

WindowsServer 2012 及更高版本中的 Microsoft 引入了一个名为「Protected Users」的新安然组。此组使域治理员能够保护本地治理员等有权限的用户,由于属于该组的任何帐户只能经由过程 Kerberos 对域进行身份验证。这将有助于防止 NTLS 密码哈希值或 LSAS 中的纯文本凭证泄露给敏感帐户,这些帐户平日是进击者的目标。

可以在「Active Directory 用户和谋略机」中找到「Protected Users」安然组。

ActiveDirectory-受保护的用户安然组

成为此安然组一部分的帐户将在身份验证方面自动归入 Kerberos 策略,默认环境下设置设置设备摆设摆设如下:

Kerberos 默认策略

或者,可以经由过程履行以下 PowerShell 敕令将帐户添加到「受保护的用户」组中:

Add-ADGroupMember –Identity ‘Protected Users’ –Members Jane

上一页[1] [2] [3]下一页

经由过程 PowerShell 添加受保护的用户组帐户

经由过程安装 Microsoft 的补丁 KB2871997,WindowsServer 2008 等较旧的操作系统可以拥有此安然组。

结论

经由过程应用有效的端点办理规划与 AppLocker 等利用法度榜样白名单相结合来防止恶意的可履行文件,履行一些 PowerShell 敕令和 cmd 敕令,还可以加固安然性。纵然收集进击者已经实现绕过这些节制,履行注册表改动,以便充分使用 Mimikatz 进行凭据获取,在此历程中将会天生许多事故,治理员应该监视某些注册表项,这有助于检测进击行径。

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包