调查新闻 您的当前位置:主页 > 调查新闻 >
我如何防止“神器”Mimikatz窃取系统密码?
2019-10-08 11:41
 
Mimikatz是一个可以获取Windows内存和明文密码以及NTLM哈希值的工件。本文介绍如何防止此软件获取密码。
Mimikats简介
Mimikatz是一个工具,可以记住Windows身份验证过程(LSASS),获取纯文本密码,并哈希一个攻击者可以用来遍历内部网的NTLM。
您可以使用明文密码或传递哈希值来授予权限。
许多人可能会问微软是否在考虑如何保护它。
在Google上寻找mimikatz保护。您可以看到搜索结果有限。
这是我发现的最好的文章。
使用最新的受Active Directory保护的用户组(SID:S-1-5-21525),限制管理员的使用,不通过注册表设置设置内存等。它被描述。请保存您的密码。
您可以限制作为系统运行的服务量,或者删除调试权限以防止攻击者使用mimikatz。
对于本文和其他文章,您可以安装Windows 8或8。
一个或十个版本。
那么如何在Windows 7/2008 R2上运行计算机?
这些版本的Windows具有相同的防御。
防御措施
第一步:Active Directory 2012 R2功能级别。
首先,您可以将域或林功能级别更新为2012 R2。
此级别添加受保护的用户组。
如果您在TechNet上看过它,该用户组可能会阻止memikatz获取密码。
目前的情况如何?
注意:对于不受保护的用户,mimikatz可以获取NTLM哈希值。
将用户添加到受保护的用户组时,不会显示NTLM哈希值和明文密码。
显然,这个技巧非常有用,那么Windows 7或2008 R2受保护的用户组是什么?
如您所见,即使您添加受保护的用户组,也会显示密码和哈希。
但是,此计算机未应用任何修补程序。
实际上,如果计算机不知道保护用户组意味着什么,则用户组失去意义。
幸运的是,微软采用了这款Windows 8。
1和2012 R2功能已移植到早期版本的Windows。
第2步:安装KB 287 1997
如果已安装Windows更新,则应该已安装KB2871997。
此更新能够保护用户组到早期版本的Windows。
安装此更新后,Windows 2008 R2还会保护mimikatz。
安装KB2871997更新后,该用户不属于受保护的用户组。
添加到一组受保护用户时,效果与2012 R2中的相同。
第三步:消除内存中的内存空间。
建议将所有帐户放在一组受保护的用户中,但这不起作用。此过程是可选的。
Microsoft反对将计算机帐户和服务帐户放入受保护的用户组。
因此,此过程适用于不属于受保护用户组的用户。
在Windows 2012 R2中,无论用户是否已添加到受保护的用户组,mimikatz都未获取密码。在Windows 2008中,即使未将密码添加到受保护用户组,mimikatz也可以检索密码。
密码存储位置由注册设置决定。
在新版本的Windows中(8.与用户组保护功能一样。
在1 + 2012R2 +)中,默认情况下密码不存储在内存中。
此功能也已移植到更新KB2871997的早期版本。
但是,出于兼容性原因,在安装更新后,默认情况下,密码会存储在早期版本中。
只需将注册表中的UseLogonCredential元素设置为0即可。
HKEY_LOCAL_MACHINE System CurrentControlSet Control SecurityProviders WDigest
此用户未添加到受保护用户组,但由于注册表值更改,Mimikatz无法检索明文密码。
结论
总之,将Active Directory功能级别更新为2012 R2,根据时间更新Windows,将重要帐户添加到受保护用户组,并设置注册表的值。
此外,不要给您的帐户太多的管理权限。
我希望这篇文章能帮助保护自己免受Mimikatz的伤害。


 
上一篇:治疗囊性疾病
下一篇:没有了

腾讯分分彩