猫宁!!!
参考:
https://xz.aliyun.com/t/4180
https://www.anquanke.com/post/id/156299
https://www.cnblogs.com/Fluorescence-tjy/p/11222495.html
Mimikatz能够从内存中提取出明文形式的密码,因此成为内网渗透的一个利器。
针对Windows2008 R2这种老版本的系统,微软专门推出一个补丁KB2871997。
微软有关KB2871997补丁的通告:
https://support.microsoft.com/zh-cn/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a
https://docs.microsoft.com/zh-cn/security-updates/SecurityAdvisories/2014/2871997?redirectedfrom=MSDN
下面是5项缓解措施,可以增加攻击者的渗透成本。
1--安装微软KB2871997补丁
https://download.microsoft.com/download/E/E/6/EE61BDFF-E2EA-41A9-AC03-CEBC88972337/Windows6.1-KB2871997-v2-x64.msu
2--修改本地安全策略两项
(1)本地安全策略--本地策略--用户权限分配--调试程序设置为无人可调试或者本地最高管理员(而非域控管理员)可以调试,用于防范命令privilege::debug提权
(2)本地安全策略--安全选项--之前登录到缓存的次数--设置为0,原来是10,用于防范账号密码在内存中的缓存
3--修改注册表两项
(1)HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigest,将Negotiate以及UseLogonCredential键值设为0,从而禁止该协议。避免mimikatz命令与LSASS交互,因为密码明*文存储在LSASS中。
(2)HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,创建RunAsPPL,值设置为1。避免mimikatz命令与LSA交互。
4--受限管理员模式两项
(1)HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa,创建DisableRestrictedAdmin,值设置为0,创建DisableRestrictedAdminOutboundCreds,值设置为1
(2)组策略管理--Computer Configurations--Policies--Administrative Templates--System--Credential Delegation,
并设置Restrict Delegation of credential to remote servers为开启,限制模式为Require Restricted Admin,避免泄露RDP会话凭证
5--禁止纯文本密码存储
Computer Configuration--Security Settings--Account Policies--Password Policy ,关闭Store Passwords using reversible encryption,避免明文密码获取。
攻击者如果获取了本地管理员权限,一样可以通过修改注册表,修改本地安全策略的方式,再次实现窃取内存中的密码,不过注册表和安全策略的修改也会暴露攻击者的行动路径。