日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
避免憑證轉(zhuǎn)儲(chǔ)攻擊的5個(gè)技巧

憑證轉(zhuǎn)儲(chǔ)是攻擊者永久獲取網(wǎng)站訪問的一項(xiàng)重要技術(shù)。他們通過網(wǎng)絡(luò)釣魚潛入工作網(wǎng)站后,利用管理員管理和監(jiān)視網(wǎng)絡(luò)的常用方法來獲取公開憑據(jù)。

貴池網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián),貴池網(wǎng)站設(shè)計(jì)制作,有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為貴池上千多家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站建設(shè)要多少錢,請(qǐng)找那個(gè)售后服務(wù)好的貴池做網(wǎng)站的公司定做!

在Windows設(shè)備網(wǎng)絡(luò)上使用這五個(gè)技巧,減少企業(yè)組織遭受憑證轉(zhuǎn)儲(chǔ)攻擊的漏洞風(fēng)險(xiǎn)。

一、減少憑證重用

首先,查看自己的網(wǎng)絡(luò)管理。因工作之外的任務(wù)登錄了多少次網(wǎng)絡(luò)?網(wǎng)絡(luò)賬戶密碼重復(fù)登錄了多少次?

NIST建議企業(yè)定期檢查自己的密碼是否在公開的密碼數(shù)據(jù)庫里。如果在網(wǎng)絡(luò)上使用過的密碼出現(xiàn)在密碼泄露列表中,都會(huì)使用戶的網(wǎng)絡(luò)更容易受到攻擊。

Troy Hunt發(fā)布了一個(gè)數(shù)據(jù)庫,包含了超過5億個(gè)被盜用的密碼。用戶可以使用各種資源將這些暴露的密碼與自己網(wǎng)絡(luò)中使用的密碼進(jìn)行比較。例如,用戶可以使用密碼過濾器以查看網(wǎng)絡(luò)上正在使用的密碼。然后依據(jù)組策略給這些密碼做專門的核查。

二、管理本地管理員的密碼

管理本地管理員密碼的重要性不言而喻。本地管理員密碼在整個(gè)網(wǎng)絡(luò)中不應(yīng)該一樣??紤]到部署本地管理員密碼解決方案(LAPS),可以安裝Lithnet LAPS Web應(yīng)用程序,該應(yīng)用程序提供了一個(gè)簡單的易于移動(dòng)的Web界面,用于訪問本地管理員密碼。

攻擊者知道,一旦他們獲得了網(wǎng)絡(luò)內(nèi)部的訪問權(quán)限并獲取了本地管理員密碼的哈希值,他們便可以在整個(gè)網(wǎng)絡(luò)中暢通無阻。擁有隨機(jī)分配的密碼意味著攻擊者無法橫行。

三、審查和審核NTLM的使用

如果用戶使用的是新技術(shù)LAN管理器(NTLM),則攻擊者可以使用NTLM哈希來訪問其網(wǎng)絡(luò)。依靠LM或NTLM身份驗(yàn)證,結(jié)合任何通信協(xié)議(SMB,F(xiàn)TP,RPC,HTTP等)使用,會(huì)使用戶有攻擊的風(fēng)險(xiǎn)。企業(yè)內(nèi)部設(shè)備防御較弱,攻擊者容易入侵。從Windows 7 / Windows Server 2008 R2開始,默認(rèn)情況下將禁用NTLMv1和LM身份驗(yàn)證協(xié)議,但是現(xiàn)在用戶應(yīng)該重新檢查并確保執(zhí)行了NTLMv2,可以使用PowerShell查看網(wǎng)絡(luò)中NTLM的使用。

在組策略中,值設(shè)置如下:

  1. 選擇“開始”。
  2. 選擇“運(yùn)行”。
  3. 輸入GPedit.msc。
  4. 選擇“本地計(jì)算機(jī)策略”。
  5. 選擇“計(jì)算機(jī)配置”。
  6. 選擇“ Windows設(shè)置”。
  7. 選擇“安全設(shè)置”。
  8. 選擇“本地策略”。
  9. 選擇“安全選項(xiàng)”
  10. 滾動(dòng)到策略“網(wǎng)絡(luò)安全:LAN Manager身份驗(yàn)證級(jí)別”。
  11. 右鍵單擊“屬性”。
  12. 選擇“僅發(fā)送NTLMv2響應(yīng)/拒絕LM和NTLM”。
  13. 單擊“確定”并確認(rèn)設(shè)置更改。

注冊(cè)表設(shè)置值如下:

  1. 打開regedit.exe并導(dǎo)航到HKLM \ System \ CurrentControlSet \ control \ LSA。單擊LSA。如果在右側(cè)窗格中看不到LMCompatibilityLevel,則可能需要添加新的注冊(cè)表項(xiàng)。
  2. 選擇“編輯”。
  3. 選擇“新建”。
  4. 選擇“ REG_DWORD”。
  5. 將“新值#1”替換為“ LMCompatibilityLevel”。
  6. 雙擊右側(cè)窗格中的LMCompatibilityLevel。
  7. 輸入“ 5”代表更改的級(jí)別。您可能需要升級(jí)打印機(jī)上的固件以支持網(wǎng)絡(luò)中的NTLMv2。

四、管理“復(fù)制目錄更改”的訪問控制列表

攻擊者比用戶更了解如何使用他們域中的賬戶。他們經(jīng)常會(huì)濫用Microsoft Exchange權(quán)限組。因此,用戶需要注意域中關(guān)鍵功能對(duì)安全組和訪問控制列表(ACL)的更改。

當(dāng)攻擊者修改域?qū)ο蟮腁CL時(shí),將創(chuàng)建一個(gè)ID為5136的事件。然后,用戶可以使用PowerShell腳本查詢Windows事件日志,以在日志中查找安全事件ID 5136:

 
 
 
 
      
  
  
  
  1. Get-WinEvent -FilterHashtable @{logname='security'; id=5136} 
    2.

然后,使用ConvertFrom-SDDL4,它將SDDL字符串轉(zhuǎn)換為可讀性更高的ACL對(duì)象。Server 2016及更高版本提供了一個(gè)額外的審核事件,該事件記錄了原始和修改后的描述符。

五、監(jiān)視與Isass.exe交互的意外進(jìn)程

最后,監(jiān)視lsass.exe進(jìn)程中的意外峰值。域控制器將lsass.exe進(jìn)程用作域事務(wù)的常規(guī)過程的一部分。拒絕服務(wù)和惡意流量可能隱藏在這些進(jìn)程中。確定域控制器中的正常狀態(tài)是監(jiān)視攻擊時(shí)間的關(guān)鍵。在域控制器上運(yùn)行Active Directory數(shù)據(jù)收集器,基本要求在于網(wǎng)絡(luò)正常運(yùn)行的可視化。

用戶要使攻擊者始終無法入侵,首先要對(duì)自己的網(wǎng)絡(luò)及其資源使用有良好的基本了解。多花一些時(shí)間來理解,這樣攻擊者就不會(huì)占上風(fēng)。


當(dāng)前標(biāo)題:避免憑證轉(zhuǎn)儲(chǔ)攻擊的5個(gè)技巧
當(dāng)前網(wǎng)址:http://www.dlmjj.cn/article/dphieod.html