我刚刚在读这篇文章:http : //www.infoworld.com/d/security/stop-pass-the-hash-attacks-they-begin-167997?page= 0,2& source=IFWNLE_nlt_daily_2011-07-26
他谈到了传递哈希攻击以及没有操作系统是安全的。它还包括有关如何在 Windows 而非 Linux 中降低风险的提示。当我需要远程访问服务器时,我能想到的最佳解决方案是使用已知的干净可启动 USB。还有什么我可以做的吗?
我不同意那篇文章中的一些陈述和暗示——其中大部分是“没有辩护”。这是一个只见树木不见森林的案例。
我认为如果攻击者有:
那么他处理的向量真的无关紧要 - 它已经结束了,攻击者可以很容易地,例如,将键盘记录器卡在适当的位置并获得完整的,预先散列的密码。
我也不同意这样的说法,即应该通过只有一个“超级管理员”(域/企业管理员)来缓解这种情况——这将是一个非常低的总线数量。
更一般地说,他谈论的很多内容实际上都是针对 Microsoft 的。当您可以直接访问内存时,绝对存在针对其他操作系统的身份验证攻击媒介(存储在代理中的 SSH 私钥等同于 Linux 远程访问,并且不要忘记针对全盘加密的冻结 RAM 攻击 - 没有罐头需要直接内存访问),但他在文章的大部分内容中专门解决的 NTLM 哈希提升是 Microsoft 独有的事情。
重要的缓解措施:不要给攻击者直接的内存访问权限或 root 权限。
但是你已经知道了。