我知道存在从 Windows 内存中获取纯文本密码的工具(从 LSASS 进程读取内存和解密密码)。
此行为在 Windows Server 2019 中仍然存在吗?
有什么方法可以避免本地管理员用户使用其中一些工具(例如 Mimikatz)从 Windows 机器获取密码?
谢谢。
不可以避免,因为要窃取 kerberos 票证或 NTLM 哈希,请记住用户必须是本地管理员,并且应用程序也必须以管理员身份运行。
请参阅 mimikatz 的注释;
以管理员身份运行 Mimikatz:即使您使用管理员帐户,Mimikatz 也需要“以管理员身份运行”才能完全运行。
因此,它属于10 条不变的安全法则;见粗体的那个;
定律#1:如果一个坏人可以说服你在你的 电脑上运行他的程序,那它就不再只是你的电脑了。
法则 2:如果一个坏人可以改变你电脑上的操作系统,那它就不再是你的电脑了。
法则 3:如果坏人可以不受限制地物理访问您的计算机,那么它就不再是您的计算机了。
法则 4:如果您允许坏人在您的网站上运行活动内容,那么它就不再是您的网站了。
法则 5:弱密码胜过强大的安全性。
法则 6:计算机的安全性取决于管理员是否值得信赖。
法则 7:加密数据的安全性取决于其解密密钥。
法则 8:过时的反恶意软件扫描器只比根本没有扫描器好一点点。
法则 9:绝对匿名实际上是不可能实现的,无论是在线还是离线。
法则 10:技术不是灵丹妙药。
当您陷入 10 条不可改变的安全法则时,Microsoft 永远不会解决这个问题,因为管理员可以在计算机上做任何事情,甚至可以安装键盘记录器,谁知道呢,因为您必须了解更多的是如何保护您的环境免受此类攻击向量这很重要。
所以一开始我会建议使用受限组 GPO 来确保没有人可以将自己添加到本地管理组。
其次,我会删除除 HDD 之外的所有其他启动设备,以确保谁可以在闪存设备上启动,以防止有人可以擦除本地管理员帐户的密码。
第三,我会用强密码保护 BIOS。
最后,我会对硬盘使用加密方法,以防止有人从机器上卸下硬盘时通过冷启动进行未经授权的更改。
当然还有其他技巧,但是如果您想保护您的企业工作空间,您必须遵守强大的安全模型,如果您想抓住坏人,则必须启用帐户审计。
| 归档时间: |
|
| 查看次数: |
958 次 |
| 最近记录: |