憑證轉(zhuǎn)儲是攻擊者永久獲取網(wǎng)站訪問的一項重要技術(shù)。他們通過網(wǎng)絡(luò)釣魚潛入工作網(wǎng)站后，利用管理員管理和監(jiān)視網(wǎng)絡(luò)的常用方法來獲取公開憑據(jù)。

在Windows設(shè)備網(wǎng)絡(luò)上使用這五個技巧，減少企業(yè)組織遭受憑證轉(zhuǎn)儲攻擊的漏洞風(fēng)險。

一、減少憑證重用

首先，查看自己的網(wǎng)絡(luò)管理。因工作之外的任務(wù)登錄了多少次網(wǎng)絡(luò)?網(wǎng)絡(luò)賬戶密碼重復(fù)登錄了多少次?

NIST建議企業(yè)定期檢查自己的密碼是否在公開的密碼數(shù)據(jù)庫里。如果在網(wǎng)絡(luò)上使用過的密碼出現(xiàn)在密碼泄露列表中，都會使用戶的網(wǎng)絡(luò)更容易受到攻擊。

Troy Hunt發(fā)布了一個數(shù)據(jù)庫，包含了超過5億個被盜用的密碼。用戶可以使用各種資源將這些暴露的密碼與自己網(wǎng)絡(luò)中使用的密碼進行比較。例如，用戶可以使用密碼過濾器以查看網(wǎng)絡(luò)上正在使用的密碼。然后依據(jù)組策略給這些密碼做專門的核查。

二、管理本地管理員的密碼

管理本地管理員密碼的重要性不言而喻。本地管理員密碼在整個網(wǎng)絡(luò)中不應(yīng)該一樣。考慮到部署本地管理員密碼解決方案(LAPS)，可以安裝Lithnet LAPS Web應(yīng)用程序，該應(yīng)用程序提供了一個簡單的易于移動的Web界面，用于訪問本地管理員密碼。

攻擊者知道，一旦他們獲得了網(wǎng)絡(luò)內(nèi)部的訪問權(quán)限并獲取了本地管理員密碼的哈希值，他們便可以在整個網(wǎng)絡(luò)中暢通無阻。擁有隨機分配的密碼意味著攻擊者無法橫行。

三、審查和審核NTLM的使用

如果用戶使用的是新技術(shù)LAN管理器(NTLM)，則攻擊者可以使用NTLM哈希來訪問其網(wǎng)絡(luò)。依靠LM或NTLM身份驗證，結(jié)合任何通信協(xié)議(SMB，F(xiàn)TP，RPC，HTTP等)使用，會使用戶有攻擊的風(fēng)險。企業(yè)內(nèi)部設(shè)備防御較弱，攻擊者容易入侵。從Windows 7 / Windows Server 2008 R2開始，默認情況下將禁用NTLMv1和LM身份驗證協(xié)議，但是現(xiàn)在用戶應(yīng)該重新檢查并確保執(zhí)行了NTLMv2，可以使用PowerShell查看網(wǎng)絡(luò)中NTLM的使用。

在組策略中，值設(shè)置如下：

1. 選擇“開始”。
2. 選擇“運行”。
3. 輸入GPedit.msc。
4. 選擇“本地計算機策略”。
5. 選擇“計算機配置”。
6. 選擇“ Windows設(shè)置”。
7. 選擇“安全設(shè)置”。
8. 選擇“本地策略”。
9. 選擇“安全選項”
10. 滾動到策略“網(wǎng)絡(luò)安全：LAN Manager身份驗證級別”。
11. 右鍵單擊“屬性”。
12. 選擇“僅發(fā)送NTLMv2響應(yīng)/拒絕LM和NTLM”。
13. 單擊“確定”并確認設(shè)置更改。

注冊表設(shè)置值如下：

1. 打開regedit.exe并導(dǎo)航到HKLM \ System \ CurrentControlSet \ control \ LSA。單擊LSA。如果在右側(cè)窗格中看不到LMCompatibilityLevel，則可能需要添加新的注冊表項。
2. 選擇“編輯”。
3. 選擇“新建”。
4. 選擇“ REG_DWORD”。
5. 將“新值#1”替換為“ LMCompatibilityLevel”。
6. 雙擊右側(cè)窗格中的LMCompatibilityLevel。
7. 輸入“ 5”代表更改的級別。您可能需要升級打印機上的固件以支持網(wǎng)絡(luò)中的NTLMv2。

四、管理“復(fù)制目錄更改”的訪問控制列表

攻擊者比用戶更了解如何使用他們域中的賬戶。他們經(jīng)常會濫用Microsoft Exchange權(quán)限組。因此，用戶需要注意域中關(guān)鍵功能對安全組和訪問控制列表(ACL)的更改。

當(dāng)攻擊者修改域?qū)ο蟮腁CL時，將創(chuàng)建一個ID為5136的事件。然后，用戶可以使用PowerShell腳本查詢Windows事件日志，以在日志中查找安全事件ID 5136：

Get-WinEvent -FilterHashtable @{logname='security'; id=5136} 

然后，使用ConvertFrom-SDDL4，它將SDDL字符串轉(zhuǎn)換為可讀性更高的ACL對象。Server 2016及更高版本提供了一個額外的審核事件，該事件記錄了原始和修改后的描述符。

五、監(jiān)視與Isass.exe交互的意外進程

最后，監(jiān)視lsass.exe進程中的意外峰值。域控制器將lsass.exe進程用作域事務(wù)的常規(guī)過程的一部分。拒絕服務(wù)和惡意流量可能隱藏在這些進程中。確定域控制器中的正常狀態(tài)是監(jiān)視攻擊時間的關(guān)鍵。在域控制器上運行Active Directory數(shù)據(jù)收集器，基本要求在于網(wǎng)絡(luò)正常運行的可視化。

用戶要使攻擊者始終無法入侵，首先要對自己的網(wǎng)絡(luò)及其資源使用有良好的基本了解。多花一些時間來理解，這樣攻擊者就不會占上風(fēng)。