攻击者将本地用户权限提升到本地管理员权限的方法有溢出漏洞提权、数据库提权、令牌窃取提权、进程注入提权、dll劫持提权、不带引号服务路径提权、不安全服务提权、特定版本漏洞提权等。没有经过提权是无法使用mimikatz抓取密码的。但万一攻击者通过某种方法获得了管理员权限,也可以采取以下这些方法规避或者检测。
针对密码抓取工具的防御
1.禁止Debug Privilege
具体操作:本地安全策略-本地策略-用户权限分配,在策略列表中将调试程序的安全设置administrator置空并重启服务器使其生效,再次使用mimikatz的时候使用privilege::debug将执行失败。
2.禁用wdigest协议
win7和2008R2之前都是默认开启且无法禁用(win7以及08之后微软默认禁止wdigest协议),需安装KB2871997补丁并执行reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0,修改注册表,修改后mimikatz将无法抓取明文。
3.设置Active Directory2012R2功能级别
windows server 2012R2新增名为"受保护的用户"的用户组,将重要用户放入该组,攻击者就无法使用工具抓取明文密码和hash
针对永恒之蓝的防御
用户之蓝(MS17-010)是一种利用windows系统的SMB协议漏洞来获取系统的最高权限,现在只有一些低版本的电脑没有打MS17-010补丁。
1.禁用SMB1协议
2.安装KB2919355补丁
3.使用防火墙阻止445端口,或者使用进出站规则阻止455端口连接。
PTH攻击缓解策略