安全小白成長記
2
信息安全等級高級測評師
CISP-PTE
安全小白成長記2
信息安全等級高級測評師
CISP-PTE
避免憑證轉儲攻擊的方法有以下這些:
減少憑證重用:建議企業定期檢查自己的密碼是否在公開的密碼數據庫里。如果在網絡上使用過的密碼出現在密碼泄露列表中,都會使用戶的網絡更容易受到攻擊。用戶可以使用各種資源將這些暴露的密碼與自己網絡中使用的密碼進行比較。例如,用戶可以使用密碼過濾器以查看網絡上正在使用的密碼。然后依據組策略給這些密碼做專門的核查。
管理本地管理員的密碼:管理本地管理員密碼的重要性不言而喻。本地管理員密碼在整個網絡中不應該一樣。考慮到部署本地管理員密碼解決方案(LAPS),可以安裝Lithnet LAPS Web應用程序,該應用程序提供了一個簡單的易于移動的Web界面,用于訪問本地管理員密碼。攻擊者知道,一旦他們獲得了網絡內部的訪問權限并獲取了本地管理員密碼的哈希值,他們便可以在整個網絡中暢通無阻。擁有隨機分配的密碼意味著攻擊者無法橫行。
審查和審核NTLM的使用:如果用戶使用的是新技術LAN管理器(NTLM),則攻擊者可以使用NTLM哈希來訪問其網絡。依靠LM或NTLM身份驗證,結合任何通信協議(SMB,FTP,RPC,HTTP等)使用,會使用戶有攻擊的風險。企業內部設備防御較弱,攻擊者容易入侵。
管理“復制目錄更改”的訪問控制列表:攻擊者比用戶更了解如何使用他們域中的賬戶。他們經常會濫用MicrosoftExchange權限組。因此,用戶需要注意域中關鍵功能對安全組和訪問控制列表(ACL)的更改。
監視與Isass.exe交互的意外進程:監視lsass.exe進程中的意外峰值。域控制器將lsass.exe進程用作域事務的常規過程的一部分。拒絕服務和惡意流量可能隱藏在這些進程中。確定域控制器中的正常狀態是監視攻擊時間的關鍵。在域控制器上運行Active Directory數據收集器,基本要求在于網絡正常運行的可視化。
推薦文章
