明文密码和散列值抓取防范方法

一、单机密码抓取的防范方法

  

  微软为了防止用户密码在内存中以明文形式泄露,发不了补丁KB2871997,关闭了Wdigest功能。windows server 2012以上版本默认关闭Wdigest,使攻击者无法从内存中获取明文密码。对于win server 2012以下版本,通过安装KB2871997补丁,可以避免攻击者获取明文密码。

  通过查看注册表键值,可以判断Wdigest功能状态。如果该项值为“1”则为开启,即可以获取明文密码,如果该项值为“0”,则明文密码不会出现在内存中。开启和关闭Wdigest Auth命令如下:

(1)reg add 命令

开启Wdigest Auth

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

关闭Wdigest Auth

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

(2)使用powershell

开启Wdigest Auth

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 1

关闭Wdigest Auth

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 0

二、防范抓取明文密取和散列值

 1.设置Active Directory 2012 R2功能级别

win server 2012 R2新增了一个“受保护的用户”的用户组,只要将需要保护的用户加入该组,攻击者就无法通过mimikatz等工具抓取明文密码和散列值了。

此组的成员将受到针对身份验证安全威胁的额外保护。有关详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=298939

2.安装KB28711997补丁

  KB28711997补丁是微软为了解决PsExec远程查看(c$)问题的补丁,能使本地账号不再被允许远程接入计算机系统,但是系统默认的本地管理员账号administrator这个SID为500的用户例外——即使将Administrator改名,该账号的SID还是500,攻击者仍然可以使用横向攻击方法获得内网中其他机器的控制权。安装28711997后,仍需要禁用默认的Administrator账号,以防御哈希传递攻击。

3.通过修改注册表禁止在内存中存储明文密码

微软在Windows Xp版本中添加了一个Wdigest协议。该协议能够使windows将明文密码存储在系统内存中,以方便用户登录本地计算机。通过修改注册表的方式可以解决内存中以明文密码存储密码的问题。

(1)reg add 命令

关闭Wdigest Auth

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

(2)使用powershell

关闭Wdigest Auth

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 0

使用reg query查询该键值是否添加成功

reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential

修改完成后,注销系统重新登录后,就无法利用mimikatz等密码抓取工具导出明文密码了,只能导出NTLM Hash。因为NTLM Hash一般很难破解,所以只要windows设置的密码足够复杂,并且保证定期修改密码的习惯,就可以降低系统被彻底攻陷的可能性。

4.防御mimikatz攻击

根据Debug权限确定哪些用户可以将调试器附加到任何进程或内核中。在默认情况下,此权限为本地管理员Administrator所有,除了老系统,本地管理员几乎不需要使用此权限。

mimikatz在抓取散列值或明文密码时需要使用Debug权限(因为mimikatz需要和lsass.exe进程进行交互,如果没有Debug权限,mimikatz将不能读取lsass进程)。因此,我们可以针对这一点采取进行防御措施。将拥有Debug权限的本地管理员从Administrators组中移除。重启系统后将无法再使用mimikatz进行抓取散列值和明文密码了。

原文地址:https://www.cnblogs.com/micr067/p/12299335.html

时间: 2024-08-26 02:36:27

明文密码和散列值抓取防范方法的相关文章

除法散列函数之散列值问题

算法导论对于除法散列函数的描述.其中涉及到一小点数学问题: k mod m时,m之所以为素数时为了使得k在m所在的素数域上保持唯一性(根据欧拉定理和费马小定理) 散列函数: H(k) = k Mod m 其中m的取值如是描述: 应用除法散列法的时候,要避免选择m的某些值,例如,m不应该为2 的幂 .(尽量取素数,并且距离 2^p 比较远的数值. )因为如果 m = 2^p (2的p次方),则 H(k) 就是k的p个最低位数字.除非一直各种最低p位的排列形式为等可能的,否则在设计散列函数的时候,最

蓝牙4.0BLE cc2540 usb-dongle的 SmartRF Packet Sniffer 抓取数据方法 【原创,多图】

蓝牙4.0BLE cc2540 usb-dongle的 SmartRF Packet Sniffer 抓取数据方法 [原创,多图] (只发布于csdn博客, 如需转载,请注明出处,谢谢! ) 蓝牙4.0的开发, 现在真热火的很, 但是很多朋友买了我们出品的cc2540 usb-dongle后, 都反馈说不知道如何抓包, 并且, 即使很多朋友到TI官网论坛去找信息,不少朋友依然是无功而返,实际上, 用cc2540 usb-dongle来进行ble数据的抓包,并不像用电脑的wireshark等软件来

treeview自动从表中添加标题和列值做目录的方法2

treeview自动从表中添加标题和列值做目录的方法2,该方法是借鉴万一老师的 http://www.cnblogs.com/del/archive/2008/05/15/1114450.html 首先界面上添加treeview组件,然后在treeview的onchange事件里这样写: 因为要用到定义个过程,需要在接口声明里引用 private { Private declarations } /// <summary> /// 刷新左侧treeView /// </summary&g

ASP.new GridView获取隐藏列值的几种方法

解决方法: 原文来自:http://www.tzwhx.com/NewShow/newBodyShow/控件_32933.html 作者:lerit  1.隐藏列前获取数据 看这样一个例子(以下均以此为例):用户选择一些查询条件后,点击"查询"按钮.后台需要根据每行中第六列的值是否为1,来设置第三个单元格的背景色为红色. 这种方法中,后台是在按钮的Click事件中,去数据库取记录,然后得到DataTable,最后将它绑定到GridView中.如果我们需要在GridView的RowDat

PHP抓取网页方法总结

From:http://www.jb51.net/article/24343.htm 在做一些天气预报或者RSS订阅的程序时,往往需要抓取非本地文件,一般情况下都是利用php模拟浏览器的访问,通过http请求访问url地址,然后得到html源代码或者xml数据. 得到数据我们不能直接输出,往往需要对内容进行提取,然后再进行格式化,以更加友好的方式显现出来.下面先简单说一下本文的主要内容: 一. PHP抓取页面的主要方法: 1. file()函数 2. file_get_contents()函数

PHP - php抓取页面方法汇总

//网页抓取方法总结 //一.使用file_get_contents() $timeout = array( 'http'=> array( 'timeout'=>5, //设置一个超时时间,单位为秒 ) ); $ctx = stream_context_create($timeout); $text = file_get_contents("http://www.baidu.com",0, $ctx); // var_dump($text); //二.使用fopen()

模拟器抓取https方法

说明:为了解决安卓手线上不能抓取https请求,以下整理通过模拟器抓取https请求方法如下:前置条件:安卓模拟器1.夜神抓包工具:fiddler.charles不要安装证书 第一步安装模拟器 可以按照夜神模拟器步骤省略 第二步de.robv.android.xposed.installer 模拟器按照: 下载地址:http://repo.xposed.info/module/de.robv.android.xposed.installer 第三步安装JustTrustMe 下载地址: http

RFTWEB测试对象抓取的方法

本文转自:http://feiyeguohai.iteye.com/blog/1468576 Rational Functional Tester (RFT) 作为 IBM 自己设计研发的自动化测试工具,适用范围非常广泛,仅在 IBM 公司内部,其使用范围已覆盖 WPLC 的各大 Web 产品:如 WepSphere Portal,Lotus Quickr,Lotus Connection,Lotus iNotes,Lotus Mashup Center 等,并且深入到测试的各个阶段:如 UAT

Twitter数据抓取的方法(一)

Scraping Tweets Directly from Twitters Search Page – Part 1 Published January 8, 2015 EDIT – Since I wrote this post, Twitter has updated how you get the next list of tweets for your result. Rather than using scroll_cursor, it uses max_position. I’ve