PJzhang:如何缓解Mimikatz从Windows2008 R2内存中读取域控密码？

猫宁！！！

 

参考：

https://xz.aliyun.com/t/4180
https://www.anquanke.com/post/id/156299

https://www.cnblogs.com/Fluorescence-tjy/p/11222495.html

 

Mimikatz能够从内存中提取出明文形式的密码，因此成为内网渗透的一个利器。

针对Windows2008 R2这种老版本的系统，微软专门推出一个补丁KB2871997。

微软有关KB2871997补丁的通告：

https://support.microsoft.com/zh-cn/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a
https://docs.microsoft.com/zh-cn/security-updates/SecurityAdvisories/2014/2871997?redirectedfrom=MSDN

 

下面是5项缓解措施，可以增加攻击者的渗透成本。

1--安装微软KB2871997补丁
https://download.microsoft.com/download/E/E/6/EE61BDFF-E2EA-41A9-AC03-CEBC88972337/Windows6.1-KB2871997-v2-x64.msu

2--修改本地安全策略两项
（1）本地安全策略--本地策略--用户权限分配--调试程序设置为无人可调试或者本地最高管理员（而非域控管理员）可以调试，用于防范命令privilege::debug提权
（2）本地安全策略--安全选项--之前登录到缓存的次数--设置为0，原来是10，用于防范账号密码在内存中的缓存
3--修改注册表两项
（1）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest，将Negotiate以及UseLogonCredential键值设为0，从而禁止该协议。避免mimikatz命令与LSASS交互，因为密码明*文存储在LSASS中。
（2）HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA，创建RunAsPPL，值设置为1。避免mimikatz命令与LSA交互。

4--受限管理员模式两项
（1）HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa，创建DisableRestrictedAdmin，值设置为0，创建DisableRestrictedAdminOutboundCreds，值设置为1
（2）组策略管理--Computer Configurations--Policies--Administrative Templates--System--Credential Delegation，
并设置Restrict Delegation of credential to remote servers为开启，限制模式为Require Restricted Admin，避免泄露RDP会话凭证
5--禁止纯文本密码存储
Computer Configuration--Security Settings--Account Policies--Password Policy ，关闭Store Passwords using reversible encryption，避免明文密码获取。

 

攻击者如果获取了本地管理员权限，一样可以通过修改注册表，修改本地安全策略的方式，再次实现窃取内存中的密码，不过注册表和安全策略的修改也会暴露攻击者的行动路径。