最近我读到了一篇关于mimikatz防御的外文文章,文章的结构和思路让我印象深刻,但内容上有些许不足。国内也有一篇翻译,但似乎只是机械地照搬原文,存在一些错误。因此,我决定重新翻译并补充一些内容。本文旨在抛砖引玉,如果有任何错误,欢迎批评指正。
在内网渗透中,mimikatz是一个非常有用的工具。它可以从内存中提取明文密码。大家都知道这个工具的威力,微软也意识到了这一点,因此开发了一些安全防护措施来阻止mimikatz获取密码。然而,在Windows 2008之前的系统上,mimikatz仍然能够获取密码。通常情况下,只要拥有本地管理员权限,就可以从内存中提取密码。获取密码后,攻击者可以进行横向移动和提权。
在Windows系统中,调试权限(Debug Privilege)可以用来调试进程,甚至是内核。对于mimikatz来说,要读取内存,通常需要获取调试权限,然后打开进程。默认情况下,本地管理员组拥有这种权限。然而,除非管理员是程序员,否则他们通常不会使用这种权限。
本地安全策略默认情况下会赋予管理员组调试权限。
然而,域的默认组策略在这方面未作定义。
根据Windows策略的优先级,最终结果是管理员组拥有调试权限。
补充一下策略的优先级:
在没有冲突的情况下,多条策略是合并的关系;如果有冲突,优先级高的适用,优先级从低到高依次为:本地策略(Local Policy)->站点策略(Site Policy)->域策略(Domain Policy)->组织单元策略(OU Policy)
登录后复制
文章来自互联网,只做分享使用。发布者:,转转请注明出处:https://www.dingdanghao.com/article/855919.html
