防御mimikatz抓取密码的方法

防御mimikatz抓取密码的方法

Mimikatz工具中msv,wdigest,kerberos等都是各种形式的查看密码,而logonPasswords是获取当前权限能获取的全部信息,最常见的是直接sekurlsa::logonPasswords,前提是需要先提升权限privilege::debug。或者将lsass.exe转存在本地,然后本地进行读取明文密码。

作为系统管理员肯定不愿意被被人从本地或者远程将密码解密出来,那么我们应该怎么才能防御mimikatz这个"坏东西",有的人可能说那就将密码修改为复杂度极高的、利用密码生成器等等措施,但是有的时候可以对攻击者爆破密码产生一定的困难,但是攻击者绝不会按常理出牌的。mimikatz这个工具是个神器,不管你的密码是设置为多面复杂的都会给你抓取出来(防护策略比较薄弱)。

mimikatz是一款功能强大的轻量级调试神器,通过它你可以提升进程权限注入进程读取进程内存,当然他最大的亮点也是让阿刚最感兴趣的就是他可以直接从 lsass中获取当前处于Active系统的登录密码。这款工具也集成在了MSF框架以及posershell框架中。

那么我们从哪几个方面进行防御?

1、WDigest:

WDigest.dll是在Windows XP操作系统中引入的。摘要认证协议设计用于超文本传输协议(HTTP)和简单认证安全层(SASL)交换,如RFC 2617和2831中所述。WDigest的问题是它将密码存储在内存中,并且无论是否使用它,都会将其存储在内存中。Microsoft 已发布了一个补丁(KB2871997),允许管理员启用或禁用 WDigest 协议。打完补丁后,建议验证是否已经从注册表中禁用 WDigest。

操作系统为以下版本的都是默认禁用此协议,都是高版本的操作系统:

Windows8.1

Windows 10

Windows Server 2012 R2

Windows Server 2016

修改注册表位置:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest

再次运行mimikatz工具抓取密码的时候会出现以下两种提示:

2、LSA 保护:

lsass.exe是一个系统重要进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。如果结束该进程,会出现不可知的错误。Win8.1以及2012R2的操作系统默认启用了此保护策略,建议之前的版本的操作系统也要启用此策略的保护。

可以通过创建注册表项 RunAsPPL 并设置其值为 1 来启用此保护:

当我们再次使用mimikatz抓取密码时,就会出现以下情况:

还有一点需要注意的是在2012 R2系统中有一个安全功能,它可以有效的防止管理员的纯文本的凭据在RDP会话中存储在lsass中,我们在使用lsa方法的同时,可以配合这个此项安全功能作为额外的防护。我们可以在注册表的这个位置新建DisableRestrictedAdmin」注册表项并且设置为 0,这样可以通过网络 RDP 会话请求管理员登陆系统。此外,创建DisableRestrictedAdminOutboundCreds注册表项值为 1,可以禁止管理员执行 RDP 的系统内部的网络身份验证。缺少此注册表项,管理员可以导出凭据。对于比较旧的操作系统,可以看看这个补丁打了没有:Microsoft 补丁的一部分 KB2871997。

3、禁止凭证缓存:

如果域控制器不可用,那么windows将检查缓存的最后一个密码hash值,这样为以后系统对用户进行身份验证,我们可以通过密码缓存在注册表的项的值改为1,这样就使的mimikatz抓取hash值失效:

HKEY_LOCAL_MACHINE\SECURITY\Cache

再次通过mimikatz抓取hash值就会失效:

4、Debug 权限设置:

Mimikatz需要与lsass进程所交互,所以管理员应该将此权限赋予特定的用户或者用户组,删除不必要的用户或用户组是非常有必要的,这样可以防止低权限的用户来获取密码信息。为了安全起见,管理员可以直接禁用SeDebugPrivilege。

DEBUG调试权限确定哪些用户可以将调试器附加到任何进程或内核。默认情况下,此权限授予本地管理员。

管理员在没有禁用的时候,我们就可以执行提升权限操作:

在2016操作系统中默认安装了,但未定义。系统管理员最好在定义此项。

如果系统管理员禁用SeDebugPrivilege,那么在执行提升权限的时候就会出现下面的提示,防御了权限的提升:

总结:

1、重要提醒一句,补丁、密码策略、权限都非常重要;

2、有什么不足请多多指教,有兴趣的话可以交流一下;

发布于 2019-03-15