防范凭证转储攻击的全面指南

凭证转储攻击概述

凭证转储是攻击者在渗透网络后获取持久访问权限的关键技术手段。攻击者通常通过网络钓鱼等方式初步入侵后，利用网络管理中的常见方法和工具获取公开凭据，进而扩大攻击范围。

五大防御技巧

1. 减少凭证重用

核心措施：

• 定期检查网络账户密码是否在公开泄露的密码数据库中
• 使用Troy Hunt维护的超过5亿泄露密码数据库进行比对
• 实施密码过滤器检查网络中正在使用的密码
• 通过组策略对网络密码进行专项核查

实施建议：
NIST建议企业应建立定期密码检查机制，确保内部密码不与公开泄露的密码重复。

2. 管理本地管理员密码

关键实践：

• 避免在整个网络中使用相同的本地管理员密码
• 部署本地管理员密码解决方案(LAPS)
• 考虑安装Lithnet LAPS Web应用程序，提供便捷的密码管理界面

安全原理：
随机分配的本地管理员密码可防止攻击者通过获取单个哈希值就横向移动至整个网络。

3. 审查和审核NTLM的使用

NTLM安全配置：

组策略设置步骤：

1. 开始 → 运行 → 输入GPedit.msc
2. 导航至：本地计算机策略 → 计算机配置 → Windows设置 → 安全设置 → 本地策略 → 安全选项
3. 找到"网络安全:LAN Manager身份验证级别"
4. 设置为"仅发送NTLMv2响应/拒绝LM和NTLM"

注册表设置步骤：

1. 运行regedit.exe，导航至HKLM\System\CurrentControlSet\control\LSA
2. 如不存在LMCompatibilityLevel则新建REG_DWORD值
3. 设置值为5（最高安全级别）

注意事项：

• 从Windows 7/Server 2008 R2起默认禁用NTLMv1和LM
• 可能需要升级打印机固件以支持NTLMv2

4. 管理"复制目录更改"的访问控制列表

监控措施：

• 特别关注Microsoft Exchange权限组的异常使用
• 监控域中关键功能对安全组和ACL的更改
• 关注事件ID 5136（ACL修改事件）

检测命令：

Get-WinEvent -FilterHashtable @{logname='security'; id=5136}

高级分析：

• Server 2016+提供额外审核事件，记录原始和修改后的描述符
• 使用ConvertFrom-SDDL将SDDL字符串转换为可读ACL对象

5. 监视与lsass.exe交互的意外进程

监控要点：

• 关注域控制器上lsass.exe进程的异常活动
• 建立域控制器正常活动基线
• 实施Active Directory数据收集器进行持续监控

安全建议：

• 拒绝服务和恶意流量可能隐藏在lsass.exe进程中
• 了解网络正常状态是识别攻击的关键

总结

有效防范凭证转储攻击需要：

1. 全面了解网络资源使用情况
2. 建立严格的凭证管理策略
3. 实施持续的安全监控
4. 及时更新和加固身份验证机制

通过以上措施，企业可以显著降低凭证转储攻击的风险，使攻击者难以在网络上横向移动和持久化。