■山东 赵永华
PTH,全 称Pass-thehash,意为杂凑值注入,常见的攻击方式是透过窃取的密码杂凑值取得,采用了著名的哈希传递算法,让常规的黑客检测工具一筹莫展,无法破解。
PTH所需条件几乎为零,无论系统版本如何,从Server 2008到2012甚至更高都难以阻止,它得逞的要求仅仅是能够像本地管理员那样访问Windows机器,仅此而已!所以,PTH的得手,并不是管理员的用户密码策略设置不够强,也不是系统的OS不够新。同时,PTH往往更容易出现在那些具有完善管理模式的单位里,因为具有良好技术修炼的管理员们人人都习惯去配置系统,配置是他们的工作需要,也是他们敬业的表现,但正因为如此,为PTH打开了长驱直入的通道。
那么我们如何才能摆脱PTH的威胁呢?
为图省事,将本地管理员账号和密码一次性设置为一样是司空见惯的作法,却不知如此正中PTH 下怀。因为PTH 只要一次性击破本地管理员,那么它就可以在系统内如鱼得水。对此,有一些可以随机生成本地管理员密码的工具。
再次重申不要轻易使用管理员账户,尤其是Administrator。比如你只是浏览一下网页,那就作为普通用户完全可以;如果要在活动目录内执行任务如修改组成员关系,也只要具有相应权限即可。
既然PTH 最看重的是本地管理员权限,那么我们就干脆取消掉它。你这么做一定会让PTH 感到沮丧,但别忘了PTH具有超强耐心,它依然会等待下一个时机。为此,需将位于本地管理员组内的用户移出,它们涉及三种对象:一种是本地SAM的本地用户账户,第二种是具有成员关系的域用户账户,第三种是与该域具有成员关系的域内组账户。
一般而言,我们只需要移动域用户,因为在多数机构中这些用户正是具有本地管理权限,为此通过组策略对象GPO设置完成。该设置属于动态型,它并不关心用户名,注重的是登录成功的用户。具体设置项目为User ConfigurationPreferencesControl Panel SettingsLocal Users and Groups。
我们可以看到,该组名为Administrators,可以操作其中的按钮Remove the Current User 。如果取消本地管理员权限无法完全施行,可以考虑将每个管理员用户的密码设置为较为安全的密码(很长,很强,很复杂),而且密码应当经常修改,从而减少PTH 攻击几率。其配置项为Computer ConfigurationPreferencesControl Panel SettingsLocal Users and Groups。