在企业的内网安全防御中,通常会将横向移动技术作为指标,进行有针对性的检测。尽管如此,还是有不少攻击者巧妙地避开了层层关卡,在Windows环境中横向移动。针对这些高级攻击者,该如何应对呢?在使用IPC,WMIC等进行横向移动时,如果使用RID非500的管理员用户,有时会拒绝访问,是什么原因?
本文由锦行科技的安全研究团队提供,站在攻击者的视角分析windows内的横向移动,帮助大家深入了解横向移动的全过程以应对该种攻击。
Kb2871997
网传Kb2871997 是限制远程访问的主要原因,测试一下
01 工作组环境下
①主机B:win7 ,192.168.18.156 ,未打Kb2871997补丁
用户 win7 非500的主机B本地管理员账户
使用Administrator访问,可
用户Win7访问。拒绝访问
②主机B安装Kb2871997补丁