Microsoft KB2871997的学习

最新推荐文章于 2022-02-20 22:19:08 发布
最新推荐文章于 2022-02-20 22:19:08 发布
阅读量3.5k 收藏 1
点赞数 1
分类专栏: 内网渗透 Windows 漏洞经验 文章标签: 内网渗透 域渗透 Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ping_Pig/article/details/109171690
版权
内网渗透 同时被 3 个专栏收录
34 篇文章 12 订阅
订阅专栏
Windows
32 篇文章 10 订阅
订阅专栏
漏洞经验
17 篇文章 7 订阅
订阅专栏

目录

讲在前面

介绍

KB2871997囊括的几个重要保护如下:

“受保护的用户”组支持(强制Kerberos身份验证以实施AES加密)

受限管理员RDP模式远程桌面客户端支持(mstsc / RestrictedAdmin)

通过哈希增强保护

注销时删除凭证

新的SID

从LSASS删除明文凭证

讲在前面

2014年,Microsoft发布了KB2871997补丁,它主要囊括了Windows 8.1和Windows Server 2012 R2中增强的安全保护机制。所以,以往的例如:Windows 7,Windows 8,Windows Server 2008R2和Windows Server 2012也可以更新该补丁后获得上述安全保护机制。

介绍

增强的安全保护机制中有如下部分几点:

  • 减少存储在内存中的凭据数据
  • 支持现代身份验证(Kerberos AES)

其实主要防范的是在身份登录时凭据存储的泄露问题,目前windows主要有两种登录类型:

  • 交互式登录

用户在登录提示窗口输入凭据进行登录的过程就是交互式登录(一般出现在远程桌面协议RDP服务或连接其他服务时)。这种登录类型的凭据存储在内存中,通常以各种形式例如:Kerberos票据、NTLM-Hash、LM-Hash(如果密码小于15个字符),甚至存储明文密码。

注意:

Mimikatz可以在LASS保护中提取内存中的凭据,也可以在本地Windows安全账户管理器(SAM)中提取凭据

  • 网络式登录

此登陆方式发生在用户、服务或计算机身份验证之后,才能使用。例如在对域内某个服务发起请求时,主机会将存储在本地的Hash发送给服务进行验证。此类登录不会将票据发送至目标服务,但却会留下Hash,所以也就产生了“哈希传递”这个攻击技巧。

注意

该补丁无法阻止”哈希传递“的攻击方式,但其确实有助于是Windows免受一些常见的攻击,例如:明文密码脱取、RDP凭据盗取、盗取本地Administrator账户进行横向移动。

KB2871997囊括的几个重要保护如下:

“受保护的用户”组支持(强制Kerberos身份验证以实施AES加密)

  • 当“域功能级别”设置为Windows Server 2012 R2时,将创建“受保护的用户”组。
  • 受保护的用户组中的帐户只能使用Kerberos协议进行身份验证,拒绝NTLM,摘要式身份验证和CredSSP。
  • Kerberos拒绝DES和RC4加密类型进行预身份验证-必须将域配置为支持AES或更高版本。
  • 不能使用Kerberos约束或不受约束的委托来委托受保护用户的帐户。
  • 受保护的用户可以使用“身份验证策略”很好地工作。

受限管理员RDP模式远程桌面客户端支持(mstsc / RestrictedAdmin)

  • 受限Admin RDP模式增强了安全性,可以保护管理员凭据–该模式不适用于用户(“远程桌面用户”)。

在此更新之前,RDP登录是一种交互式登录,只有在用户提供用户名和密码之后才可以访问。以这种方式登录到RDP主机时,会将用户凭据放置在RDP主机的内存中,如果主机受到威胁,它们可能会被窃取。此更新使RDP支持网络登录,其中可以传递用户现有登录令牌以进行RDP访问的身份验证。使用此登录类型可确保RDP服务器上不存储用户的凭据。从而保护凭据

  • Microsoft建议在服务台用户RDP到工作站以解决问题的情况下利用“受限管理员”功能,以确保不在工作站上存储用户的凭据(这要求工作站为Windows 8.1或更高版本)。
  • 该补丁不会将“受限管理RDP”服务器模式反向移植到Windows 8.1和Windows Server 2012 R2之前的操作系统。

通过哈希增强保护

  • 注销时删除凭证

    • 用户登录时,Windows将用户凭据(纯文本密码,NTLM密码哈希,Kerberos TGT /会话密钥)缓存在内存(LSASS进程)中。注销时,应从内存中清除这些凭据,但这并非总是如此。该补丁可确保注销后清除凭据。

  • 新的SID

    • LOCAL_ACCOUNT(S-1-5-113)–任何本地帐户
    • LOCAL_ACCOUNT_AND_MEMBER_OF_ADMINISTRATORS_GROUP(S-1-5-114)–属于管理员组成员的任何本地帐户。
    • 使用“拒绝从网络访问此计算机”和“拒绝通过远程桌面服务登录”设置在组策略中配置新的知名SID,可以防止本地帐户通过网络连接。

从LSASS删除明文凭证

  • 由于兼容性原因,默认情况下禁用。明文密码存储在内存(LSASS)中,主要支持WDigest身份验证。
  • 启用此功能可防止将明文凭证存储在内存(LSASS)中。
  • 通过将位于以下位置的注册表项“ UseLogonCredential”设置为“ 0”(双字)来启用此功能:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ WDigest“ UseLogonCredential”
    在Windows 8.1 / Windows 2012 R2上,此值设置为0(摘要式身份验证已禁用)。该修补程序将Windows的早期版本中的值设置为1,以实现向后兼容(启用摘要式身份验证)。
    WDIGEST-RegistryKey-UseLogonCredential-1
  • NT哈希和Kerberos密钥仍存储在内存(LSASS)中。
  • 检查域控制器(事件ID 4776)和所有服务器(事件ID 4624)上的事件日志,以确定WDigest(摘要式身份验证)是否仍在使用。查找“身份验证程序包:WDigest(摘要式身份验证)”。
Ping_Pig
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
KB2871997补丁绕过
Yu3511606536的博客
02-28 401
KB2871997补丁绕过
windows中的凭据管理
sun0322
04-22 8633
■前言 我们访问某个,带有密码的共有文件夹之后, 只有在第一次访问的时候需要输入密码, 只要不关机, 今后就可以一直访问,而且不需要输入密码。 ■如何实现 通过windows的凭据管理来实现 ■如何查看凭据管理 控制面板 用户账户⇒凭据管理器 --- ...
哈希传递攻击/黄金白银票据
Y5neKO's blog
09-17 1829
Q&A Q1:pth在什么情况下能成功、哈希传递受到什么限制、什么情况下不能传递? A1:①pth在获取到目标机器中RID为500的内置管理员账户或在目标机器本地管理员组的域成员账户的hash值的情况下能成功;②哈希传递会受到目标系统上的UAC的限制,如果不是RID=500的内置账户则不会以完全管理员权限登录系统;③若目标系统完全禁止了所有用户的远程登录权限(包括RID为500的内置管理员),则无法进行传递。 Q2:安装补丁KB2871997后影响 A2:见文章中KB2871997补丁 -->
windows6.1-kb4474419-v3-x86.zip 32位
12-21
"windows6.1"是Windows 7操作系统版本的代号,"kb4474419"则是这个特定补丁的编号,表明它是微软发布的一个安全更新。"v3"可能代表这个补丁的第三个版本,意味着可能存在之前的不同修订版。"x86"则明确了这个补丁...
windows6.1-kb4474419-v3-x64.zip 64位
12-21
KB4474419是微软发布的一个重要安全更新,它主要用于增强系统的安全性,修复已知的漏洞,并提高系统的整体性能。这个补丁的版本号为v3,表明这是该补丁的第三个版本,可能包含了之前版本的改进和修复。 描述中提到...
ado.rar_kb、167283、com
09-24
标题中的"ado.rar_kb、167283、com"提到了ADO(ActiveX Data Objects),这是一个在Microsoft Visual C++环境下广泛使用的数据库连接技术。KB167283可能是微软的一个知识库文章编号,通常与特定的技术问题或解决方案...
MongoDB学习视频.zip
07-29
Windows用户可能需要安装MSU(Microsoft Update)文件,例如`Windows6.1-KB2731284-v3-x64.msu`,这是一个Windows更新补丁,可能用于确保系统支持MongoDB的运行。 3. **MongoDB Manager Pro**:"mongodbmanagerpro_...
DsoFramer_KB311765_x86.rar_DsoFramer_KB3117_dsoframer_kb_kb31176
09-21
在"DsoFramer_KB311765_x86.exe"中,包含了DsoFramer控件的开发示例,供开发者参考学习。同时,"www.pudn.com.txt"可能是提供下载资源的网站信息,可能包含更多关于这个控件的教程或参考资料。 总结,DsoFramer控件...
mimikatz的原理,哪个补丁导致了mimikatz无法获取明文密码,如何绕过?
Ping_Pig的博客
11-10 3599
讲在前面: 对于mimikatz的原理本文只通过简单的话语表述,并在文章后给出分析的思路和参考文章。对于绕过补丁,本文只对KB2871997补丁做阐述,并且犹豫对mimikatz的介绍文章非常之多,所以本文只取重点罗列,让读者能够简单快速的明白关键点,深入理解在文章后给出分析思路和参考文章。 mimikazt的原理 注意:本文对mimikatz获取lsass.exe进程中明文密码的原理做简单描述。 开发语言:C/C++。 开发初衷:深入学习Windows系统以及C/C++语言。 获取明文密码:
C# 守护进程控制程序类(Windows篇)
DFRfly的宇宙星尘
09-02 1536
首先介绍下守护进程吧,守护进程是一个在后台运行并且不受任何终端控制的进程,守护某个程序异常关闭后,通过守护进程将其自动启动起来。而本文介绍的守护进程为通过检测程序的一些事件或采集的数据,将当前守护进程直接结束。这类软件可能出现的场景在于信息安全高的 ...
使用 Windows Vista 的凭据提供程序创造自定义的登录体验
求索
05-24 2307
使用 Windows Vista 的凭据提供程序创造自定义的登录体验
恶意代码常见驻留分析
weixin_43781139的博客
07-26 1992
前言 恶意代码的一个重要功能就是要实现内存常驻,只要常驻内存,恶意代码就可以一直执行恶意行为,不会因为电脑重新启动、切换用户等原因停止。前文介绍的启动、Hook、注入中的很多技术都可以实现内存常驻,除此之外,恶意代码还可以利用一些系统功能实现内存常驻。本文就与你娓娓道来。 辅助功能 辅助功能介绍 windows提供了一些辅助功能,比如放大镜、讲述人等。Windows的辅助功能又叫做“轻松使用”,你可以在控制面板中查看他们。 这些辅助功能可以在用户登录界面启动,当你在登录界面按下win+U,就会弹出辅助功能的
域渗透 | kerberos认证及过程中产生的攻击
st3pby的博客
02-20 6990
Windows认证一般包括本地认证(NTLM HASH)和域认证(kerberos)。认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课本篇文章主要内容是Kerberos认证过程中产生的攻击。Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:和,以及微软扩展的两个认证模块S4U和PAC。kerberos是一种基于票据的认证方式。
Windows系统密码抓取与防护
qq_43590351的博客
09-10 1508
Windows系统密码抓取与防护 单机密码抓取与防范 LM Hash 和NTLM Hash LM Hash(DES加密) 默认禁用,一般攻击者抓取的LM Hash值为aad3b435b51404eeaad3b435b51404ee 表示LM Hash为空值或被禁用 NTLM Hash(MD4加密) 真正是用户密码的哈希值 Windows操作系统中的密码一般由两部分组成: 一部分为LM Hash,另一部分为NTLM Hash。在Windows中,Hash的结构通常如下: Username:RID:LM-Ha
内网安全之:Windows 密码抓取
f_carey的博客
11-14 4011
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 Windows 密码抓取 1 mimikatz 抓取密码 注:在 Windows 系统中抓取 NTLM Hash 值或明文密码,必须将权限提升到 System;lsass.exe 进程用于实现 Windows 的安全策略。 利用通过 SAM 和 System 文件获得 NTLM Hash gentilkiw.
微软kb2533623 x64补丁
最新发布
05-11
微软kb2533623 x64补丁是微软公司发布的一个针对Windows操作系统的安全补丁。该补丁的主要功能是修复Windows操作系统中的一个漏洞,该漏洞可能导致黑客利用并入侵计算机系统。这个漏洞是在Windows处理网络数据包时出现的,攻击者可以通过发送特定的网络数据包来利用该漏洞,在受攻击计算机上执行任意代码。 通过安装微软kb2533623 x64补丁,可以有效地解决这个严重的漏洞问题,加强Windows系统的安全性,提高计算机系统的稳定性和可靠性。这个补丁不仅可以更新操作系统的核心部分,还可以更新一些驱动程序和系统组件,确保系统的所有部分都得到了完整的保护。 微软kb2533623 x64补丁不仅适用于Windows桌面操作系统,还适用于Windows Server系统。通过对操作系统的修复和优化,可以让企业和组织的服务器系统更加安全和稳定,从而提高业务流程的可靠性和稳定性。 总之,微软kb2533623 x64补丁是一个非常重要的安全更新,任何使用Windows系统的用户都应该安装它。用户可以通过Windows Update或者Microsoft官网下载并安装这个补丁,确保他们的计算机系统得到了全面的保护和修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值