ad安全-域渗透防御方法

最新推荐文章于 2023-03-28 19:31:19 发布
VIP文章 最新推荐文章于 2023-03-28 19:31:19 发布
阅读量2.5k 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyh0519111/article/details/120829793
版权

攻击者将本地用户权限提升到本地管理员权限的方法有溢出漏洞提权、数据库提权、令牌窃取提权、进程注入提权、dll劫持提权、不带引号服务路径提权、不安全服务提权、特定版本漏洞提权等。没有经过提权是无法使用mimikatz抓取密码的。但万一攻击者通过某种方法获得了管理员权限,也可以采取以下这些方法规避或者检测。

针对密码抓取工具的防御

1.禁止Debug Privilege

具体操作:本地安全策略-本地策略-用户权限分配,在策略列表中将调试程序的安全设置administrator置空并重启服务器使其生效,再次使用mimikatz的时候使用privilege::debug将执行失败。

2.禁用wdigest协议

win7和2008R2之前都是默认开启且无法禁用(win7以及08之后微软默认禁止wdigest协议),需安装KB2871997补丁并执行reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0,修改注册表,修改后mimikatz将无法抓取明文。

3.设置Active Directory2012R2功能级别

windows server 2012R2新增名为"受保护的用户"的用户组,将重要用户放入该组,攻击者就无法使用工具抓取明文密码和hash

针对永恒之蓝的防御

用户之蓝(MS17-010)是一种利用windows系统的SMB协议漏洞来获取系统的最高权限,现在只有一些低版本的电脑没有打MS17-010补丁。

1.禁用SMB1协议

2.安装KB2919355补丁

3.使用防火墙阻止445端口,或者使用进出站规则阻止455端口连接。

PTH攻击缓解策略

最低0.47元/天 解锁文章
老北京砸酱锤
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AD-限制windows用户多点并发登录.docx
09-30
AD-限制windows用户多点并发登录
如何防止AD环境遭受恶意攻击?
weixin_42556618的博客
03-22 241
以WeOps一体化运维平台为基础,深度结合嘉为AD运维服务,全方位提升AD活动目录的安全级别,为企业AD保驾护航。
AD安全攻防实践(附攻防矩阵图)
Ms08067安全实验室
03-28 312
域控为基础架构,通过域控实现对用户和计算机资源的统一管理,带来便利的同时也成为了最受攻击者重点攻击的集权系统。01、攻击篇针对域控的攻击技术,在Windows通用攻击技术的基础上自成一套技术体系,将AD攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段,把环境下众多且繁杂的攻击行为映射到ATT&CK,梳理成一个AD攻防矩阵图。(1)内信息收集当攻击者获得内网某台...
AD渗透测试笔记
渗透测试研究中心
12-16 4854
0X00渗透-Kerberos 1.Kerberos简介 在Kerberos认证中,最主要的问题是如何证明“你是你”的问题,如当一个Client去访问Server服务器上的某服务时,Server如何判断Client是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是Kerberos解决的问题。在渗透过程中Kerberos协议的攻防也是很重要的存在。 2.Kerberos协议框架 在Kerberos协议中主要是有三个角色的存在: 访问服..
域控安全渗透
m0_59598029的博客
02-25 515
在通常情况下、即使拥有管理员权限,也无法读取域控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为域控制器的。ntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,是被Windows操作系统锁定的。
NX-AD2204使用方法.pdf
08-23
NX-AD2204使用方法
ADQuery - Excel VBA - 域控制器AD OU信息查询 - 完整源码
02-06
Excel VBA 查询域控制器指定OU内资源(所有用户,计算机和安全组) ,并联查组内以及下属组内的所属成员及其详细信息, 并时附送完整的VB源代码。(注:文档中所有相关密码都是20080808)
JAVA使用Ldap操作AD方法示例
08-26
主要介绍了JAVA使用Ldap操作AD方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
AD备份和恢复方法
11-10
AD备份和恢复方法AD备份和恢复方法AD备份和恢复方法AD备份和恢复方法
三层网络防护的渗透
LainWith的博客
01-07 2567
目录环境准备网络拓扑配置网卡网络联通性测试一些账号绑定host其他目标信息收集端口扫描美化扫描结果网站探测指纹识别WAF识别目录扫描siteserver 漏洞利用绕狗注入忘记密码上传木马getshell后渗透提权菜刀转msfmsf生成shellcodeAdvanced AV Evasion免杀MSF开启监听获取session进程迁移哈希明文开放的端口-3389关闭防护内网主机发现配置路由配置socks攻击内网OA系统端口扫描getshell信息收集网络信息通网情况服务信息进程信息端口信息系统信息用户信息小结
AD攻防实践』第一期学习笔记
ZAWX_NETSTARSEC的博客
09-01 456
中安网星AD攻防实践系列课程第一期于8月30日晚20:00在bilibili顺利开播,在小伙伴们的积极支持下,获得5000+的人气指数。 直播课程中,Loong716(中安网星御守实验室安全研究员)老师为大家讲解了AD在攻防场景下的安全现状,通过几个经典案例的分析,带大家深入AD的攻防场景,总结关键的防护技术要点。 Loong716老师的讲解思路非常清晰,干货良多,让许多小伙伴直呼“记不过来”,课程结束还意犹未尽,在技术交流群内讨论得热火朝天。 小编看完了整场直播课程,获益匪
AD攻防实践』第二期学习笔记
ZAWX_NETSTARSEC的博客
09-13 602
上一周的直播课中,小伙伴们跟随御守实验室的师傅一起了解了“AD在攻防对抗场景下的安全现状”,课程结束后,我们为大家整理了学习笔记,也将录屏和PPT公布在了公众号和微信群,帮助大家查漏补缺。 在小伙伴们的热情支持下,『AD攻防实践』系列第二期也成功于9月6号晚20:00在bilibili圆满结束。 本期主要内容为“AD安全风险“,由GPP老师讲解,为了方便大家对内风险有更全面深入的理解,GPP老师按照攻击阶段,将内风险分为信息收集、横向移动、权限提升和权限维持四个部分,深入浅出地为我们讲
ADSSP安全防护
weixin_41082546的博客
05-05 1124
一、简介   SSP(Security Support Provider)是windows操作系统安全机制的提供者。简单的说,SSP就是DLL文件,主要用于windows操作系统的身份认证功能,例如NTLM、Kerberos、Negotiate、Secure Channel(Schannel)、Digest、Credential(CredSSP)。   SSPI(Security Suppor...
AD组策略安全管理
weixin_42936145的博客
12-16 8868
信息安全培训-终端安全AD组策略安全管理) 终端安全体系五要素: 身份认证:AD认证、身份标识、角色定义、外部纷争系统等。 准入控制:软件防火墙、802.1X交换机、网关准入控制、ARP、DHCP等。 安全认证:防病毒软件、补丁管理、非法外联管理、存储介质管理、上网行为管理等。 业务授权:业务系统权限控制、业务文档权限控制。 业务审计:业务系统类审计、业务文档类审计。 终端安全概念: 是指每个单独设备必须维护本地安全,即所谓的“末端设备应对自己的安全负责”。 公司网络内的所有终端,包括服务器、客户端、W
环境下用户打开软件需要管理员权限_权限提升 T1134 Windows 令牌窃取及防御
weixin_39855796的博客
12-12 2882
这篇文章将会对Windows 令牌窃取及防御技术进行介绍,所使用的环境是上一篇文章中搭建的环境:搭建一个简单的Windows环境1. 什么是访问令牌Windows 访问令牌(Access Tokens)是一个描述进程或线程安全上下文的对像。令牌中的信息包括与进程或线程关联的用户帐户的标识和特权。当用户登录时,系统通过将用户密码与安全数据库中存储的信息进行比较来验证用户密码。如果密码通...
渗透总结
热门推荐
river
12-19 1万+
渗透总结 学习并做了一段时间网络渗透,给我直观的感受就是思路问题和耐心,这个不像技术研究,需要对一个点进行研究,而是遇到问题后要从多个方面思考,寻找"捷径"思路,只要思路正确,有足够有耐心,总会有所突破。现在将自己遇到的技术点及相关知识做一个总结,不足之处,请批评指正。 ​ -----一只萌新 环境搭建不再详述,参考: > AD环境的搭建 基于Ser...
AD渗透 | MS14068漏洞原理及复现
m0_57221101的博客
04-18 2453
漏洞编号MS14-068的漏洞,将允许任意用户提升到管理员的权限,补丁编号则是KB3011780 原理分析 ​ 在之前提到白银票据攻击的时候,我们仿佛默认了一个用户可以访问任何的服务。但事实上,往往我们需要控制一些账户使他们不能访问一些服务。这时微软引入了PAC的概念,PAC包含了用户的ID,组ID一类的认证信息。进一步的PAC的分析,请期待我之后会发布的Kerberos协议的抓包分析。如果现在就想要进一步了解请看文末的链接,将导向daiker大佬的文章 ​ 在这里PAC权限验证机制产生漏洞的原因是
self-service-password和AD打通
最新发布
06-07
可以使用LDAP协议来实现self-service-password和AD的打通。具体的实现步骤如下: 1. 在AD中创建一个专门用于self-service-password的用户,并授予该用户适当的权限。 2. 在self-service-password的配置文件中,配置AD的连接信息,包括AD的IP地址、端口号、管理员账号和密码等。 3. 在self-service-password的配置文件中,配置LDAP的搜索基准DN和用户过滤条件,以便self-service-password能够正确地在AD中查找用户。 4. 在self-service-password的配置文件中,配置密码策略和验证策略,以确保用户能够安全地修改自己的密码。 5. 在self-service-password的Web界面中,添加AD的认证方式,并配置相关参数。 通过上述步骤,就可以实现self-service-password和AD的打通,让用户可以方便地修改自己的密码,并且不需要管理员的介入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值