凭据强化
当攻击者获得计算机访问权限时,他们的首要目标几乎总是相同的:窃取用户凭据。凭据是通往系统的钥匙。一旦被攻破,攻击者可以冒充合法用户、提升权限、横向移动网络,最终控制关键系统。
这就是为什么凭据保护是端点安全最重要的支柱之一。
攻击者在初始访问后通常会:
- 提取已登录用户的凭据
- 尝试权限提升
- 从系统中收集缓存或存储的凭据
- 横向移动至其他机器
- 破坏域账户和服务器
凭据被盗使攻击者能够以受信任身份操作,增加检测难度并加剧损害程度。
Windows 如何存储凭据
在 Windows 系统中,敏感的身份验证数据存储在特定系统组件中,包括:
- LSASS 内存: 本地安全授权子系统服务(LSASS)在内存中存储身份验证凭据,包括密码哈希、Kerberos 票据及其他安全令牌。
- SAM 配置单元: 安全账户管理器(SAM)配置单元存储本地账户密码哈希。如果攻击者访问到 SAM 数据库(在线或离线),他们可以尝试破解密码哈希并在网络中重复使用。
什么是凭据强化?
凭据强化是一种安全措施,旨在防止未授权访问这些敏感凭据存储位置。
凭据强化不会等待凭据转储成功,而是:
- 限制访问 LSASS 内存
- 保护 SAM 配置单元免遭未授权读取
- 监控试图访问这些位置的进程
- 立即阻止或终止可疑进程
- 实时记录并提醒管理员
这确保即使恶意软件成功入侵,也难以轻易提取凭据。
配置凭据强化策略
- 审计模式: 监控凭据访问并报告可疑活动。
- 防护模式: 阻止未授权的凭据访问,防止凭据被窃取。
LSASS 保护(RunAsPPL)阻止未授权访问本地安全授权子系统服务(LSASS)进程,LSASS 负责执行安全策略和存储敏感凭据。
- 已启用: 限制 DLL 或其他进程访问 LSASS 内存。
- 已禁用: 允许 DLL/进程访问 LSASS 内存,增加凭据被窃取的风险。
注意: 启用 RunAsPPL 后,未签名的 DLL 将无法访问 LSASS。这可能影响使用自定义身份与访问管理解决方案的环境。建议在部署到生产环境前,在测试环境中进行验证。
