拦截通过技术
大多数研究人员认为哈希值传递攻击还不算严重的问题,而攻击者能够以高级别权限访问哈希的事实则更加令人担忧,攻击者获得管理权限后还有什么做不到的?在Active Directory网络中,攻击者必须获得域控制器的管理员权限才能够得到大多数用户的哈希,这意味着在大多数情况下,攻击者实际上已经成了域管理员。从这点来看,哈希值传递攻击只是一小部分问题而已。
对于这种攻击,安全专家的最大建议就是,阻止或者尽量控制域管理员登陆到非域控制器以及执行非Active Directory管理任务。域管理员只能登录来执行限制给域管理员的任务,即便如此,这些任务也只能在域控制器上执行。在Active Directory中,通常分配给域管理员任务中有95%的任务(例如用户和计算机账户管理、组策略更新等)可以利用Active Directory Delegation Control向导分配给不是域管理员组的专门的团队来执行。
默认情况下,域管理员是每个域计算机群的本地管理员组中的成员,他们对于所有资源都有完全控制的权力,我们应该从本地管理员组移除域管理员,并且增加需要对特定计算机的完全控制力的特定角色组。域管理员真的需要对大部分重要数据库和所有敏感数据的完全控制吗?
另外,需要定期对不同域管理员执行的任务进行归档。然后创建特定角色组,并将这些任务分别分配给合适的组,下一步,移除所有“不需要的”域管理员,连系其余的域管理员,保证高度安全性。可以像某些公司一样部署一些特殊的工具(如CyberArk和Cloakware等)来简化管理和控制高权限管理员的任务。
这里的主要建议就是尽量控制高权限管理员的数量,防止他们使用其证书登录普通工作站,因为普通工作站比受到良好保护的域控制器更容易被攻击。
防御哈希值传递攻击的其他方法还包括对高权限用户登录过的电脑进行重新启动,这能够防止哈希存储到内存,因为攻击者能够在内存很轻松地获取哈希值传递。
服务器和域隔离是最大限度控制哈希值传递攻击范围的最佳方法,这样不仅可以防止攻击者获取大多数计算机和服务器的访问权限,还可以让攻击者的活动触发其他纵深防御程序,例如IDS和防火墙等。
此外,使用杀毒软件扫描软件来检查哈希值传递工具,如果你在系统环境中发现任何这种工具,你将需要立刻进行调查,这个方法是对已部署的防御措施的补充,能够帮助防止攻击者获取对系统的高级别访问权限。
所有这些建议归结起来无非就是最低特权安全政策,按照上述建议来操作比阻止哈希值传递攻击更能提高安全性。
