憑據轉儲是網絡攻擊者用于獲取目標網絡持久訪問權的一項重要技術。他們通過網絡釣魚的方式潛入目標企業的網絡工作站中，然后利用管理員管理和監視網絡的典型方法從操作系統和軟件中獲取帳戶登錄名和密碼信息，通常是哈?；蛎魑拿艽a形式的信息。進行憑據轉儲后，攻擊者就可以使用這些憑據進行橫向移動及訪問受限信息。 

憑據對于攻擊者而言是如此重要，以致在許多情況下，獲取用戶名和密碼不僅是達到目的的手段，而且是攻擊的整個目標。因此，在各種犯罪論壇上，憑據都是可出售的商品，并且有些網站可以追蹤公開的憑據轉儲情況。

可以說，任何企業組織都可能存在使他們容易受到憑據轉儲攻擊影響的漏洞。以下是識別此類漏洞或限制這種風險的5種方法，希望可以幫助企業組織更好地防范憑據轉儲攻擊。

1. 限制憑據重用

根據《Verizon數據泄露調查報告》顯示，“憑據重用”仍然是攻擊者獲取權限或在內網移動的主要方式之一。這是有道理的，因為對于攻擊者來說，用戶名和密碼并不難獲取。弱密碼、密碼重復使用和眾多的密碼公開泄露使得攻擊者能夠輕松找到入侵網絡的憑據。他們一旦進入網絡，想要獲取更多的憑據就會變得更容易。此外，許多網絡釣魚攻擊也都在試圖獲取用戶憑據，然后將其用于獲取網絡權限的惡意活動中。

這種情況下，我們應該怎么做呢?首先，查看自己的網絡管理。查找陌生登錄地點。此外，在奇怪的時間登錄，或者同時有多人登錄也是異?，F象。即使你無法在第一時間檢測到可疑登錄，但在事件響應的時候，這些異常事件會讓你發現攻擊者進入了網絡，此時，你可以在日志中查找可疑活動并將其標記，以便進一步調查時使用。

NIST建議稱，企業組織應該定期檢查自己的用戶密碼是否在公開的密碼數據庫中。如果在網絡上使用過的任何密碼信息出現在密碼泄露列表中，都會使您的網絡更容易受到攻擊影響。

Troy Hunt已經發布了一個數據庫，其中包含超過5億個被盜用的密碼信息。您可以使用各種資源來將這些泄露的密碼與您自己網絡中使用的密碼進行比較。例如，您可以使用密碼過濾器在Active Directory域上為Active Directory安裝Lithnet密碼保護(LPP)，以查看網絡上正在使用的密碼。然后使用組策略來自定義這些密碼的檢查。當然，您可以選擇“拒絕”或“允許”這些操作。

2. 管理本地管理員密碼

企業組織必須清楚地明白管理本地管理員密碼的重要性。這些密碼在整個網絡中不應該完全設置成一樣的。為了方便記憶，企業組織可以考慮部署本地管理員密碼解決方案(LAPS)。也可以安裝Lithnet LAPS Web應用程序，該應用程序提供了一個簡單的基于Web的移動友好型界面，用于訪問本地管理員密碼。

攻擊者們知道，一旦他們獲得了網絡內部的訪問權限并獲取了本地管理員密碼不幸遺留的哈希值，他們便可以在整個網絡中進行橫向移動。擁有隨機分配的密碼意味著攻擊者將無法執行這種橫向移動。

3. 查看并審核NTLM的使用情況

如果您正在使用的是New Technology LAN Manager(NTLM)，那么攻擊者就可以使用NTLM哈希來訪問您的網絡。依靠LM或NTLM身份驗證與任何通信協議(SMB、FTP、RPC、HTTP等)結合使用，會將您置于此類攻擊風險之中。只要您的企業內部存在哪怕一臺脆弱設備，攻擊者也能夠見縫插針，趁虛而入。從Windows 7 / Windows Server 2008 R2開始，默認情況下NTLMv1和LM身份驗證協議是禁用的，但是現在，是時候重新檢查一下您的設置，以確保您已經授權執行了NTLMv2。您可以使用PowerShell查看網絡中NTLM的使用情況。

在組策略中，將值設置如下：

◆選擇“開始”。選擇“運行”;

◆輸入GPedit.msc;

◆選擇“本地計算機策略”;

◆選擇“計算機配置”;

◆選擇“ Windows設置”;

◆選擇“安全設置”;

◆選擇“本地策略”;

◆選擇“安全選項”;

◆滾動到策略“網絡安全：LAN Manager身份驗證級別”;

◆右鍵單擊“屬性”;

◆選擇“僅發送NTLMv2響應/拒絕LM和NTLM”;

◆單擊“確定”并確認設置更改;

注冊表設置值如下：

◆打開regedit.exe并導航到HKLM \ System \ CurrentControlSet \ control \ LSA。單擊LSA。如果在右側窗格中看不到LMCompatibilityLevel，則可能需要添加新的注冊表項。選擇“編輯”。

◆選擇“新建”;

◆選擇“ REG_DWORD”;

◆將“New Value#1”替換為“ LMCompatibilityLevel”;

◆雙擊右側窗格中的LMCompatibilityLevel;

◆輸入“ 5”代表更改的級別。您可能需要升級打印機上的固件以支持網絡中的NTLMv2;

4. 管理“復制目錄更改”的訪問控制列表

攻擊者比我們更了解如何使用我們域中的賬戶。他們經常會濫用Microsoft Exchange權限組。因此，您需要監視域中關鍵功能對安全組和訪問控制列表(ACL)的更改。審核并監視您域中ACL的任何更改。

當攻擊者修改域對象的ACL時，將創建一個ID為5136的事件。然后，您可以使用PowerShell腳本查詢Windows事件日志，以在日志中查找安全事件ID 5136：

然后，使用ConvertFrom-SDDL4，它能夠將SDDL字符串轉換為可讀性更高的ACL對象。Server 2016及更高版本提供了一個額外的審核事件，該事件記錄了原始和修改后的描述符。

5. 監視與Isass.exe交互的異常進程

最后，監視lsass.exe進程中的異常峰值。域控制器將lsass.exe進程用作域事務的常規過程的一部分。拒絕服務(DoS)和惡意流量可能隱藏在這些進程之中。確定域控制器中的正常狀態是監視攻擊時間的關鍵。在域控制器上運行Active Directory數據收集器，以你在網絡上看到的正常進程做基線，監視出現的異常進程。

如果想要始終將攻擊者擋在門外，首先，我們要對自己的網絡及其資源使用情況有個良好的基本認知。正所謂“知己知彼方能百戰不殆”，花一些時間來加深理解，才不至于每每讓攻擊者占據上風。