高等域渗入手艺之通报哈希已死-LocalAccountTokenFilterPolicy万岁 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

高等域渗入手艺之通报哈希已死-LocalAccountTokenFilterPolicy万岁

申博_安全防护 申博 104次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

约莫三年前,我写了一篇名为”通报哈希已死: 久长的哈希通报要领引见”的文章,细致论述了微软 KB2871997补钉的一些操纵寄义。 在平安发起中有一句迥殊的话,”这个功用的转变包罗: 防备收集登录和运用当地帐户长途交互登录到到场域的机械… …”使我置信(在曩昔3年中)补钉修正了 Windows 7和 Server 2008的行动,以防备经由过程非 rid 500的当地治理员帐户通报哈希的才能。 我的同事Lee Christensen近来指出,只管微软的说话云云,但这类说法现实上是不准确的,而且状况比我们末了以为的要玄妙很多。 值得注重的是,pwnag3的开创性文章”微软方才宣布的KB2871997和 KB2928120打破了甚么?”也遭受了和我末了宣布的文章一样的误会。

我们如今对这些话题有了更好的明白,并愿望尽量地廓清事实。 这是我对终究认识到 KB2871997在大多数状况下与阻挠 Windows 企业运用 pass-the-hash”复杂化”毫无关系的致歉。 关于近3年来流传毛病信息的致歉-我愿望填补我的毛病:)自始自终,若是在这篇文章中有毛病,请让我晓得,我会更新!

廓清 KB2871997 补钉的误会

那末,若是这个补钉不克不及自动”防备收集登录和长途交互式登录到运用当地帐户到场域的机械”,那它现实上做了甚么呢? 正如 Aaron Margosis 所形貌的,该补钉引入了两个新的平安标识符(sid) : S-1-5-113(NT AUTHORITY Local account)和 S-1-5-114(NT AUTHORITY Administrators 用户组的当地账户和成员)。 正如 微软官方的文章中细致引见的那样,能够经由过程组战略运用这些 sid 来有用地阻挠长途登录运用一切当地治理帐户。 请注重,虽然 KB2871997将这些 sid 反向移植到 Windows 7和 Server 2008 / 2012,但它们在 Windows 8.1和 Server 2012 R2 + 的操纵系统中默许兼并了。 这是Sean Metcalf 之前提到过的,Araon在微软文章的批评中迥殊阐清楚明了这一点。

旁注: 荣幸的是,这也意味着在域上经由身份验证的任何用户都能够罗列这些战略并检察哪些机械设置了这些限定。 我将在今后的文章中引见怎样实行这类范例的罗列和相关性。

我毛病地以为,这个补钉修正了 Windows 7机械上的现有行动。 自从 Windows Vista 以来,进击者一向没法将哈希通报给非内置的 RID 500 Administrator 的当地治理员帐户(在大多数状况下,请参阅下面给出的更多内容)。 在这里我们能够看到 KB2871997没有安装在基础的 Windows 7上:

高等域渗入手艺之通报哈希已死-LocalAccountTokenFilterPolicy万岁

然则,运用当地治理员成员的非 rid 500的admin帐户实行 哈希通报进击会失利:

高等域渗入手艺之通报哈希已死-LocalAccountTokenFilterPolicy万岁

因而,这类行动以至在 KB2871997宣布之前就存在了。 形成这类殽杂的局部原因是平安正告中运用的言语,但我对没有经由充足测试状况和通报准确的信息负有责任。 虽然我们强烈推荐 Aaron 的发起,即在这些新的 sid 中布置 gpo,以资助减缓内网渗入,但我们依然对保留了KB的原始题目的权益以为自满;)

高等域渗入手艺之通报哈希已死-LocalAccountTokenFilterPolicy万岁

长途接见和用户帐户掌握

那末,若是补钉不影响这类行动,那又是甚么阻挠了我们运用当地治理员帐户通报哈希呢? 为何 RID 500帐户能够作为特殊状况运作? 另外,为何作为当地治理员用户组成员的域帐户也不受这类阻挠行动的影响? 另外,在曩昔的几年中,我们还注重到在一些商定,通报-哈希进击依然能够在非 rid 500的当地治理员帐户上事变,只管补钉正在运用。 这类行动一向搅扰着我们,但我们以为我们终究能够诠释一切这些抵牾。

一切这些题目的真正罪魁祸首是长途接见高低文中的用户帐户掌握(UAC)令牌过滤。 我一样平常总是在当地主机操纵的高低文中会斟酌 UAC,然则这关于长途状况也有林林总总的寄义。 微软官方的”Windows Vista 运用程序开辟对用户帐户掌握兼容性的请求”文档中的”用户帐户掌握和长途场景”局部和”Windows Vista 顶用户帐户掌握和长途限定的形貌”局部都屡次诠释了这类行动,并为我小我廓清了几点。

关于任何非 rid 500的当地治理员帐户长途衔接到 Windows Vista+ 的盘算机,无论是经由过程 WMI、 PSEXEC 照样其他要领,返回的令牌都是”已过滤的”(即中等完整性) ,即运用户是当地治理员。 由于没有要领能够长途升级到高完整性的高低文,除非经由过程 RDP (除非启用”受限治理”形式,不然须要明文暗码) ,令牌才会连结中等完整性。 因而,当用户试图长途接见一个特权资本(比方 admin$)时,他们会收到一条”Access is Denied”音讯,只管从技术上讲他们确切具有治理接见权限。 不外,我立时就会获得 RID 500的破例案例;)

关于当地”治理员”组中的当地用户帐户,”Windows Vista 用户帐户掌握兼容性运用程序开辟请求”文档形貌了以下行动:

在 Windows Vista 盘算机的当地平安帐户治理器(SAM)数据库中具有治理员帐户的用户长途衔接到 Windows Vista 盘算机时,该用户在长途盘算机上没有特权提拔的潜力,不克不及实行治理义务。

微软官方宣布的”形貌 Windows Vista 中的用户帐户掌握和长途限定”的文章顶用另一种体式格局形貌了这一点:

当目的长途盘算机上的当地治理员用户组的成员的用户竖立长途治理衔接时… … 他们将不会以完整的治理员身份衔接。 用户在长途盘算机上没有特权提拔潜力,而且用户没法实行治理义务。 若是用户愿望运用平安帐户治理器(SAM)帐户治理事变站,则用户必需交互式地登录到要运用长途辅佐或长途桌面治理的盘算机。

关于当地”治理员”用户组中的域用户帐户,文档中有以下声明:

再见,传统社保卡!你好,电子社保卡!期待!信息安全保障也要做到位哦!

近期,人社部重磅宣布,全国统一、全国通用的电子社保卡即将到来!传统社保卡进入了被取代的倒计时! 缴费、领钱、发待遇……,电子社保卡功能逆天  未来,电子社保卡的功能将逆天强大,将极大的方便我们的生活。 1.个人信息查询、业务申办 2.政务门户网站快速注册和登录 3.移动支付 电子社保卡同时具有移动支付功能,可用于线上参保缴费、考试缴费、培训缴费、医疗费结算等。 4.实现身份凭证功能 向智慧城市服务拓展,发挥电子社保卡身份凭证功能,与交通出行、公用事业、小额支付等场景结合,推进在入园、入馆、出行等方面的应用。 5.民

当具有域用户帐户的用户长途登录到 Windows Vista 盘算机,而且该用户是 Administrators 用户组的成员时,域用户将运用长途盘算机上的完整治理员接见令牌运转,而且长途盘算机上的用户在该会话时期会禁用 UAC。

这就诠释了为何当地治理帐户在长途接见时会失利(除经由过程 RDP) ,和为何域帐户倒是胜利的。 然则,为何内置的500 RID 治理员帐户会作为一个特殊状况呢? 由于默许状况下,内置治理员帐户(纵然重命名)运用了完整的治理特权(“完整令牌形式”)运转了一切的运用程序,这意味着用户帐户掌握没有获得有用运用。 因而,当运用此帐户启动长途操纵时,将授与完整高完整性(即未过滤的)的令牌,许可准确的治理接见!

只要一个破例——”治理同意形式”。 指定此选项的注册表键位于 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken,默许状况下是禁用的。 然则,若是启用此密钥,RID 500帐户(纵然已重命名)将被注册为 UAC 珍爱。 这意味着运用该帐户的机械的长途 PTH 将会失利。 然则关于进击者来讲,另有一线愿望——这个密钥通常是经由过程组战略设置的,这意味着任何经由域身份验证的用户都能够经由过程 GPO运用程序罗列机械所做的事变和不设置 FilterAdministratorToken键值。 虽然这会疏忽在规范”gold”镜像上设置键值的状况,然则从进击者上岸的初始机械上实行这个键值罗列,连系 GPO 罗列,应当能够掩盖大多数状况。

请记着,只管 Windows 默许禁用了内置的500 Administrator 帐户,但在企业中启用该帐户的状况依然相称广泛。 我末了宣布的关于 pass-the-hash 的文章涵盖了这些信息的基础长途罗列,这篇文章将进一步细致引见这些信息。

LocalAccountTokenFilterPolicy

关于我们进击者来讲,另有一线愿望,另有一些比我们末了意想到的更具防备意义的器械。 Jonathan Renard 在他的”*Puff* *Puff* PSExec”的文章中提到了个中一些器械(和治理员同意形式) ,然则我想扩大一下关于全部 pass-the-hash 议论的内容。

若是 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy 键存在(默许状况下不存在)并设置为了1,那末在协商时期,治理员用户组的一切当地成员的长途衔接都被授与完整高完整性的令牌。 这意味着非 rid 500帐户衔接不会被过滤,而且能够胜利地通报哈希!

高等域渗入手艺之通报哈希已死-LocalAccountTokenFilterPolicy万岁

高等域渗入手艺之通报哈希已死-LocalAccountTokenFilterPolicy万岁

高等域渗入手艺之通报哈希已死-LocalAccountTokenFilterPolicy万岁

那末为何要设置这个注册表条目呢? 在谷歌上搜刮这个症结称号会涌现分歧的状况。在我们如今所说的这类状况下,这是一种处理方案,但有一个罕见的功用: Windows Remoting。 有大批的微软文档发起将 LocalAccountTokenFilterPolicy 设置为1,来作为处理种种题目的要领或处理方案:

· “不发起经由过程变动掌握长途 UAC 的注册表项来禁用长途 UAC,但能够有须要..”

· “Set-ItemProperty –Path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System –Name LocalAccountTokenFilterPolicy –Value 1 –Type DWord”

· “用户帐户掌握(UAC)会影响对 WinRM 效劳的接见”

· “… 你能够运用 LocalAccountTokenFilterPolicy 注册表项来变动默许行动,并许可治理员用户组的成员的长途用户运用 Administrator 特权运转”

· “怎样禁用 UAC 长途限定”

另外,我置信在某些状况下,WinRM 的quickconfig 敕令以至能够自动设置这个键,然则我不克不及可靠地从新建立这个场景。在微软的”从长途盘算机猎取数据”的文档中做了进一步的细致诠释:

由于运用了用户帐户掌握(UAC) ,长途帐户必需是域帐户和长途盘算机 Administrators 用户组的成员。 若是帐户是 Administrators 用户组的当地盘算机成员,则 UAC 不许可接见 WinRM 效劳。 要接见事变组中的长途 WinRM 效劳,必需经由过程建立以下 DWORD 注册表项并将其值设置为1来禁用针对当地帐户的 UAC 过滤: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] LocalAccountTokenFilterPolicy。

这是个坏发起,坏坏坏坏坏透了的发起! 我意想到能够须要这个设置来资助一些特定的 WinRM 布置场景,然则一旦 LocalAccountTokenFilterPolicy 被设置为1,那末就能够运用机械上的 任何(注重是任何!)当地治理员帐户来向目的通报-哈希。 我以为大多数人,包罗我本身,还没有意想到这个修正所隐含的现实平安寄义。 我在一切的微软文档中看到的独一真正的正告是”注重: LocalAccountTokenFilterPolicy 条目将禁用一切受影响的盘算机的一切用户的用户帐户掌握(UAC)长途限定。 在转变战略之前,要细致斟酌这类配景的影响。”。 由于这类设置会给企业情况带来伟大的风险,因而我愿望从微软那边获得更好的明白指点和正告,而不仅仅是”斟酌其影响”,然则¯\_(ツ)_/¯

从操纵角度来讲(从进击性的角度来看) ,最好检查一下你的跳板机械上是不是将 LocalAccountTokenFilterPolicy 键设置为了1,由于统一子网或OU中的其他机械也能够具有雷同的设置。 你还能够枚举组战略设置,看看这个注册表键是不是是经由过程 GPO 设置的,这也是我将在今后的文章中议论的内容。 末了,你能够运用 PowerView 枚举任何启用了 Windows Remoting 的 Windows 7和 Service 2008机械,愿望它们运转的 Windows Remoting 没有准确设置:

Get-DomainComputer -LDAPFilter "(|(operatingsystem=*7*)(operatingsystem=*2008*))" -SPN "wsman*" -Properties dnshostname,serviceprincipalname,operatingsystem,distinguishedname | fl

高等域渗入手艺之通报哈希已死-LocalAccountTokenFilterPolicy万岁

一样值得注重的是,微软的 LAPS 现实上让这里的一切都变得毫无意义。 由于 LAPS 按期为盘算机随机设置当地治理员暗码,以是通报哈希依然能够有用地事变,但它极大地限定了规复和重用当地密钥的才能。 这使得传统的 PTH 进击(至少是当地账户)基础上变得无效。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明高等域渗入手艺之通报哈希已死-LocalAccountTokenFilterPolicy万岁
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址