擺脫PTH陰影

■山東 趙永華

PTH，全 稱Pass-thehash，意為雜湊值注入，常見的攻擊方式是透過竊取的密碼雜湊值取得，采用了著名的哈希傳遞算法，讓常規(guī)的黑客檢測工具一籌莫展，無法破解。

PTH成因

PTH所需條件幾乎為零，無論系統(tǒng)版本如何，從Server 2008到2012甚至更高都難以阻止，它得逞的要求僅僅是能夠像本地管理員那樣訪問Windows機器，僅此而已！所以，PTH的得手，并不是管理員的用戶密碼策略設(shè)置不夠強，也不是系統(tǒng)的OS不夠新。同時，PTH往往更容易出現(xiàn)在那些具有完善管理模式的單位里，因為具有良好技術(shù)修煉的管理員們?nèi)巳硕剂?xí)慣去配置系統(tǒng)，配置是他們的工作需要，也是他們敬業(yè)的表現(xiàn)，但正因為如此，為PTH打開了長驅(qū)直入的通道。

那么我們?nèi)绾尾拍軘[脫PTH的威脅呢？

勿將本地管理員密碼設(shè)置為相同

為圖省事，將本地管理員賬號和密碼一次性設(shè)置為一樣是司空見慣的作法，卻不知如此正中PTH 下懷。因為PTH 只要一次性擊破本地管理員，那么它就可以在系統(tǒng)內(nèi)如魚得水。對此，有一些可以隨機生成本地管理員密碼的工具。

再次重申不要輕易使用管理員賬戶，尤其是Administrator。比如你只是瀏覽一下網(wǎng)頁，那就作為普通用戶完全可以；如果要在活動目錄內(nèi)執(zhí)行任務(wù)如修改組成員關(guān)系，也只要具有相應(yīng)權(quán)限即可。

取消本地管理員權(quán)限

既然PTH 最看重的是本地管理員權(quán)限，那么我們就干脆取消掉它。你這么做一定會讓PTH 感到沮喪，但別忘了PTH具有超強耐心，它依然會等待下一個時機。為此，需將位于本地管理員組內(nèi)的用戶移出，它們涉及三種對象：一種是本地SAM的本地用戶賬戶，第二種是具有成員關(guān)系的域用戶賬戶，第三種是與該域具有成員關(guān)系的域內(nèi)組賬戶。

一般而言，我們只需要移動域用戶，因為在多數(shù)機構(gòu)中這些用戶正是具有本地管理權(quán)限，為此通過組策略對象GPO設(shè)置完成。該設(shè)置屬于動態(tài)型，它并不關(guān)心用戶名，注重的是登錄成功的用戶。具體設(shè)置項目為User ConfigurationPreferencesControl Panel SettingsLocal Users and Groups。

我們可以看到，該組名為Administrators，可以操作其中的按鈕Remove the Current User 。如果取消本地管理員權(quán)限無法完全施行，可以考慮將每個管理員用戶的密碼設(shè)置為較為安全的密碼（很長，很強，很復(fù)雜），而且密碼應(yīng)當(dāng)經(jīng)常修改，從而減少PTH 攻擊幾率。其配置項為Computer ConfigurationPreferencesControl Panel SettingsLocal Users and Groups。