全新指南用以缓解顽固攻击者偏爱的攻击手段：哈希传递

作者：可信赖计算部，总经理 Matt Thomlinson

由顽固的攻击者所发起的针对性攻击（也称为高级持续性威胁，或称 APT）最近成为了一个热门话题。尽管针对性攻击在我们目前所见的攻击数量中依然只占很小一部分，但以组织和政府机构为目标进行攻击的报道还是引起了极大关注。我们知道，顽固的攻击者要想成功入侵目标组织的网络，首先要做的事情之一就是尝试入侵该组织的目录服务。原因很明确：目录服务包含用户、管理员和系统在网络中进行身份验证和访问组织各类资源时要使用的凭据。如果攻击者能够获得对 Active Directory 的管理员访问权限，那么组织也就变得毫无安全可言。

在我们见过的大量针对性攻击中，攻击者们试图使用一种“哈希传递”（Pass-the-Hash，简称 PtH）技术来访问这些凭据。今天，微软发布了一本题为“缓解哈希传递 (PtH) 攻击和其它凭据窃取技术”（英文）的白皮书，内容丰富详实，涵盖各种缓解技术和指导说明。鉴于这类攻击的流行范围之广，我们希望确保客户能够获得最全面的指导，以帮助他们实施这些经过测试的缓解技术。 

PtH 攻击涉及的技术如下：攻击者捕获一台计算机上的帐户登录凭据，然后使用这些捕获到的凭据在网络中的其它计算机上进行身份验证。意识到以下事实至关重要，即这已经是攻击的第二阶段 – 攻击的第一阶段是，攻击者必须渗透和入侵到一台计算机中以获取其中存储的凭据。从概念上来说，PtH 攻击与窃取密码攻击非常类似，不过前者更依赖于偷取和重用密码的哈希值，而非实际的纯文本密码。密码哈希值是密码的单向数学表示，可以直接作为身份验证凭据从而获得服务访问权限，这与用户通过单点登录 (SSO) 进行身份验证可谓“殊途同归”。

今天发布的白皮书详细说明了一些实用有效的防止 PtH 攻击的缓解技术。本白皮书对这些技术的有效性和需要做的工作进行了分级，并且详细说明了它们能否阻止特权提升和/或横向移动。根据我们的分析，微软建议使用三种主要的缓解策略来抵御 PtH 攻击，这些策略全部被使用在当前 Windows 操作系统所提供的安全机制中。

缓解策略 1 – 限制和保护具有高特权等级的域帐户 – 限制管理员的能力，以防他们无意中将特权凭据泄漏给高风险计算机。

缓解策略 2 – 限制和保护具有管理员权限的本地帐户 – 限制攻击者使用本地管理员帐户或同级帐户来发起横向移动 PtH 攻击的能力。

缓解策略 3 – 使用 Windows 防火墙限制入站流量 – 通过使用本地 Windows 防火墙阻止所有工作站上的入站连接，限制攻击者从受损工作站上启动横向移动的能力。

下面的表格对不同的缓解技术进行了分类，并针对其它可能的缓解技术提供了更多建议和分析。

本白皮书旨在为 IT 专业人员提供简单明了、可操作的指导，可以即刻在组织内实施以有效抵御 PtH 攻击。本白皮书中列举的 PtH 规避技术由微软公司多个安全团队开发，包括 Microsoft Server and Tools Business、微软咨询服务 (MCS)、Microsoft IT Information Security and Risk Management、Microsoft Office 365 Security、Microsoft Windows Security and Identity Team、Interactive Entertainment Business 以及微软可信赖计算。 

如果您正在寻求如何缓解哈希传递或其它凭据窃取攻击方面的指导，我强烈建议您阅读本白皮书并在您的环境中应用这些指导。https://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques_English.pdf

Matt Thomlinson
总经理
可信赖计算部