我刚读这篇文章:
http://www.infoworld.com/d/security/stop-pass-the-hash-attacks-they-begin-167997?page=0,2&source=IFWNLE_nlt_daily_2011-07-26
他谈到了传递哈希攻击以及操作系统的安全性.它还包括有关如何降低Windows风险而不是Linux风险的提示.我能想到的最佳解决方案是在需要远程访问服务器时使用已知的干净可启动USB.还有什么我可以做的吗?
解决方法
我不同意该文中的一些陈述和含义 – 其中大多数都是“没有辩护”.这是一个错过树木森林的案例.
我认为如果攻击者有:
>在存储哈希的系统上直接访问内存,以及
>用于重放哈希以创建新的恶意会话的平台,
然后他正在处理的矢量确实无关紧要 – 它已经结束了,攻击者也可以轻松地说出一个键盘记录器,并获得完整的预先调整过的密码.
我也不同意这样的说法,即应该通过只有一个“superadmin”(域/企业管理员)来减轻这种情况 – 这将是一个非常低的bus number.
更一般地说,他所谈论的很多东西都是微软特有的;当你有直接的内存访问时,存在对其他操作系统的绝对认证攻击向量(存储在代理中的SSH私钥对于Linux远程访问是等效的,让我们不要忘记针对全盘加密的冻结RAM攻击 – 没有罐装空气需要直接内存访问),但他专门针对大部分文章解决的NTLM哈希提升只是微软的事情.
重要的缓解措施:不要给攻击者直接内存访问或root权限.
但是你已经知道了.