憑證轉儲是攻擊者永久獲取網站訪問的一項重要技術。他們通過網絡釣魚潛入工作網站后，利用管理員管理和監視網絡的常用方法來獲取公開憑據。

在Windows設備網絡上使用這五個技巧，減少企業組織遭受憑證轉儲攻擊的漏洞風險。

一、減少憑證重用

首先，查看自己的網絡管理。因工作之外的任務登錄了多少次網絡?網絡賬戶密碼重復登錄了多少次?

NIST建議企業定期檢查自己的密碼是否在公開的密碼數據庫里。如果在網絡上使用過的密碼出現在密碼泄露列表中，都會使用戶的網絡更容易受到攻擊。

Troy Hunt發布了一個數據庫，包含了超過5億個被盜用的密碼。用戶可以使用各種資源將這些暴露的密碼與自己網絡中使用的密碼進行比較。例如，用戶可以使用密碼過濾器以查看網絡上正在使用的密碼。然后依據組策略給這些密碼做專門的核查。

二、管理本地管理員的密碼

管理本地管理員密碼的重要性不言而喻。本地管理員密碼在整個網絡中不應該一樣。考慮到部署本地管理員密碼解決方案(LAPS)，可以安裝Lithnet LAPS Web應用程序，該應用程序提供了一個簡單的易于移動的Web界面，用于訪問本地管理員密碼。

攻擊者知道，一旦他們獲得了網絡內部的訪問權限并獲取了本地管理員密碼的哈希值，他們便可以在整個網絡中暢通無阻。擁有隨機分配的密碼意味著攻擊者無法橫行。

三、審查和審核NTLM的使用

如果用戶使用的是新技術LAN管理器(NTLM)，則攻擊者可以使用NTLM哈希來訪問其網絡。依靠LM或NTLM身份驗證，結合任何通信協議(SMB，FTP，RPC，HTTP等)使用，會使用戶有攻擊的風險。企業內部設備防御較弱，攻擊者容易入侵。從Windows 7 / Windows Server 2008 R2開始，默認情況下將禁用NTLMv1和LM身份驗證協議，但是現在用戶應該重新檢查并確保執行了NTLMv2，可以使用PowerShell查看網絡中NTLM的使用。

在組策略中，值設置如下：

1. 選擇“開始”。
2. 選擇“運行”。
3. 輸入GPedit.msc。
4. 選擇“本地計算機策略”。
5. 選擇“計算機配置”。
6. 選擇“ Windows設置”。
7. 選擇“安全設置”。
8. 選擇“本地策略”。
9. 選擇“安全選項”
10. 滾動到策略“網絡安全：LAN Manager身份驗證級別”。
11. 右鍵單擊“屬性”。
12. 選擇“僅發送NTLMv2響應/拒絕LM和NTLM”。
13. 單擊“確定”并確認設置更改。

注冊表設置值如下：

1. 打開regedit.exe并導航到HKLM \ System \ CurrentControlSet \ control \ LSA。單擊LSA。如果在右側窗格中看不到LMCompatibilityLevel，則可能需要添加新的注冊表項。
2. 選擇“編輯”。
3. 選擇“新建”。
4. 選擇“ REG_DWORD”。
5. 將“新值#1”替換為“ LMCompatibilityLevel”。
6. 雙擊右側窗格中的LMCompatibilityLevel。
7. 輸入“ 5”代表更改的級別。您可能需要升級打印機上的固件以支持網絡中的NTLMv2。

四、管理“復制目錄更改”的訪問控制列表

攻擊者比用戶更了解如何使用他們域中的賬戶。他們經常會濫用Microsoft Exchange權限組。因此，用戶需要注意域中關鍵功能對安全組和訪問控制列表(ACL)的更改。

當攻擊者修改域對象的ACL時，將創建一個ID為5136的事件。然后，用戶可以使用PowerShell腳本查詢Windows事件日志，以在日志中查找安全事件ID 5136：

Get-WinEvent -FilterHashtable @{logname='security'; id=5136} 

然后，使用ConvertFrom-SDDL4，它將SDDL字符串轉換為可讀性更高的ACL對象。Server 2016及更高版本提供了一個額外的審核事件，該事件記錄了原始和修改后的描述符。

五、監視與Isass.exe交互的意外進程

最后，監視lsass.exe進程中的意外峰值。域控制器將lsass.exe進程用作域事務的常規過程的一部分。拒絕服務和惡意流量可能隱藏在這些進程中。確定域控制器中的正常狀態是監視攻擊時間的關鍵。在域控制器上運行Active Directory數據收集器，基本要求在于網絡正常運行的可視化。

用戶要使攻擊者始終無法入侵，首先要對自己的網絡及其資源使用有良好的基本了解。多花一些時間來理解，這樣攻擊者就不會占上風。