Windows Security Controls
最后更新于
最后更新于
使用Trickest可以轻松构建和自动化工作流程,使用世界上最先进的社区工具。 立即获取访问权限:
应用程序白名单是一份批准的软件应用程序或可在系统上存在和运行的可执行文件列表。其目标是保护环境免受有害恶意软件和与组织特定业务需求不符的未经批准软件的影响。
AppLocker是微软的应用程序白名单解决方案,使系统管理员可以控制用户可以运行的应用程序和文件。它提供对可执行文件、脚本、Windows安装程序文件、DLL、打包应用和打包应用安装程序的细粒度控制。 组织通常会阻止cmd.exe和PowerShell.exe以及对某些目录的写访问,但这些都可以被绕过。
检查哪些文件/扩展名被列入黑名单/白名单:
这个注册表路径包含了AppLocker应用的配置和策略,提供了一种查看系统上当前生效规则集的方式:
HKLM\Software\Policies\Microsoft\Windows\SrpV2
用于绕过AppLocker策略的有用可写文件夹:如果AppLocker允许在C:\Windows\System32或C:\Windows中执行任何操作,那么有可写文件夹可用于绕过此限制。
常见的受信任的"LOLBAS's"二进制文件也可以用来绕过AppLocker。
编写不当的规则也可能被绕过
例如,<FilePathCondition Path="%OSDRIVE%*\allowed*"/>,您可以在任何地方创建一个名为allowed的文件夹,它将被允许。
组织通常会专注于阻止%System32%\WindowsPowerShell\v1.0\powershell.exe可执行文件,但忽略了其他PowerShell可执行文件位置,如%SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe或PowerShell_ISE.exe。
很少启用DLL强制执行,因为它可能会给系统增加额外负载,并需要大量测试以确保不会出现问题。因此,使用DLL作为后门将有助于绕过AppLocker。
您可以使用ReflectivePick或SharpPick在任何进程中执行Powershell代码并绕过AppLocker。有关更多信息,请查看:https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode。
本地凭据存在于此文件中,密码已经被哈希。
凭据(哈希)被保存在此子系统的内存中,用于单点登录。 LSA管理本地安全策略(密码策略,用户权限...),身份验证,访问令牌... LSA将检查提供的凭据是否在SAM文件中(用于本地登录),并与域控制器通信以验证域用户。
凭据被保存在LSASS进程中:Kerberos票证,NT和LM哈希,易于解密的密码。
LSA可能会在磁盘中保存一些凭据:
Active Directory计算机帐户的密码(无法访问的域控制器)。
Windows服务帐户的密码
计划任务的密码
更多(IIS应用程序的密码...)
这是Active Directory的数据库。仅存在于域控制器中。
Microsoft Defender是Windows 10和Windows 11以及Windows Server版本中可用的防病毒软件。它阻止常见的渗透测试工具,如**WinPEAS。但是,有方法可以绕过这些保护**。
要检查Defender的状态,您可以执行PS cmdlet Get-MpComputerStatus(检查**RealTimeProtectionEnabled**的值以了解是否已激活):
您也可以运行以下命令进行枚举:
EFS通过加密来保护文件,利用称为文件加密密钥(FEK)的对称密钥。该密钥使用用户的公钥加密,并存储在加密文件的$EFS 备用数据流中。需要解密时,用户的数字证书对应的私钥用于从$EFS流中解密FEK。更多详细信息可在此处找到。
无需用户启动的解密场景包括:
当文件或文件夹移动到非EFS文件系统(如FAT32)时,它们会自动解密。
通过SMB/CIFS协议发送的加密文件在传输之前会被解密。
这种加密方法允许所有者透明访问加密文件。然而,仅仅更改所有者的密码并登录将不允许解密。
要点:
EFS使用对称FEK,使用用户的公钥加密。
解密使用用户的私钥访问FEK。
在特定条件下会自动解密,如复制到FAT32或网络传输。
所有者可以访问加密文件而无需额外步骤。
检查用户是否使用了此服务,检查路径是否存在:C:\users\<username>\appdata\roaming\Microsoft\Protect
使用cipher /c \<file>检查文件的访问权限。您还可以在文件夹中使用cipher /e和cipher /d来加密和解密所有文件。
这种方式需要受害用户在主机内运行一个进程。如果是这种情况,可以使用meterpreter会话来模拟用户进程的令牌(从incognito中的impersonate_token)。或者您可以直接migrate到用户的进程。
微软开发了群组管理服务帐户(gMSA),以简化IT基础设施中服务帐户的管理。与通常启用“密码永不过期”设置的传统服务帐户不同,gMSA提供了更安全和可管理的解决方案:
自动密码管理:gMSA使用一个复杂的、240字符的密码,根据域或计算机策略自动更改。这个过程由微软的密钥分发服务(KDC)处理,消除了手动密码更新的需要。
增强安全性:这些帐户不会被锁定,也不能用于交互式登录,增强了安全性。
多主机支持:gMSA可以在多个主机之间共享,非常适合在多台服务器上运行的服务。
定时任务功能:与托管服务帐户不同,gMSA支持运行定时任务。
简化的SPN管理:当计算机的sAMaccount详细信息或DNS名称发生变化时,系统会自动更新服务主体名称(SPN),简化了SPN管理。
gMSA的密码存储在LDAP属性_msDS-ManagedPassword_中,并且由域控制器(DCs)每30天自动重置一次。这个密码是一个加密的数据块,称为MSDS-MANAGEDPASSWORD_BLOB,只能由授权管理员和安装了gMSA的服务器检索,确保了一个安全的环境。要访问这些信息,需要一个安全连接,如LDAPS,或者连接必须经过“密封和安全”认证。
您可以使用GMSAPasswordReader来读取这个密码:
还可以查看这个关于如何执行NTLM中继攻击以读取 gMSA 密码的网页。
本地管理员密码解决方案(LAPS),可从Microsoft下载,可管理本地管理员密码。这些密码是随机的、独特的,并且定期更改,存储在Active Directory中。通过ACLs对授权用户进行限制访问这些密码。在授予足够权限的情况下,可以读取本地管理员密码。
LAPSPowerShell 受限语言模式 限制了许多有效使用PowerShell所需的功能,如阻止COM对象,仅允许批准的.NET类型,基于XAML的工作流程,PowerShell类等。
在当前的Windows中,绕过不起作用,但可以使用PSByPassCLM。
要编译它,您可能需要 添加引用 -> 浏览 -> 浏览 -> 添加 C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0\31bf3856ad364e35\System.Management.Automation.dll 并将项目更改为 .Net4.5。
您可以使用ReflectivePick或SharpPick来在任何进程中执行Powershell代码并绕过受限模式。有关更多信息,请查看:https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode。
默认情况下设置为restricted。绕过此策略的主要方法:
更多内容请查看这里
是用于验证用户的API。
SSPI将负责找到两台想要通信的机器的适当协议。首选方法是Kerberos。然后SSPI将协商将使用哪种验证协议,这些验证协议称为安全支持提供程序(SSP),以DLL的形式位于每台Windows机器中,两台机器必须支持相同的协议才能通信。
Kerberos:首选
%windir%\Windows\System32\kerberos.dll
NTLMv1和NTLMv2:兼容性原因
%windir%\Windows\System32\msv1_0.dll
Digest:Web服务器和LDAP,密码以MD5哈希的形式
%windir%\Windows\System32\Wdigest.dll
Schannel:SSL和TLS
%windir%\Windows\System32\Schannel.dll
Negotiate:用于协商要使用的协议(Kerberos或NTLM,Kerberos是默认值)
%windir%\Windows\System32\lsasrv.dll
用户账户控制(UAC)是一项功能,可为提升的活动启用同意提示。
UAC - User Account Control使用Trickest轻松构建和自动化工作流程,由全球最先进的社区工具驱动。 立即获取访问权限:
