windows日志发现域内信息收集
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
Lan Manager协议包括LM、NTLM和LTLMv2。LM哈希可通过mimikatz获取,导致哈希传递攻击。可通过组策略禁用LM哈希生成。NTLM用于本地和域账户认证,过程包括身份验证请求、挑战生成与响应、验证等。默认情况下,NTLM支持匿名登录。
🎯
关键要点
- Lan Manager协议包括LM、NTLM和LTLMv2。
- LM哈希可通过mimikatz获取,导致哈希传递攻击。
- 可以通过组策略禁用LM哈希生成。
- NTLM用于本地和域账户认证,认证过程包括身份验证请求、挑战生成与响应、验证等。
- 默认情况下,NTLM支持匿名登录。
❓
延伸问答
什么是LM哈希,它有什么安全风险?
LM哈希是Lan Manager协议中的一种哈希值,可以通过mimikatz获取,导致哈希传递攻击的风险。
如何禁用LM哈希生成?
可以通过组策略禁用LM哈希生成,路径为计算机配置\\Windows设置\安全设置\本地策略\安全选项。
NTLM协议的认证过程是怎样的?
NTLM协议的认证过程包括身份验证请求、挑战生成与响应、以及验证响应等步骤。
NTLM协议支持哪些类型的账户认证?
NTLM协议支持本地账户认证和域账户认证。
NTLM协议默认情况下支持什么功能?
默认情况下,NTLM协议支持匿名登录。
如何通过组策略配置NTLM的攻击面减少规则?
可以通过组策略配置NTLM的攻击面减少规则,路径为Windows组件>Microsoft Defender防病毒>Microsoft Defender攻击防护。
➡️
