他谈到了传递哈希攻击以及没有操作系统是安全的。它还包括有关如何在 Windows 而不是 Linux 中降低风险的提示。我能想到的最佳解决方案是当我需要远程访问服务器时使用已知的干净可启动 USB。我还能做什么吗?
答案1
我不同意那篇文章中的许多陈述和暗示——其中大部分是“无可辩驳”。这是只见树木不见森林的现象。
我认为如果攻击者有以下行为:
- 在存储哈希的系统上进行直接内存访问,并且
- 一个可以重放哈希以创建新的恶意会话的平台,
那么他所研究的向量实际上并不重要——一切已经结束,攻击者可以很容易地干扰键盘记录器并获取完整的、预先散列的密码。
我也不同意应该通过只设置一个“超级管理员”(域/企业管理员)来缓解这种情况的说法——这将是一个非常低的公交车号码。
更一般地说,他所谈论的很多内容实际上是微软特有的;当你有直接内存访问时,绝对存在针对其他操作系统的身份验证攻击媒介(存储在代理中的 SSH 私钥相当于 Linux 远程访问,让我们不要忘记针对全盘加密的冻结 RAM 攻击——直接内存访问不需要罐装空气),但他在文章大部分内容中专门讨论的 NTLM 哈希提升是微软独有的事情。
重要的缓解要点:不要让攻击者直接访问内存或获得 root 权限。
但是你已经知道了。
答案2
嗯,这次攻击是针对 Windows 的,如果您希望 Linux 服务器免受该攻击,请不要在其上配置带有 NT Lan Manager 的 samba。