听说本地Windows管理员可在没有密码的情况下劫持会话,这是如何实现的?如何阻止这中会话劫持?
Judith Myerson:如果攻击者具有本地Windows管理员权限,则可在不知道用户密码的情况下,远程劫持用户的会话。
如果目标用户被锁定在其工作站之外,攻击者可以访问工作站。此操作要求攻击者具有NT AUTHORITY/SYSTEM权限,他可使用whoami命令来查询。同时,攻击者必须设置远程桌面协议才能连接到受害者的机器。
在会话劫持开始之前,攻击者进入任务管理器的用户选项来查看每个用户账户的状态,任务管理器比命令行更容易获取用户状态。本地管理员账户需要始终处于活跃状态,控制台被分配作为会话名。例如,如果目标用户是银行职员,他去就餐之前停止了会话,则攻击者无法连接到员工的工作站。
在查看任务管理器后,攻击者会打开命令提示符窗口,并输入命令行来完成会话劫持。PsExec命令的参数(或选项)会被恶意更改,受害者的远程会话连接回到攻击者,攻击者返回任务管理器,并恶意访问受害者的会话。当受害者吃完午餐回来时,他不会知道自己已经被劫持。
以色列研究人员Alexander Korznikov在Windows 2012和Windows 2008服务器以及Windows 10和Windows 7测试了这种类型的会话劫持攻击。为了阻止这种类型的会话劫持攻击,应该建立组策略。此策略应该包括防止非特权用户获得本地管理员权限,该策略还应该阻止本地管理员返回用户的远程会话。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
怎样应对会话劫持:以Firesheep为例
本文将探讨Web认证背后的机制,正是这种认证使得会话劫持可以成功,以及Firesheep如何利用这些漏洞,我们可以采取什么保护措施等内容。
-
如何利用组策略优化win7安全
针对Windows 7的优化设置方法层出不穷,用户往往是东拼西凑,没个头绪,而且这些方法经常真伪难辨,效果到底如何用户也无从知晓。用户该怎么办呢?
-
用组策略限定域用户只能登录自己的电脑(附图)
熟悉微软AD环境的人都知道,在默认情况下,使用任意一个域帐户是可以登录除域控DC以外的任何域成员计算机的,这就给我们的企业信息安全带了一个很大的隐患……
-
小方法 轻松解救无法启动的系统组策略
组策略的基本原理就是修改注册表中相应的配置项目,从而达到配置计算机的目的,并且比手工修改注册表更安全、方便、灵活。但有时我们就会碰到“组策略”无法启动的故障……