来自 防护 2022-06-08 23:00 的文章

cdn防御cc_防御ddos公司_免费试用

cdn防御cc_防御ddos公司_免费试用

Windows权限滥用:审核、检测和防御Palantirfollow2019年1月30日·10分钟读取

权限是Windows中重要的本机安全控制。顾名思义,特权授予帐户在操作系统内执行特权操作的权利:调试、模拟等。了解特权以及攻击者如何滥用特权的捍卫者可以增强其检测和攻击表面还原能力。

在这篇博文中,我们简要介绍了特权,并分享了我们发现和防止特权滥用的建议。我们将介绍防御者保护特权所需了解的关键概念,并举例说明如何通过审核、检测策略和,和有针对性的特权删除。

Windows特权简介

特权是授予帐户在操作系统内执行特权操作的权利。区分特权(适用于系统相关资源)和访问权限(适用于安全对象)很重要。Microsoft在其访问控制文档中提供了有关Windows权限的详细说明。下面,我们将通过最重要的概念来理解,如果您想更好地防止滥用。访问令牌}访问令牌是对操作系统上托管的可安全资源的所有授权决策的基础。它们由本地安全机构(LSA)授予授权用户。访问令牌包括用户的安全标识符(SID)、组SID、权限、完整性级别和其他安全相关信息。

cdn防御cc_防御ddos公司_免费试用

用户访问令牌和安全对象。参考:Microsoft安全主体文档

用户创建的每个进程或线程都会继承其令牌的副本。此令牌用于在访问安全对象或在操作系统内执行特权操作时执行访问检查。

访问令牌可能作为主令牌或模拟令牌存在。主令牌的功能如所述,用于表示进程或线程的默认安全信息。

模拟允许线程使用来自其他用户或客户端的访问令牌执行操作。模拟令牌通常用于客户端/服务器通信。例如,当用户访问SMB文件共享时,服务器需要用户令牌的副本来验证用户是否具有足够的权限。正在执行的服务器端线程除了线程的主令牌外,还包括用户的模拟令牌,并使用模拟令牌对用户的操作执行访问检查。

受限访问令牌

受限令牌(也称为过滤管理令牌)是已修改以控制权限或权限的主令牌或模拟令牌的子集。受限访问令牌允许系统删除权限、添加仅拒绝访问控制条目或执行其他访问权限更改。

假设用户帐户控制(UAC)在初始令牌创建过程中运行,LSA将尝试使用类似于IsTokenRestricted函数的功能来识别用户是否是特权组的成员或是否已被授予敏感特权。受限SID的存在将导致调用以降低权限生成新的访问令牌。

受限访问令牌的示例可在以下屏幕截图中看到:

cdn防御cc_防御ddos公司_免费试用

即使所涉及的用户是本地管理员,但未经授权的cmd.exe shell仍携带一个仅限于少数权限的令牌。当提升为以管理员身份运行时,进程将携带用户的主令牌,并具有更大的权限列表:

cdn防御cc_防御ddos公司_免费试用

也可以使用Process Explorer检查主令牌。以下屏幕截图显示了附加到未关联进程的受限访问令牌。

cdn防御cc_防御ddos公司_免费试用

以下屏幕截图显示了连接到提升流程的主访问令牌: