如何缓解Microsoft Windows 10、11系列SAM漏洞

Microsoft Windows 10和Windows 11用户面临最近公开披露的新的未修补漏洞的风险。

正如我们上周报道的那样，漏洞—；严肃的山姆—；允许具有访问Windows系统文件的低级别权限的攻击者执行传递哈希（以及潜在的银票）攻击。

攻击者可以利用此漏洞获取存储在安全帐户管理器（SAM）和注册表中的哈希密码，并最终以系统权限运行任意代码。

严重SAM漏洞，跟踪为CVE-2021-36934，存在于Windows 10和Windows 11的默认配置中，特别是由于允许对包含所有本地用户的内置用户组具有“读取”权限的设置。

因此，内置本地用户可以读取SAM文件和注册表，也可以在其中查看哈希。一旦攻击者拥有“用户”访问权限，他们就可以使用Mimikatz等工具访问注册表或SAM，窃取哈希并将其转换为密码。以这种方式入侵域用户将使攻击者在网络上拥有更高的权限。

因为微软还没有提供官方补丁，所以保护您的环境免受严重SAM漏洞影响的最佳方法是实施强化措施。

认真的萨姆

CalCom首席技术官德维尔·戈伦（Dvir Goren）表示，有三种可选的强化措施：

1. 从内置用户组中删除所有用户— 这是一个很好的起点，但如果管理员凭据被盗，将无法保护您。
2. 限制SAM文件和注册表权限— 仅允许管理员访问。这同样只能解决部分问题，就像攻击者窃取管理员凭据一样，您仍然容易受到此漏洞的攻击。
3. 不允许存储用于网络身份验证的密码和凭据— CIS基准中也建议使用此规则。通过实施此规则，SAM或注册表中将不会存储任何哈希，从而完全缓解此漏洞。

使用GPO实现时，请确保启用了以下UI路径：

计算机配置\策略\ Windows设置\安全设置\本地策略\安全选项\网络访问：不允许存储用于网络身份验证的密码和凭据

尽管最后一条建议为SeriousSAM提供了一个很好的解决方案，但如果在推出之前没有进行适当的测试，它可能会对您的生产产生负面影响。启用此设置后，使用计划任务并需要在本地存储用户哈希的应用程序将失败。

减轻严重SAM的风险，但不会对生产造成损害

以下是Dvir关于在不造成停机的情况下减轻影响的建议：

1. 设置一个模拟生产环境的测试环境。尽可能准确地模拟网络中所有可能的依赖关系。
2. 分析此规则对测试环境的影响。通过这种方式，如果您的应用程序依赖于本地存储的哈希，您将提前知道并防止生产停机。
3. 尽可能推行这项政策。确保新机器也经过加固，并且配置不会随时间推移而漂移。

这三项任务非常复杂，需要大量资源和内部专业知识。因此，Dvir的最终建议是自动化整个硬化过程，以节省执行第1、2和3阶段的需要。

以下是您将从强化自动化工具中获得的好处：

• 自动生成最准确的影响分析报告–；强化自动化工具“了解”您的生产依赖关系，并向您报告每个策略规则的潜在影响。
• 从单个控制点自动对整个生产实施策略–；使用这些工具，你不需要做手工工作，比如使用GPO。你可以控制并确保你所有的机器都经过加固。
• 保持合规姿势，实时监控机器–；强化自动化工具将监控您的合规状态，提醒并纠正配置中任何未经授权的更改，从而防止配置漂移。

强化自动化工具将直接从您的网络中了解依赖关系，并自动生成准确的影响分析报告。强化自动化工具还将帮助您协调实施和监控过程。