摆脱PTH阴影

■山东 赵永华

PTH，全 称Pass-thehash，意为杂凑值注入，常见的攻击方式是透过窃取的密码杂凑值取得，采用了著名的哈希传递算法，让常规的黑客检测工具一筹莫展，无法破解。

PTH成因

PTH所需条件几乎为零，无论系统版本如何，从Server 2008到2012甚至更高都难以阻止，它得逞的要求仅仅是能够像本地管理员那样访问Windows机器，仅此而已！所以，PTH的得手，并不是管理员的用户密码策略设置不够强，也不是系统的OS不够新。同时，PTH往往更容易出现在那些具有完善管理模式的单位里，因为具有良好技术修炼的管理员们人人都习惯去配置系统，配置是他们的工作需要，也是他们敬业的表现，但正因为如此，为PTH打开了长驱直入的通道。

那么我们如何才能摆脱PTH的威胁呢？

勿将本地管理员密码设置为相同

为图省事，将本地管理员账号和密码一次性设置为一样是司空见惯的作法，却不知如此正中PTH 下怀。因为PTH 只要一次性击破本地管理员，那么它就可以在系统内如鱼得水。对此，有一些可以随机生成本地管理员密码的工具。

再次重申不要轻易使用管理员账户，尤其是Administrator。比如你只是浏览一下网页，那就作为普通用户完全可以；如果要在活动目录内执行任务如修改组成员关系，也只要具有相应权限即可。

取消本地管理员权限

既然PTH 最看重的是本地管理员权限，那么我们就干脆取消掉它。你这么做一定会让PTH 感到沮丧，但别忘了PTH具有超强耐心，它依然会等待下一个时机。为此，需将位于本地管理员组内的用户移出，它们涉及三种对象：一种是本地SAM的本地用户账户，第二种是具有成员关系的域用户账户，第三种是与该域具有成员关系的域内组账户。

一般而言，我们只需要移动域用户，因为在多数机构中这些用户正是具有本地管理权限，为此通过组策略对象GPO设置完成。该设置属于动态型，它并不关心用户名，注重的是登录成功的用户。具体设置项目为User ConfigurationPreferencesControl Panel SettingsLocal Users and Groups。

我们可以看到，该组名为Administrators，可以操作其中的按钮Remove the Current User 。如果取消本地管理员权限无法完全施行，可以考虑将每个管理员用户的密码设置为较为安全的密码（很长，很强，很复杂），而且密码应当经常修改，从而减少PTH 攻击几率。其配置项为Computer ConfigurationPreferencesControl Panel SettingsLocal Users and Groups。