哈希传递

哈希传递 (PtH) 是一种不需要访问用户明文密码就可以验证用户身份的方法。此方法绕过需要明文密码的标准身份验证步骤，直接进入使用密码散列的身份验证部分。在此技术中，使用凭据访问 (Credential Access) 技术获取所使用帐户的有效密码散列。获取的散列与 PtH 一起用于该用户的身份验证。通过身份验证后，可以使用 PtH 在本地或远程系统上执行操作。

KB2871997 的 Windows 7 或更高版本要求有效的域用户凭据或 RID 500 的管理员散列。

缓解

监视系统和域日志，了解异常的凭据登录活动。 阻止访问有效帐户。 将 KB2871997 补丁应用于 Windows 7 和更高的系统，以限制本地管理员组中的帐户的默认访问。 启用哈希传递缓解措施来对网络登录上的本地帐户应用 UAC 限制。 通过 GPO 找到关联的注册表项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy 计算机配置>[策略]>管理 Templates>SCM: 哈希传递缓解： 对网络登录的本地帐户应用 UAC 限制。

限制系统之间的凭据重叠，以防止凭据攻击带来损失，并降低攻击者在系统之间执行横向移动的能力。 确保内置和创建的本地管理员帐户具有复杂且唯一的密码。 不允许域用户位于多个系统上的本地管理员组中。

检测

审核所有登录和凭据使用事件并检查是否存在差异。 与其他可疑活动（如编写和执行二进制文件）相关的异常远程登录可能表明恶意活动的存在。 与域登录无关且不是匿名登录的 NTLM LogonType 3 身份验证是可疑的。