微軟安全研究人員發(fā)布網(wǎng)絡(luò)安全工具NetCease

　　現(xiàn)在很多用戶在上網(wǎng)的時候經(jīng)常受到“黑客”的干擾，也許在不經(jīng)意間，我們的數(shù)據(jù)就已經(jīng)泄露了。上周，微軟的兩名安全研究人員發(fā)布了一款名為NetCease的網(wǎng)絡(luò)安全工具，這款工具能夠保護(hù)用戶在上網(wǎng)的過程中不受到偵查攻擊。

　　兩名微軟安全研究人員（Itay Grady和Tal Be‘ery）于上周發(fā)布了一款名叫NetCease的新工具，旨在幫助系統(tǒng)管理員保護(hù)他們的網(wǎng)絡(luò)不受到偵查攻擊。“偵查攻擊”（reconnaissance attack）可簡單理解為“網(wǎng)絡(luò)掃描”，此時攻擊者多處于尋找入口點(diǎn)的早期階段，但在摸透了本地網(wǎng)絡(luò)的敏感點(diǎn)之后，即有可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露。

　　作為一個PowerShell腳本，這款工具可以應(yīng)對攻擊者通過中小企業(yè)里存在的NetSessionEnum手段，從本地設(shè)備收集數(shù)據(jù)。在企業(yè)網(wǎng)絡(luò)中，大多數(shù)計算機(jī)是通過一個核心域控制器（DC）來互相連接的。

　　任何用戶（包括網(wǎng)絡(luò)中未經(jīng)身份驗證的用戶），都可在聯(lián)網(wǎng)后通過NetSessionEnum查詢其它用戶，并獲取計算機(jī)名稱、IP地址、通過DC建立會話的用戶名、以及會話活動/閑置的時長。

　　鑒于會話建立的時間為90分鐘，攻擊者可以大體上摸清這個網(wǎng)絡(luò)，以及可以攻擊的其它目標(biāo)，而且可以通過BloodHound等自動化pen-testing工具實(shí)現(xiàn)，簡化了攻擊者的工作（一鍵掃描）。

　　研究人員解釋到，管理員可以在網(wǎng)絡(luò)所有計算機(jī)上運(yùn)行這個PowerShell腳本，它可以變更一個“控制誰能查詢本地計算機(jī)DC會話數(shù)據(jù)權(quán)限”的本地Windows注冊表鍵值。

　　在NetCease工具更改了這個注冊表鍵值之后，未經(jīng)授權(quán)和低權(quán)限用戶就不再能夠查詢相關(guān)數(shù)據(jù)。Grady說到：

　　“鑒于當(dāng)前唯一能夠變更默認(rèn)NetSessionEnum許可的手段是‘手動編輯十六進(jìn)制的注冊表項目’，我們特意撰寫了這款‘NetCease’工具。這是一個短巧的PowerShell腳本，能夠改動這些默認(rèn)的權(quán)限，以組織攻擊者輕松獲得有價值的偵查信息。”

　　現(xiàn)在NetCease工具可以從微軟官網(wǎng)的TechNet門戶下載，如果有需要或者想體驗這個工具的用戶可以自行前往微軟官網(wǎng)下載。