Ann
2
等保高级测评师
NISP
官方采纳
Ann2
等保高级测评师
NISP
Windows认证过程主要分为:
本地用户认证,在进行本地登录认证时操作系统会使用用户输入的密码作为凭证去与系统中的密码进行对比验证。首先用户注销、重启、锁屏后操作系统会让winlogon显示登录界面也就是输入框接收输入后将密码交给lsass进程这个进程会将明文密码加密成NTLM Hash对SAM数据库比较认证。
MSCACHE(域缓存凭据),MSCACHE,又叫作 domain cached credentials、DCC、域缓存凭据。它作用是缓存在机器本地注册表中的域凭据+域授权信息。默认情况下windows 操作系统会自动缓存记录最后 10 个密码哈希值。当域控制器不可访问时系统将检查已缓存的最后一个密码哈希值以便使用系统对用户进行身份验证。
还有一个需要注意的是这里的hash是指系统的mscache hash或者叫dcchash,根据系统的版本不同又分为dcc1 hash和dcc2 hash。两种hash的生成算法不一样,但无论哪种都不是 NTLM 的 HASH。所以导出的域缓存的 hash 是不能用于 PTH ,只能用来破解。建议通过安全设置来防止本地缓存将其设置为0。
身份验证是指验证对象、服务或人的身份的过程。 当你对某个对象进行身份验证时,目的就在于验证该对象是否为正版。 当你对某个服务或人进行身份验证时,目的就在于验证出示的凭据是否可信。
Ann
2
等保高级测评师
NISP
官方采纳
Ann2
等保高级测评师
NISP
Windows认证过程主要分为以下两个方面:
本地用户认证,在进行本地登录认证时操作系统会使用用户输入的密码作为凭证去与系统中的密码进行对比验证。首先用户注销、重启、锁屏后操作系统会让winlogon显示登录界面也就是输入框接收输入后将密码交给lsass进程这个进程会将明文密码加密成NTLM Hash对SAM数据库比较认证。
MSCACHE(域缓存凭据),MSCACHE,又叫作 domain cached credentials、DCC、域缓存凭据。它作用是缓存在机器本地注册表中的域凭据+域授权信息。默认情况下windows 操作系统会自动缓存记录最后 10 个密码哈希值。当域控制器不可访问时系统将检查已缓存的最后一个密码哈希值以便使用系统对用户进行身份验证。
降低计算机病毒危害的措施有以下这些:
安装和维护防病毒软件:防病毒软件可识别恶意软件并保护我们的计算机免受恶意软件侵害。安装来自信誉良好的供应商的防病毒软件是预防和检测感染的重要步骤。始终直接访问供应商网站,而不是点击广告或电子邮件链接。由于攻击者不断地制造新病毒和其他形式的恶意代码,因此保持我们使用的防病毒软件保持最新非常重要。
谨慎使用链接和附件:在使用电子邮件和网络浏览器时采取适当的预防措施以降低感染风险。警惕未经请求的电子邮件附件,并在单击电子邮件链接时小心谨慎,即使它们貌似来自我们认识的人。
阻止弹出广告:弹出窗口阻止程序禁用可能包含恶意代码的窗口。大多数浏览器都有一个免费功能,可以启用它来阻止弹出广告。
使用权限有限的帐户:浏览网页时,使用权限有限的账户是一种很好的安全做法。如果我们确实受到感染,受限权限可防止恶意代码传播并升级到管理账户。
禁用外部媒体自动运行和自动播放功能:禁用自动运行和自动播放功能可防止感染恶意代码的外部媒体在我们的计算机上自动运行。
更改密码:如果我们认为我们的计算机受到感染,应该及时更改我们的密码(口令)。这包括可能已缓存在我们的网络浏览器中的任何网站密码。创建和使用强密码,使攻击者难以猜测。
保持软件更新:在我们的计算机上安装软件补丁,这样攻击者就不会利用已知漏洞。如果可用,请考虑启用自动更新。
资料备份:定期将我们的文档、照片和重要电子邮件备份到云或外部硬盘驱动器。如果发生感染,我们的信息不会丢失。
安装或启用防火墙:防火墙可以通过在恶意流量进入我们的计算机之前阻止它来防止某些类型的感染。一些操作系统包括防火墙;如果我们使用的操作系统包含一个防火墙,请启用它。
使用反间谍软件工具:间谍软件是一种常见的病毒源,但可以通过使用识别和删除间谍软件的程序来最大程度地减少感染。大多数防病毒软件都包含反间谍软件选项,确保启用。
监控账户:寻找任何未经授权的使用或异常活动,尤其是银行账户。如果我们发现未经授权或异常的活动,请立即联系我们的账户提供商。
避免使用公共Wi-Fi:不安全的公共Wi-Fi可能允许攻击者拦截我们设备的网络流量并访问我们的个人信息。.
推荐文章
