让黑客在内网为所欲为的“凭据转储”攻击应该如何防御？

凭据转储是网络攻击者用于获取目标网络持久访问权的一项重要技术。他们通过网络钓鱼的方式潜入目标企业的网络工作站中，然后利用管理员管理和监视网络的典型方法从操作系统和软件中获取帐户登录名和密码信息，通常是哈希或明文密码形式的信息。进行凭据转储后，攻击者就可以使用这些凭据进行横向移动及访问受限信息。

• Get-WinEvent -FilterHashtable @{logname='security'; id=5136} 

然后，使用ConvertFrom-SDDL4，它能够将SDDL字符串转换为可读性更高的ACL对象。Server 2016及更高版本提供了一个额外的审核事件，该事件记录了原始和修改后的描述符。

5.  监视与Isass.exe交互的异常进程

最后，监视lsass.exe进程中的异常峰值。域控制器将lsass.exe进程用作域事务的常规过程的一部分。拒绝服务(DoS)和恶意流量可能隐藏在这些进程之中。确定域控制器中的正常状态是监视攻击时间的关键。在域控制器上运行Active Directory数据收集器，以你在网络上看到的正常进程做基线，监视出现的异常进程。

如果想要始终将攻击者挡在门外，首先，我们要对自己的网络及其资源使用情况有个良好的基本认知。正所谓“知己知彼方能百战不殆”，花一些时间来加深理解，才不至于每每让攻击者占据上风。