参考文章:https://www.anquanke.com/post/id/193150
"Protected Users"组是Windows Server 2012 R2域中的安全组,"Protected Users"组的成员会被强制使用Kerberos身份验证,并且对Kerberos强制执行AES加密。
这里的"Protected Users"组的成员会被强制使用Kerberos身份验证,那么此时的PTK就派上用场了!
2、Restricted Admin RDP模式的远程桌面客户端支持;
Restricted Admin RDP模式是为了避免将Client端的凭据暴露给远程系统,同时也产生一种变种的Pass The Hash(Passing the Hash with Remote Desktop),网上已经有说明文章,这里不再赘述。同时这个功能只支持Windows server 2012和Windows8.1。
3、注销后删除LSASS中的凭据(也就是为什么在2012系统或者高系统想要抓取密码的时候修改完注册表还需要回到登录界面的状态);
在这个KB22871997更新之前,只要用户登录系统,Windows就会在lsass中缓存用户的凭据,包括用户的明文密码、LM/NTLM HASH、Kerberos的TGT票据/Session Key。
4、添加两个新的SID;
5、LSASS中默认禁用wdigest协议(也就是为什么2012想抓明文以后我们需要修改注册表,原因就是默认存在该补丁,并且UseLogonCredential默认为0)
如果想防止WDigest的明文密码存储在LSASS中则可以通过修改下面注册表的键值来实现:
如果UseLogonCredential值设置为0,则WDigest不会将凭据存储在内存中;
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
如果UseLogonCredential值设置为1,WDigest将在内存中存储凭据。
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f