提供反侦察!微软研究员发布NetCease工具

据外媒报道， 微软安全研究人员Itay Grady和Tal Be'ery于上周发布了一款名叫NetCease的新工具，旨在帮助系统管理员保护他们的网络不受到侦查攻击。

微软研究员发布NetCease工具（图片来自cnbeta）

据了解，“侦查攻击”（reconnaissance attack）可简单理解为“网络扫描”。NetCease 作为一个PowerShell脚本，这款工具可以应对攻击者通过中小企业里存在的NetSessionEnum手段，从本地设备收集数据。在企业网络中，大多数计算机是通过一个核心域控制器（DC）来互相连接的。

对此，研究人员解释到，管理员可以在网络所有计算机上运行这个PowerShell脚本，它可以变更一个“控制谁能查询本地计算机DC会话数据权限”的本地Windows注册表键值。

在NetCease工具更改了这个注册表键值之后，未经授权和低权限用户就不再能够查询相关数据。Grady说到：鉴于当前唯一能够变更默认NetSessionEnum许可的手段是‘手动编辑十六进制的注册表项目’，我们特意撰写了这款‘NetCease’工具。

　　　　　　　　　　　　　 查看评论 回复