1.1.3 令牌安全防御

Windows使用訪問令牌來記錄用戶身份，驗證用戶權限，每個用戶都有一個訪問令牌。一般的攻擊者都會利用DuplicateTokenEx API來對令牌進行模擬盜竊。他們會使用DuplicateTokenEx函數創建一個新令牌，并對現有的令牌進行復制，將新令牌用于Impersonate-LoggedOnUser函數中，允許調用線程模擬已登錄用戶的安全上下文，同時也可以通過DuplicateTokenEx復制令牌，并使用CreateProcessWithTokenW把復制的令牌用于創建在模擬用戶的安全上下文中運行的新進程。

那么怎樣才能對令牌竊取攻擊進行有效的安全防御呢？有如下兩種方法。

1.禁止域管理員異機登錄

域管理員是在整個域控中管理權限最高的，為了防止域管理員的令牌被惡意竊取，必須禁止域管理員異機登錄。如果因一些特殊情況域管理員登錄了其他機器，應及時將令牌清除，以防止令牌被竊取。

2.開啟“審核進程創建”策略

可以通過開啟“審核進程創建”策略來監視令牌操作時所需使用的Windows函數的動作。

1）輸入gpedit.msc命令，進入組策略中，如圖1-5所示。

2）依次選擇“計算機配置”→“Windows設置”→“安全設置”→“高級審核策略配置”→“系統審核策略-本地組策略對象”→“詳細跟蹤”→“審核進程創建”，如圖1-6所示。

3）雙擊打開“審核進程創建”界面，配置無論成功還是失敗都進行審核（在創建進程時會生成審核事件，成功審核記錄成功的嘗試，而失敗審核記錄不成功的嘗試），如圖1-7所示。

4）可以通過事件查看器來查看執行訪問令牌嘗試操作的記錄，如圖1-8所示。