在操作系统级别阻止mimikatz？

Question

我想知道在哪种情况下，尽管禁用了WDigest，Mimikatz还是会运行吗？

无论wdigest设置为1还是0，mimikatz仍然有效。(在Windows 7、8、2012上测试)

是否有更好的方法在OS级别上专门阻止它？

Answer 1

WDigest不是禁用Mimikatz的设置，它是一种由Windows支持的加密形式，在启用时允许Mimikatz非常容易地转储明文密码。

禁用WDigest会从内存中删除这一类型的凭据，但是具有管理员级权限的用户仍然可以转储其他形式的有趣凭据。Mimikatz有很多不依赖WDigest的附加功能！

所以你真正要问的是一个元问题:我如何停止在我的电脑上运行不想要的软件？

简而言之，答案是要么启用您可以使用的安全功能：

• 应用白名单(AppLocker)
• 检测潜在不需要的应用程序的防病毒软件
• 设备强化(特别是BitLocker (防止对脱机文件系统的访问)，如果可以使用Windows 10，凭据保护)
• 减少用户权限(不要让用户成为管理员)

或者可能需要使用Windows 10 S模式或只能运行商店派生软件的设备(并锁定选择)。

防止任何不想要的软件(如恶意软件)需要一个整体的方法。