在企業的內網安全防禦中，通常會將橫向移動技術作為指標，進行有針對性的檢測。儘管如此，還是有不少攻擊者巧妙地避開了層層關卡，在Windows環境中橫向移動。針對這些高階攻擊者，該如何應對呢？在使用IPC,WMIC等進行橫向移動時，如果使用RID非500的管理員使用者，有時會拒絕訪問，是什麼原因？

本文由錦行科技的安全研究團隊提供，站在攻擊者的視角分析windows內的橫向移動，幫助大家深入瞭解橫向移動的全過程以應對該種攻擊。

Kb2871997

網傳Kb2871997 是限制遠端訪問的主要原因，測試一下

01 工作組環境下

①主機B：win7 ，192.168.18.156 ，未打Kb2871997補丁

使用者 win7 非500的主機B本地管理員賬戶

使用Administrator訪問，可

使用者Win7訪問。拒絕訪問

②主機B安裝Kb2871997補丁

Administrator訪問，可

使用者Win 7訪問，拒絕訪問

02 域環境

主機B 192.168.18.156 安裝了Kb2871997補丁

使用者test\User為主機B本地管理員的普通域使用者

使用者test\User訪問，可

由安裝KB2871997前後的對比發現kb2871997對於本地Administrator(rid為500，作業系統只認rid不認使用者名稱)和本地管理員組的域使用者是沒有影響的。但是kb2871997補丁會刪除除了wdigest ssp以外其他ssp的明文憑據

remote UAC 遠端限制

01 工作組環境下

主機A win10

主機B win10 192.168.18.132

使用者user為Rid非500的主機B本地管理員賬戶

ipc 拒絕訪問

Schtasks 拒絕訪問

WMIC,PSEXEC,WINRM,等也是拒絕訪問

原因：

由於remote UAC預設開啟的，計算機的任何非 500本地管理員帳戶， 使用者在遠端計算機上沒有特權提升能力，並且使用者無法執行管理任務。使用非500使用者來遠端訪問皆為：拒絕訪問

解決：

在登錄檔HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem中新增一個鍵值LocalAccountTokenFilterPolicy。LocalAccountTokenFilterPolicy預設不存在，即為0（開啟遠端限制），新增並設定為1時將關閉遠端限制

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

再次訪問,可

schtasks ，可

若要限制500使用者administrator的遠端登入，那就是直接把FilterAdministratorToken設定為1，路徑為：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v FilterAdministratorToken /t REG_DWORD /d 1 /f

再用Administrator連線就拒絕訪問了

在域環境中，本地管理員使用者的域賬戶不受LocalAccountTokenFilterPolicy限制

02 域環境

主機A winsrv2012
主機B win10 192.168.18.149
使用者test\admin為非rid500的主機B 本地管理員的普通域使用者
使用者test\uuser 為普通域使用者

test\admin訪問，可

但非本地管理員的普通域使用者還是會受LocalAccountTokenFilterPolicy限制

普通域使用者test\uuser訪問，拒絕訪問

域管理員使用者則不受限制

由此可見remote UAC才是限制遠端訪問的主要原因