哥几个,今天我来跟大家伙儿分享个我用过的小工具,叫lsasecretsview。这玩意儿,一开始我根本就没当回事,觉得听着就挺专业的,估计也用不上。结果,真到事儿上的时候,它成了我的救命稻草。
本站为89游戏官网游戏攻略分站,89游戏每日更新热门游戏,下载请前往主站地址:www.gm89.icu
话说几年前,我有个远房亲戚,自己开了个小公司,规模不大不小的,平时也就请了个刚毕业的小伙子帮忙管管电脑。结果有一天,他突然火急火燎地给我打电话,声音都带着颤儿。说是他们公司一台对着外网的服务器,不知道咋的,就让人家给扫出来了。虽然没出啥大问题,但那小伙子图省事,竟然把远程桌面的密码给缓存到那台服务器上了。亲戚吓得够呛,赶紧让那小伙子把所有机器都给“清理”一遍,生怕还有啥别的隐藏密码。
那小伙子一顿操作猛如虎,结果亲戚还是不放心,非要我再过一遍。我当时听了头都大了。平时我也就是帮家里人修修电脑,装装系统啥的,哪懂这些“高端”安全问题?我听过LSA秘密(LSA secrets)这词儿,感觉就是个很玄乎的东西,听着就很专业,一般人根本碰不着。现在要我清理,我手头那些常规工具根本没法用,我总不能一台一台机器去人肉翻?几十台机器!
那阵子我真是急得不行,觉都睡不我这个“电脑小能手”的称号可不能砸在手里。周末两天,我泡在网上,各种论坛、博客,翻了个底朝天。什么英文中文的,能看不能看的,都硬着头皮看。感觉自己像个没头的苍蝇,啥都摸不着门道。越看越觉得这安全领域的东西太深了,自己压根不是这块料。
就在我快要放弃的时候,在一个特别老的,看起来几百年没人回帖的技术论坛里,我看到了一个不起眼的回复,提到了一个叫lsasecretsview的小程序。回复里就一句话:管用。我当时心想,这玩意儿听着这么普通,能有啥用?但真是病急乱投医,死马当活马医呗。
下载运行,震惊全场!
我赶紧去搜了搜,找到这个小工具。它特别小,就一个单独的执行文件,连安装都不用。我当时心想,就这?能干啥大事?
我按照亲戚给的远程连接信息,连到他们公司那台惹祸的服务器上。然后把这个小文件拖过去,双击就跑起来了。我当时真是捏了把汗,生怕一跑出来个什么乱七八糟的蓝屏或者报错。结果?
屏幕上一下子弹出来一个窗口,密密麻麻的,显示了一堆东西。我定睛一看,好家伙!里面清清楚楚地列着各种账户的名字,后面还跟着一串串的密码。有些是明文的,有些是哈希过的。我看到几个服务账户,还有几个我亲戚他们公司日常用的远程桌面账户,旁边赫然就是它们的密码!甚至还有那个惹祸的小伙子之前登录过的几个外部服务器的凭证,也赫然在列!
当时我真是给惊呆了,嘴巴都合不拢。这玩意儿简直是太猛了!它就是直接把Windows系统里,LSA(Local Security Authority)那一块儿存的各种秘密,全都给我挖出来了。我之前觉得是“黑魔法”的东西,它就这么给平铺直叙地摆在我眼前了。我才知道,原来系统里真的藏着这么多我们平时看不到的凭证信息。而且这个工具操作起来,就这么简单!点一下就出来了!
我的实际操作流程
从那以后,这小工具就成了我箱底的宝贝。我是这么琢磨和用的:
- 准备工作: 我每次都是先把它下载下来,存到一个我信任的U盘或者加密的移动硬盘里。因为这玩意儿功能太强大了,随便放到一台机器上,都可能暴露信息,所以平时我都是小心保管的。
- 本机器查看: 我用它检查当前运行的机器。就像上面说的,双击运行,它就会把这台电脑上LSA秘密里存储的所有东西都列出来。我主要关注那些
_SC_开头的服务账户,还有些非系统默认的账户,看看它们有没有不该有的明文密码或者过期的凭证。 - 远程机器查看: 这也是它牛X的地方。我可以直接指定IP地址或者计算机名,还有对应的管理员账户和密码(这个管理员账户得是那台远程机器上有权限的),然后它就能远程去抓取那台机器的LSA秘密。这一下子就把效率提上来了,不用我一台一台跑过去现场操作。我那次给亲戚清查,就是这么远程操作的,一台一台地过。
- 分析和清理: 拿到结果之后,我都会仔细看。
- 有没有一些很久以前就应该失效的账户凭证还躺在那里的?
- 有没有一些服务账户,竟然直接存着明文密码?这可大忌!
- 有没有一些开发测试环境的凭证,不小心缓存到生产机器上了?
一旦发现这种问题,我就会赶紧把这些发现记录下来,然后通知相关人员去修改密码、删除不必要的账户,或者调整服务账户的权限。对那些明文密码,那更是必须立即处理,坚决不能让它明晃晃地暴露在那里。
- 定期复查: 我后来养成了一个习惯,每隔一段时间,我就会把这个工具拿出来,把自己管的几台服务器或者家里的电脑都过一遍。就当是个日常的健康检查了,防患于未然总是好的。
通过这个工具,我真的找到了不少“遗留问题”。有些是老同事遗留下来的,有些是系统配置不当造成的,还有些就是图省事,无意中留下的安全隐患。每找到一个,我就觉得像抓到了一只偷吃的耗子,心里那个踏实。
这玩意儿就这么个简单的功能,却实实在在地帮我解决了大麻烦,让我头一回觉得,原来安全审计这事儿,也不全是高深莫测,有些时候,一个趁手的小工具,就能把问题给看得清清楚楚。
所以说,哥几个,别看有些工具小,不起眼,但用对了地方,它就是你手里最锋利的刀。lsasecretsview这东西,就是我用过的一个活生生的例子。