针对ntlmssp攻击的本机安全攻防记（第一回）

一、写在前面

   这个问题说来也是恼火，切入正题之前先谈谈最近的一段狗血的经历，如果比较着急，就直接跳到第二部分吧！！

新去的一家政府支持的号称做互联网的单位（据后来观察几个部门都是凑吧的）。当初本屌是看着几个妹子不错（[哈哈）才暂时决定留待观察的，其中一个就是HR妹子，初次见面给了一个回眸一笑，就在我幸福荡漾 ，甜蜜品尝笑容的时候一口凉气一闪而过，当时也没在意，就被这贱贱的笑容勾引第二天上班了！！

再说说这办公室还真是阔气，高大亮啊。最最重要的是搞技术的跟这些搞设计的做视频的妹子们在同一个屋檐下办公，我选了个中间的位置左下，顿时有种后宫佳丽三千，任我日夜翻牌的无比优越感。再说说这个技术组，当初面试的时候这个总监一顿吹牛，说自己多么牛xx，卧槽尼玛干这行的什么时候靠YY了？？顿时一万个草泥马奔跑在心田。摘录部分对话各位看官感受一下：

2A（本屌）：您好！

2B（他）：我就留了两个人的简历，你这边ok的话就不让那个来了。（事实是另一大哥已经来过）

。。。。

2B：你来我是想让你技术之外做些管理工作

2A：正如简历上所写的，（省略一万字）

2B：我这边还有2人，跟着我很多年了，先看看吧 （尼玛逗我玩儿？）

。。

2A：我接触技术的时间挺长的（忘了怎么扯到这个话题上了）

2B：那也没有我长啊，我那时候xxxxx（又开始了吹牛B模式）

。。。

2B：有做的东西可以看吗？

2A：（在2B的计算机上展示）

2B：明天就来上班吧（你妹不用谈待遇吗？）

。。。。

您一个高层管理这么整就不怕丢份儿？真是奇葩年年有，今年特别多。就酱紫本屌顺利的混到了妹子当中。再说说这个技术组真是醉了。头天儿去说是熟悉环境，就见这两位哥们儿，一个是装B犯，另一个直男癌，装B犯嘴还不干净，说话都是放屁打嗝吹口哨，出口成脏。直男癌轻易不说话，说个话噎死人。忽然明白了什么是猪一样的队友！！不，绝壁不能做队友，从此以后本屌就过上了表面和气的面具节奏，这对一个技术性工作来说乃兵家大忌！好在创业的好哥们儿在召唤，坐等程序走完就可以跟这些猪油挥手拜拜啦。本屌也是希望有个职业精神，起码对得起这份工作啊，实在没办法，这中从政府里走出来的企业先天不足，思想太老化，技术产品总想从现有平台去抓，买了我以前单位的一个内容发布平台，然后就做一些修修改改。本屌对如此的工作自知是不存在技术障碍，但也不能闲着啊。说到闲，那可是真闲，标准的早九晚五，雷打不动。一过五点就锁门，想加班都不行！！

终于有一天他们发现自己花钱雇了一个闲人了，接下来发生的是就是跟这位HR和另一位所谓的“主管”之间的撕逼大战！（放到下篇说吧，有点长了）

二、着急的看这里

话说这位总监2B路子广啊，单位的活干着，还到处接别人的，这不丫让本屌赶上了，用单位的钱购进了一台服务器，配了独立公网ip，专门做这些业务。好嘛，本来对这些系统维护之类的东西本屌一贯不查收，原因是有几次说要陪服务器，问这几个人密码都不告诉本屌，跟防贼似得（我就奇了怪了，从内部攻就凭你们这三脚猫功夫能防得住）。从此以后，但凡涉及到这些东西都让他们自己来输吧，不参合！ 终于有一天这个服务器中招了，哪天本屌正好中午请2个小时假见创业的朋友，2B一个劲儿的打电话让回来（呵呵，我会说是我干的吗？[当然不是）。回来一看系统安全日志，尼玛是这样的：

审核失败 2014/xx/xx hh:mm:10 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。

审核失败 2014/xx/xx hh:mm:05 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。

.....（此处省略一万行）

审核失败 2014/xx/xx hh:mm:01 Microsoft-Windows-Security-Auditing 4625 登录 "帐户登录失败。

看来是的确是被盯上来。

服务器的配置： win server 2008 r2 防火墙全开 预留系统端口

查看登陆审核进程为：ntlmssp，关于NT LM的审核机制可以wiki上看也可以到microsoft有详细介绍，这里不多说，直接给出解决方案：

第一种：使用syspeace

  如果攻击源的流量不是特别大，或者并非恶意来源可以使用syspeace来进行短时间内的block，效果就是会安静许多。

第二种：进行NTLM策略控制，彻底阻止LM响应

图片上说的已经很清楚了，就不在一一列举了。应用以上安全策略顿时清净了许多。

2B和装B犯憋了一口老气慢慢的呼了出来，直男癌还在低头抢春运的票。。。