Windows 管理共享

Windows 系统具有只能由管理员访问的隐藏网络共享，并提供远程文件复制和其他管理功能。 例如网络共享 C$，ADMIN$，和 IPC$。 攻击者可以将此技术与管理员级别的有效帐户结合使用，通过服务器消息块（SMB）远程访问联网系统 ，以便使用远程过程调用（RPC）， 传输文件，还有通过远程执行运行传输的二进制文件。 依赖于 SMB/RPC 上经过身份验证的会话的示例执行技术有计划任务（Scheduled Task）、服务执行（Service Execution）和 Windows 管理规范（Windows Management Instrumentation）。 结合哈希传递技术和特定配置和补丁级别，攻击者也可以使用 NTLM hash 来访问系统上的管理共享，

可使用 Net 实用程序连接远程系统上的 Windows 管理共享，通过具有有效凭据的 net use 命令。

缓解

不要跨系统重用本地管理员帐户密码。 确保密码的复杂性和唯一性，使密码不会被破解或猜到。 拒绝远程使用本地管理凭据登录系统。 不允许域用户位于多个系统上的本地管理员组中。 识别可能用于利用 SMB 和 Windows 管理员共享的不必要的系统实用程序或潜在的恶意软件，并在适当的情况下使用白名单 工具审核和/或拦截它们，如 AppLocker， 或软件限制策略 。

检测

确保已启用对于登录系统的帐户的日志记录并集中收集这些信息。 Windows 日志能够收集可能用于横向移动的帐户的成功/失败信息，这可以使用 Windows 事件转发等工具收集。 监视远程登录事件和与文件传输和远程进程执行相关的 SMB 活动。 监视连接到管理共享（Administrative share）的远程用户的操作。 监视用于在命令行界面上连接到远程共享（如 Net) 的工具和命令，以及可用于查找远程可访问系统的披露技术（Discovery）。