密码过滤器 DLL

Windows 密码过滤器是用于域和本地帐户的密码策略执行机制。 过滤器实现为动态链接库 (dll)，其中包含根据密码策略验证潜在密码的方法。 过滤器 DLL 可以位于本地计算机上，用于本地帐户和/或域帐户的域控制器。 在安全帐户管理器 (SAM) 中注册新密码之前，本地安全机构 (LSA) 向每个已注册的过滤器请求验证。 在每个注册的过滤器确认验证前，任何潜在更改都不会生效。 攻击者可以注册恶意的密码过滤器来从本地计算机和/或整个域获取凭据。 过滤器必须从 LSA 接收明文凭据以执行适当的验证。 恶意密码过滤器在每次密码请求时会接收到这些明文凭据。

缓解

确保只注册有效的密码过滤器。 过滤器 DLL 必须出现在域控制器和/或本地计算机的 Windows 安装目录（默认为 C:\Windows\System32\中，并在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages 中具有相应的条目。

检测

监控进出不熟悉的密码过滤器的更改通知。 新安装的密码过滤器在系统重新启动后才会生效。 密码过滤器将以 autorun 和加载的 DLL 的形式出现在 lsass.exe 中。