近日微软研究人员Itay Grady和Tal Be’ery发布了Powershell脚本Net Cease，它可以防止攻击者在企业内网中获取到突破点后，继续横向扩展获取敏感信息。

　　Net Cease的作用

在Net Cease在目标机器上部署后，非管理用户想要远程调用NetSess时就会被阻止。这种类型的手法，一般是通过执行SMB会话枚举，借助NetSessionEnum方法去探测域控DC，然后再获取其他目标的信息。

事实上，现在已经有渗透工具能实现这种自动化的信息探测。然而Net Cease则会修改默认的NetSessionEnum方法的权限，限制能远程执行该方法的域用户数量。

开发者解释道：

“NetCease脚本提升了NetSessionEnum的访问门槛，它会移除认证用户组的执行权限，并且为交互、服务和批处理登陆会话添加权限。

Net Cease使用后的结果

管理员和系统操作员和power用户是能够远程调用NetSessionEnum方法的。另外，任何交互、服务和批处理登陆会话也可以本地调用它。”

值得一提的是，Net Cease脚本在win7/8/10和windows server 2003/2008/2012系统上，能够非常良好地运行。

研究人员补充道：

“注意，强化后的NetSession并不会妨碍防火墙检测攻击的能力，MicrosoftATA也会检查失败的探测尝试。”

下载地址戳这里。