注册表中的凭据

Windows 注册表存储由系统或其他程序使用的配置信息。
攻击者可以查询注册表，以获取已存储的供其他程序或服务使用的凭据和密码。
有时这些凭据用于自动登录。
查找与密码信息相关的注册表项的示例命令：

本机 Hive:reg query HKLM /f password /t REG_SZ /s
当前用户 Hive:reg query HKCU /f password /t REG_SZ /s

缓解

不要在注册表中存储凭据。
积极搜索注册表项中的凭据并尝试修复风险。
如果必要的软件必须存储凭据，那么要确保这些帐户具有有限的权限，避免在被攻击者获取后被滥用。

检测

监视可用于查询注册表（如 Reg) 的应用程序的进程，并收集表明正在搜索凭据的命令参数。
将活动与可能表明主动入侵的相关可疑行为关联起来，以减少误报。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn