microsoft帳戶異常登入活動的問題，透過圖書和論文來找解法和答案更準確安心。 我們找到下列問答集和資訊懶人包

以企業網路威脅模擬環境之實驗案例探討Windows雜湊傳遞Pass-the-Hash攻擊

為了解決microsoft帳戶異常登入活動的問題，作者黃冠龍 這樣論述：

導入目錄服務(Directory Service)有助於企業網路集中化、單一入口簽入、統一帳號權限控管、第三方服務驗證整合等管理，其中尤以微軟活動目錄服務(Active Directory, AD)最為廣泛使用，然而集中化便利與安全性的衡量是目前企業資訊管理所面臨最大的挑戰。雖然微軟的網域控制服務(Domain Controller Service)結合AD的驗證機制(AD DS)提供了系統存取控制的便利性安全架構，然其本機安全性授權服務行程(Local Security Authority Subsystem Service, LSASS)會在記憶體中儲存登入憑證資訊(Login Cred

entials)，例如帳號名稱與LM/NTLM密碼雜湊值(Hash Value)，經由LSASS注入惡意代碼從其記憶體盜取儲存的密碼雜湊值即可無需明文密碼而可直接透過傳遞雜湊(Pass-the-Hash, PtH)進行冒名驗證攻擊以取得本機或遠端電腦服務控制權，其主要利用雜湊加密與驗證協定等弱點，任何接受LM/NTLM認證之作業系統皆可被PtH攻擊，因為LM/NTLM是直接傳遞密碼雜湊進行挑戰應答型認證 (Challenge-Response Authentication)。PtH攻擊起源於1997年由Paul Ashton在Bugtraq所提出，然時至今日，FireEye於2016年的M-T

RENDS的報告中顯示，PtH攻擊依然是目前攻擊鏈(Kill Chains)中提權(Escalate Privileges)與內部擴散(Lateral Movement )常用手法之一，可見了解PtH的攻擊手法、技術工具與程序以及對應的防禦策略依然是目前重要的研究主題。本論文主要透過建置PtH企業網路威脅模擬環境(Enterprise Cyber PtH Threat Labs)以實驗案例(Hands-on Labs)來綜合探討PtH所利用之Windows LM/NTLM驗證機制行為、PtH弱點利用原理、PtH攻擊設計與模擬場域實作、以及更進一步透過稽核日誌來分析正常驗證行為與PtH攻擊異常行

為之可識別特徵。研究結果顯示，除了從實驗案例的日誌分析到PtH的可識別特徵外，本論文所提出的企業網路威脅模擬環境與實驗案例實務分析亦有助於資安從業人員從實務案例中學習駭客思維，進而有效提升防禦駭客攻擊之能力來有效降低企業網路之資安威脅。