PrivescCheck项目新增SMB签名配置审计功能

PrivescCheck作为一款Windows提权检查工具，近期在其最新版本中新增了对SMB(服务器消息块)协议配置的审计功能，特别是针对SMB签名要求的检查。这项改进使得安全研究人员和渗透测试人员能够更全面地评估目标系统的安全配置。

SMB签名的重要性

SMB签名是一种安全机制，用于验证SMB通信的完整性和来源。当SMB签名被禁用或未强制要求时，攻击者可能利用中间人攻击(MITM)或NTLM中继攻击来获取系统权限。特别是在域环境中，弱SMB配置可能导致整个网络面临严重风险。

技术实现细节

PrivescCheck通过以下方式实现SMB配置检查：

1. SMBv1协议状态检查：检测服务器端是否启用了过时且不安全的SMBv1协议
2. 服务器端签名要求：验证服务器是否要求所有SMB通信必须签名
3. 客户端签名要求：检查客户端是否强制要求SMB签名

工具采用了多种技术手段来获取这些配置信息，包括注册表查询和WMI/CIM类检查，确保在不同Windows版本上的兼容性。

使用方法

要使用这项新功能，用户需要在运行PrivescCheck时添加-Audit参数。检查结果将显示：

• 每个配置项的当前状态(启用/禁用)
• 是否存在安全风险(脆弱性评估)
• 简明扼要的风险描述

典型的输出示例会清晰标注哪些配置项存在风险，帮助用户快速识别问题。

安全建议

基于检查结果，安全团队应采取以下措施：

1. 完全禁用SMBv1协议(除非有特殊兼容性需求)
2. 在域环境中强制要求SMB签名
3. 定期审计SMB相关配置
4. 监控异常SMB通信行为

这项功能的加入使PrivescCheck不仅能够识别提权路径，还能发现可能导致横向移动的安全隐患，进一步完善了其作为安全评估工具的功能集。