我认为如果攻击者有：

>在存储哈希的系统上直接访问内存,以及
>用于重放哈希以创建新的恶意会话的平台,

然后他正在处理的矢量确实无关紧要 – 它已经结束了,攻击者也可以轻松地说出一个键盘记录器,并获得完整的预先调整过的密码.

我也不同意这样的说法,即应该通过只有一个“superadmin”(域/企业管理员)来减轻这种情况 – 这将是一个非常低的bus number.

更一般地说,他所谈论的很多东西都是微软特有的;当你有直接的内存访问时,存在对其他操作系统的绝对认证攻击向量(存储在代理中的SSH私钥对于Linux远程访问是等效的,让我们不要忘记针对全盘加密的冻结RAM攻击 – 没有罐装空气需要直接内存访问),但他专门针对大部分文章解决的NTLM哈希提升只是微软的事情.

重要的缓解措施：不要给攻击者直接内存访问或root权限.

但是你已经知道了.