Estritamente falando, não, em teoria você deve registrar apenas um evento de depuração com um administrador que não seja do sistema (a menos que, como mencionou, você precise de outras contas do sistema para ter acesso direto à memória de outros computadores).
No entanto, discordo da ideia deste artigo (e, apesar de seu viés, frequentemente discordo dos conselhos da SANS sobre diversos tópicos).
Só assim eu posso resumir o artigo para todos que podem ler isto, que ainda não está familiarizado com o ataque. "Você pode pegar GUID e / ou tokens de acesso da memória ou da rede e usar seu valor com hash sem nunca saber a senha original". Eles continuam dizendo maneiras comuns de fazer isso de uma conta limitada inclui travar um serviço que usa credenciais de SMB / NetBIOS e tentar imediatamente registrar CREATE_PROCESS_DEBUG_EVENT e voila - acesso instantâneo ao compartilhamento de usuários SMB apropriado.
Para aqueles de vocês que usam hashes, este é provavelmente um ataque bastante óbvio e certamente não é novo.
Meu problema com isso é - por quê? Por que um invasor passaria por todo o incômodo de passar pela memória por um hash depois de bater (presumivelmente) um serviço crítico para o sistema. Se um IPS não é acionado agora - O NOC é certo.
Existem centenas de maneiras mais fáceis, envenenamento por ARP, manipulação falsa de BPDU, reencaminhamento de área OSPF, até mesmo usando informações de rota de origem, todas as formas fantásticas de interceptar informações MS-CHAP ou SMB. Além disso, as vulnerabilidades de escalonamento de privilégios são dez centavos de dólar no NT, Atingir tokens de acesso de um aplicativo específico é complicadamente fácil .
Em última análise, de onde estou, é melhor usar algo como Kerberos ou RADIUS, desde que esse tipo de infra-estrutura não seja 't available - NTLMv2 que possui algoritmos de desafio / resposta mais complexos que não podem ser man-in-the-middled sem conhecimento privilegiado.