Windows Kredensiaalbeskerming

Reading time: 8 minutes

Kredensiaalbeskerming

WDigest

Die WDigest protokol, wat met Windows XP bekendgestel is, is ontwerp vir autentisering via die HTTP-protokol en is standaard geaktiveer op Windows XP tot Windows 8.0 en Windows Server 2003 tot Windows Server 2012. Hierdie standaardinstelling lei tot planktekst wagwoordopberging in LSASS (Local Security Authority Subsystem Service). 'n Aanvaller kan Mimikatz gebruik om hierdie kredensiale te onttrek deur die volgende uit te voer:

sekurlsa::wdigest

Om hierdie kenmerk aan of af te skakel, moet die UseLogonCredential en Negotiate registersleutels binne HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest op "1" gestel word. As hierdie sleutels afwesig of op "0" gestel is, is WDigest gedeaktiveer:

reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential

LSA Beskerming

Begin met Windows 8.1, het Microsoft die sekuriteit van LSA verbeter om ongeautoriseerde geheuelees of kode-inspuitings deur onbetroubare prosesse te blokkeer. Hierdie verbetering hinder die tipiese funksionering van opdragte soos mimikatz.exe sekurlsa:logonpasswords. Om hierdie verbeterde beskerming te aktiveer, moet die RunAsPPL waarde in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA na 1 aangepas word:

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL

Bypass

Dit is moontlik om hierdie beskerming te omseil met behulp van die Mimikatz bestuurder mimidrv.sys:

Credential Guard

Credential Guard, 'n kenmerk wat eksklusief is vir Windows 10 (Enterprise en Onderwys edisies), verbeter die sekuriteit van masjien kredensiale deur gebruik te maak van Virtual Secure Mode (VSM) en Virtualization Based Security (VBS). Dit benut CPU virtualisering uitbreidings om sleutel prosesse binne 'n beskermde geheue ruimte te isoleer, weg van die hoof bedryfstelsel se bereik. Hierdie isolasie verseker dat selfs die kernel nie toegang tot die geheue in VSM kan verkry nie, wat kredensiale effektief beskerm teen aanvalle soos pass-the-hash. Die Local Security Authority (LSA) werk binne hierdie veilige omgewing as 'n trustlet, terwyl die LSASS proses in die hoof OS bloot as 'n kommunikeerder met die VSM se LSA optree.

Standaard is Credential Guard nie aktief nie en vereis handmatige aktivering binne 'n organisasie. Dit is krities vir die verbetering van sekuriteit teen gereedskap soos Mimikatz, wat belemmer word in hul vermoë om kredensiale te onttrek. egter, kwesbaarhede kan steeds benut word deur die toevoeging van pasgemaakte Security Support Providers (SSP) om kredensiale in duidelike teks tydens aanmeldpogings te vang.

Om die aktiveringsstatus van Credential Guard te verifieer, kan die register sleutel LsaCfgFlags onder HKLM\System\CurrentControlSet\Control\LSA nagegaan word. 'n Waarde van "1" dui aktivering met UEFI slot, "2" sonder slot, en "0" dui aan dat dit nie geaktiveer is nie. Hierdie registerkontrole, terwyl 'n sterk aanduiding, is nie die enigste stap om Credential Guard te aktiveer nie. Gedetailleerde leiding en 'n PowerShell skrip vir die aktivering van hierdie kenmerk is aanlyn beskikbaar.

reg query HKLM\System\CurrentControlSet\Control\LSA /v LsaCfgFlags

Vir 'n omvattende begrip en instruksies oor hoe om Credential Guard in Windows 10 in te skakel en sy outomatiese aktivering in kompatible stelsels van Windows 11 Enterprise en Education (weergawe 22H2), besoek Microsoft se dokumentasie.

Verder besonderhede oor die implementering van pasgemaakte SSPs vir kredensievangs word in hierdie gids verskaf.

RDP RestrictedAdmin Mode

Windows 8.1 en Windows Server 2012 R2 het verskeie nuwe sekuriteitskenmerke bekendgestel, insluitend die Restricted Admin mode vir RDP. Hierdie modus is ontwerp om sekuriteit te verbeter deur die risiko's wat verband hou met pass the hash aanvalle te verminder.

Tradisioneel, wanneer jy met 'n afstandrekenaar via RDP verbind, word jou kredensiale op die teikenmasjien gestoor. Dit stel 'n beduidende sekuriteitsrisiko voor, veral wanneer jy rekeninge met verhoogde regte gebruik. Met die bekendstelling van Restricted Admin mode word hierdie risiko egter aansienlik verminder.

Wanneer jy 'n RDP-verbinding begin met die opdrag mstsc.exe /RestrictedAdmin, word die outentisering na die afstandrekenaar uitgevoer sonder om jou kredensiale daarop te stoor. Hierdie benadering verseker dat, in die geval van 'n malware-infeksie of as 'n kwaadwillige gebruiker toegang tot die afstandbediener verkry, jou kredensiale nie gecompromitteer word nie, aangesien dit nie op die bediener gestoor word nie.

Dit is belangrik om te noem dat in Restricted Admin mode, pogings om netwerkbronne vanaf die RDP-sessie te benader nie jou persoonlike kredensiale sal gebruik nie; eerder word die masjien se identiteit gebruik.

Hierdie kenmerk merk 'n beduidende stap vorentoe in die beveiliging van afstanddesktopverbindinge en die beskerming van sensitiewe inligting teen blootstelling in die geval van 'n sekuriteitsbreuk.

Vir meer gedetailleerde inligting besoek hierdie hulpbron.

Cached Credentials

Windows beveilig domein kredensiale deur die Local Security Authority (LSA), wat aanmeldprosesse met sekuriteitsprotokolle soos Kerberos en NTLM ondersteun. 'n Sleutelkenmerk van Windows is sy vermoë om die laaste tien domein aanmeldings te kas om te verseker dat gebruikers steeds toegang tot hul rekenaars kan verkry, selfs as die domeinbeheerder aflyn is—'n voordeel vir skootrekenaargebruikers wat dikwels van hul maatskappy se netwerk af is.

Die aantal gekasde aanmeldings is aanpasbaar via 'n spesifieke registersleutel of groepbeleid. Om hierdie instelling te besigtig of te verander, word die volgende opdrag gebruik:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT

Toegang tot hierdie gekapte geloofsbriewe word streng beheer, met slegs die SYSTEM rekening wat die nodige regte het om dit te sien. Administrators wat toegang tot hierdie inligting benodig, moet dit met SYSTEM gebruikersregte doen. Die geloofsbriewe word gestoor by: HKEY_LOCAL_MACHINE\SECURITY\Cache

Mimikatz kan gebruik word om hierdie gekapte geloofsbriewe te onttrek met die opdrag lsadump::cache.

Vir verdere besonderhede bied die oorspronklike source omvattende inligting.

Gekapte Gebruikers

Lidmaatskap in die Gekapte Gebruikersgroep stel verskeie sekuriteitsverbeterings vir gebruikers in, wat hoër vlakke van beskerming teen diefstal en misbruik van geloofsbriewe verseker:

• Geloofsbriefdelegasie (CredSSP): Selfs al is die Groepbeleidinstelling vir Laat standaard geloofsbriewe delegasie toe geaktiveer, sal die gewone teks geloofsbriewe van Gekapte Gebruikers nie gekap word nie.
• Windows Digest: Begin vanaf Windows 8.1 en Windows Server 2012 R2, sal die stelsel nie gewone teks geloofsbriewe van Gekapte Gebruikers kap nie, ongeag die status van Windows Digest.
• NTLM: Die stelsel sal nie gewone teks geloofsbriewe of NT eenrigting funksies (NTOWF) van Gekapte Gebruikers kap nie.
• Kerberos: Vir Gekapte Gebruikers sal Kerberos-verifikasie nie DES of RC4 sleutels genereer nie, en dit sal ook nie gewone teks geloofsbriewe of langtermyn sleutels verder as die aanvanklike Ticket-Granting Ticket (TGT) verkryging kap nie.
• Offline Aanmelding: Gekapte Gebruikers sal nie 'n gekapte verifikator hê wat by aanmelding of ontgrendeling geskep word nie, wat beteken dat offline aanmelding nie vir hierdie rekeninge ondersteun word nie.

Hierdie beskermings word geaktiveer die oomblik wanneer 'n gebruiker, wat 'n lid van die Gekapte Gebruikersgroep is, by die toestel aanmeld. Dit verseker dat kritieke sekuriteitsmaatreëls in plek is om teen verskeie metodes van geloofsbriefkompromie te beskerm.

Vir meer gedetailleerde inligting, raadpleeg die amptelike documentation.

Tabel van the docs.