¿Cómo puede Windows 10 no tener la contraseña en la memoria?

4

He leído que Windows 10 no tiene la contraseña en la memoria del creador de mimikatz:

  

A partir de 8.xy 10, de forma predeterminada, no hay contraseña en la memoria.

     

Excepciones:

     
  • Cuando DC no está disponible, el proveedor kerberos mantiene las contraseñas para futuras negociaciones;
  •   
  • Cuando HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest , UseLogonCredential (DWORD) se establece en 1 , el proveedor wdigest mantiene las contraseñas;
  •   
  • Cuando los valores en Allow* en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Credssp\PolicyDefaults o HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation , el proveedor tspkgs / CredSSP mantiene las contraseñas.
  •   

Por supuesto, no cuando se utiliza Credential Guard .

¿Cómo es eso posible? ¿Cómo puede Windows mantener la contraseña fuera de la memoria?

    
pregunta Peter11 23.05.2016 - 19:21
fuente

2 respuestas

6

Una búsqueda rápida subió el enlace de abajo. Crearon una nueva tecnología llamada CredentialGuard, que aísla secretos en entornos seguros virtualizados en lugar de almacenar todo en LSA como solían hacerlo. Mimikatz ya no puede simplemente volcar la memoria del proceso lsass.exe y analizar los contenidos. Todavía están en algo de memoria , hablando estrictamente, pero no de memoria a la que podamos acceder fácilmente.

Más: enlace

    
respondido por el 0rigen 23.05.2016 - 20:59
fuente
2

A partir de Windows 8.1, el texto sin formato de la contraseña de un usuario suele ser ya no se guarda en la memoria . (Si no está familiarizado con Wdigest, sí, Windows solía hacer esto realmente. Por defecto, todavía lo hace en Windows 7). Por lo tanto, si logra deshacerse de los créditos en una máquina con Windows 8.1, obtendrá el Los hashes NTLM v.2 o la información del ticket de Kerberos de los usuarios que han iniciado sesión, pero en realidad no obtendrán el texto simple de sus contraseñas. Eso, creo, es a lo que se refiere el texto que citó. Por supuesto, ya que puede (al menos, en muchos escenarios) simplemente pasar el hash o pasar el ticket de todos modos sin tener que tener acceso al texto simple de la contraseña, el efecto práctico de este avance fue menor que el sísmico . Y, como se muestra en la sección de texto que anotó, incluso con Windows 8.1 hay configuraciones de autenticación que un administrador puede habilitar para que produzca el texto simple de las contraseñas que aún se encuentran en la LSA. Sin embargo, dado que algunos avances son mejores que ningún progreso, este fue un avance positivo.

Credential Guard, por otro lado, es algo más nuevo y diferente. Rigien lo describió brevemente y lo vinculó a un buen artículo de TechNet al respecto. Por lo tanto, será suficiente decir aquí donde está vigente (solo existe en Windows 10 y solo en las versiones implementadas en la empresa del sistema operativo) y, si está configurado correctamente, impide que un examinador de bolígrafos o un atacante pueda volcar credos de memoria en absoluto. La función hace uso de lo que Microsoft denomina seguridad basada en virtualización en Windows 10 para colocar esencialmente el almacén de memoria de credenciales LSA dentro de una máquina virtual muy pequeña y muy pobre (para simplificar demasiado las cosas). Una máquina virtual a la que, gracias a las tecnologías que se han convertido en estándar en los procesadores Intel y AMD recientes, ni siquiera puede acceder al código que se ejecuta con privilegios de administrador / sistema. Bastante ingenioso

Esa es la teoría, de todos modos. Hasta ahora, en la historia temprana de Windows 10, no tengo conocimiento de que se haya detectado una derivación o una vulnerabilidad explotada para permitir el volcado de credenciales en el lugar donde se encuentra la Guardia de credenciales y se permite trabajar con la configuración recomendada. (Sin embargo, entiendo que si un administrador vuelve a habilitar Wdigest o habilita la autenticación delegada de CredSSP, Credential Guard todavía estará desactivado de manera efectiva. Así que piense detenidamente antes de hacer cualquiera de esas cosas). chicos vienen con en los próximos años. Y a qué contramedidas de contrabando le viene a Microsoft.

    
respondido por el mostlyinformed 02.11.2016 - 06:30
fuente

Lea otras preguntas en las etiquetas