¿Las contraseñas de las cuentas de Windows siempre se almacenan en texto sin cifrar en la memoria, mientras la cuenta inicia sesión?

4

¿Las contraseñas de las cuentas de Windows siempre se almacenan en texto sin cifrar en la memoria, mientras la cuenta inicia sesión?

Usando Mimikatz, he visto muchos ejemplos donde las contraseñas se almacenan en la memoria, ya sea para cuentas de dominio / locales o cuentas de servicio.

Por lo tanto, quiero saber si las contraseñas para las cuentas de Windows registradas siempre se almacenan en la memoria, o si hay una excepción a esa regla.

¿Es suficiente para Windows almacenar solo los hashes NT (cuentas locales) y los hashes MsCacheV2 (cuentas de dominio)?

    
pregunta Shuzheng 15.10.2018 - 11:52
fuente

1 respuesta

1

No siempre; Como es habitual, hay algunas medidas a tomar que proporcionan una defensa en profundidad contra Mimikatz.

En Win 2012 R2, puede (y debe) utilizar el nuevo grupo en el esquema 2012R2 denominado "Usuarios protegidos", descrito en este artículo de TechNet: enlace

Ya practicas el principio de privilegio mínimo, otra defensa más general.

Si tiene máquinas Windows más antiguas en su dominio, instale KB2871997, que debería incluir el grupo de "Usuarios protegidos" en las versiones de Windows que aún están bajo soporte.

Finalmente, y esta podría ser la forma más efectiva y más fácil de eliminar mediante GP, hay una configuración de registro que puede establecer para evitar que las contraseñas se almacenen en texto sin formato en la RAM:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ WDigest, valor clave 'UseLogonCredential' y se establece en '0'.

    
respondido por el Ian 13.11.2018 - 14:25
fuente

Lea otras preguntas en las etiquetas