En mi entorno, tenemos el control remoto de powershell desactivado. Lo soluciono con secuencias de comandos de 2 saltos, paquetes (exe -no creds se almacenan solo en códigos locales), y iwmi. Nunca transfiero credenciales al punto final, solo lo uso para autenticarse en el punto final. Utilizo cuentas mejoradas para analizar registros, administrar configuraciones, etc. en los puntos finales. Dado que mi cuenta técnicamente registra cada golpe de WMI que hace (visible en el registro de eventos), ¿esto también significa que los creds pasados con WMI y powershell se almacenan en lsass y son potencialmente visibles para procdump o mimikatz como módulo / marco?
¡Muchas gracias por cualquier idea o pensamiento sobre esto!