Credenciales de PowerShell y en caché

2

En mi entorno, tenemos el control remoto de powershell desactivado. Lo soluciono con secuencias de comandos de 2 saltos, paquetes (exe -no creds se almacenan solo en códigos locales), y iwmi. Nunca transfiero credenciales al punto final, solo lo uso para autenticarse en el punto final. Utilizo cuentas mejoradas para analizar registros, administrar configuraciones, etc. en los puntos finales. Dado que mi cuenta técnicamente registra cada golpe de WMI que hace (visible en el registro de eventos), ¿esto también significa que los creds pasados con WMI y powershell se almacenan en lsass y son potencialmente visibles para procdump o mimikatz como módulo / marco?

¡Muchas gracias por cualquier idea o pensamiento sobre esto!

    
pregunta Charles 14.04.2016 - 04:38
fuente

1 respuesta

0

Mi nueva comprensión encontrada: Dos tipos de inicio de sesión para esto: uno almacena y otro no:

Inicio de sesión interactivo ocurre cuando un usuario ingresa sus credenciales de inicio de sesión en el arranque, RDP u otra interfaz en la máquina local. Este tipo de inicio de sesión inyecta las credenciales del usuario en la memoria como tickets de Kerberos TGT, NTLM, LM o texto sin formato. Este tipo de inicio de sesión es la principal preocupación de seguridad cuando se trata de mimikatz, falsificación TGT, procdump y ataques PTH. En otras palabras, los inicios de sesión interactivos deben mantenerse con el privilegio LEAST.

Inicios de sesión en red las credenciales del usuario se autentican en el sistema de destino para acceder o administrar de forma remota. Estos tipos de credenciales no se pasan al servicio / sistema y, por lo tanto, no se almacenan en la memoria del sistema remoto como cualquiera de los tipos de cadena mencionados anteriormente.

    
respondido por el Charles 25.04.2016 - 14:57
fuente

Lea otras preguntas en las etiquetas