Es un riesgo de seguridad bien conocido que LSASS almacena contraseñas de texto claro si un usuario ha realizado un inicio de sesión con teclado interactivo en una máquina, ya sea un inicio de sesión local en su estación de trabajo o utilizando RDP en una estación de trabajo remota.
También hay una solución clásica para esto: deshabilitar wdigest y tspkg. Hasta ahora todo bien, pero si se admite Kerberos, entonces aparentemente se necesita una contraseña de texto simple para renovar el Ticket Granting Ticket (TGT) y, por lo tanto, queda entre un lugar difícil y difícil. No apoye a Kerberos y disfrute de todo. Los riesgos asociados con el hash que pasa o admiten Kerberos y aceptan el riesgo de las contraseñas de texto ordenado. La publicación vinculada da los siguientes consejos, que creo que son inaceptables:
Por lo tanto, la protección más efectiva es evitar interactivos. Inicia sesión en cualquier host que no sea de confianza.
Una gran empresa tiene miles de servidores, ¿cómo sabe cuál está comprometido y se debe evitar el inicio de sesión?
Mi pregunta: ¿existen otras medidas prácticas aparte de implementar un 2FA (sobre esas cuestiones más adelante) que permitiría un inicio de sesión seguro mediante teclado interactivo?
P.S. Acerca de 2FA. Los métodos más comunes son el código de acceso + OTP y X.509 PKI en una tarjeta inteligente. Tampoco son impecables:
- si has secuestrado el proceso lsass, entonces podrías usar el código de acceso otp + para iniciar sesión en otros servidores mientras el código de acceso es válido. Al utilizar la autenticación, esto podría significar que ha iniciado sesión en decenas de servidores o más durante la ventana de 60 segundos
- Según este artículo de TechNet el usuario envía el PIN al servidor y hace que la tarjeta inteligente esté disponible para el servidor RDP. Se puede usar el mismo proceso que en el primer elemento para piratear muchos servidores mientras el administrador hace clic en el servidor comprometido.
°º¤ø,¸¸,ø¤º°'°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°'°º¤ø,¸°º¤ø,¸¸,ø¤º°'°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°'°º¤ø,¸
Actualización 2018 : A partir de Windows Server 2012 R2 y Windows 8.1, el LSASS se puede ejecutar como un proceso protegido al habilitar RunAsPPL configurando e inhibiendo el volcado de credenciales. A partir de Windows 10 y Server 2016, la Windows Credential Guard está habilitado de forma predeterminada y logra resultados similares.
°º¤ø,¸¸,ø¤º°'°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°'°º¤ø,¸°º¤ø,¸¸,ø¤º°'°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°'°º¤ø,¸