Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Referenzinformationen werden bereitgestellt, um das Risiko der Gefährdung von Anmeldeinformationen zu identifizieren, die verschiedenen Verwaltungstools für die Remoteverwaltung zugeordnet sind.
In einem Remoteverwaltungsszenario werden Anmeldeinformationen immer auf dem Quellcomputer verfügbar gemacht, sodass eine vertrauenswürdige Arbeitsstation für privilegierten Zugriff (PAW) immer für vertrauliche oder besonders betroffene Konten empfohlen wird. Ob Anmeldeinformationen potenziellen Diebstahl auf dem Zielcomputer (Remotecomputer) ausgesetzt sind, hängt in erster Linie vom Windows-Anmeldetyp ab, der von der Verbindungsmethode verwendet wird.
Diese Tabelle enthält Anleitungen für die am häufigsten verwendeten Verwaltungstools und Verbindungsmethoden:
| Verbindungsmethode | Anmeldetyp | Wiederverwendbare Anmeldeinformationen am Ziel | Kommentare |
|---|---|---|---|
| Melden Sie sich bei der Konsole an | Interaktiv | v | Umfasst Hardware-Remotezugriffs-/Beleuchtungskarten oder netzwerkbasierte Tastatur-, Video- und Mauseingaben (MOUSE). |
| RUNAS | Interaktiv | v | |
| RUNAS /NETZWERK | NeuAnmeldeinformationen | v | Klont die aktuelle LSA-Sitzung für den lokalen Zugriff, verwendet jedoch neue Anmeldeinformationen beim Herstellen einer Verbindung mit Netzwerkressourcen. |
| Remotedesktop (Erfolg) | FerngesteuertInteraktiv | v | Wenn der Remotedesktopclient so konfiguriert ist, dass lokale Geräte und Ressourcen freigegeben werden, werden diese Geräte möglicherweise ebenfalls kompromittiert. |
| Remotedesktop (Fehler – Anmeldetyp wurde verweigert) | FerngesteuertInteraktiv | - | Wenn die RDP-Anmeldung standardmäßig nicht erfolgreich ist, werden anmeldeinformationen nur kurz gespeichert. Dies ist möglicherweise nicht der Fall, wenn der Computer kompromittiert ist. |
| Nettoverwendung * \\SERVER | Netzwerk | - | |
| Netznutzung * \\SERVER /u:Benutzer | Netzwerk | - | |
| MMC-Snap-Ins an Remotecomputer | Netzwerk | - | Beispiel: Computerverwaltung, Ereignisanzeige, Geräte-Manager, Dienste |
| PowerShell WinRM | Netzwerk | - | Beispiel: Enter-PSSession Server |
| PowerShell WinRM mit CredSSP | NetzwerkClearText | v | New-PSSession Server -Authentifizierung Credssp -Anmeldeinformationen erstellen |
| PsExec ohne explizite Anmeldeinformationen | Netzwerk | - | Beispiel: PsExec \\server cmd |
| PsExec mit expliziten Anmeldeinformationen | Netzwerk + Interaktiv | v | PsExec \\server -u Benutzer -p pwd cmd Erstellt mehrere Anmeldesitzungen. |
| Remoteregistrierung | Netzwerk | - | |
| Remotedesktopgateway | Netzwerk | - | Authentifizieren beim Remotedesktopgateway. |
| Geplanter Task | Stapel | v | Das Kennwort wird auch als LSA-Schlüssel auf dem Datenträger gespeichert. |
| Ausführen von Tools als Dienst | Dienstleistung | v | Das Kennwort wird auch als LSA-Schlüssel auf dem Datenträger gespeichert. |
| Sicherheitsrisikoscanner | Netzwerk | - | Die meisten Scanner verwenden standardmäßig Netzwerkanmeldungen, obwohl einige Anbieter möglicherweise Nicht-Netzwerkanmeldungen implementieren und mehr Diebstahl von Anmeldeinformationen darstellen. |
Verwenden Sie für die Webauthentifizierung den Verweis aus der folgenden Tabelle:
| Verbindungsmethode | Anmeldetyp | Wiederverwendbare Anmeldeinformationen am Ziel | Kommentare |
|---|---|---|---|
| IIS "Standardauthentifizierung" | NetzwerkKlartext (IIS 6.0+) Interaktiv |
v | |
| IIS "Integrierte Windows-Authentifizierung" | Netzwerk | - | NTLM- und Kerberos-Anbieter. |
Spaltendefinitionen:
- Anmeldetyp – Identifiziert den Anmeldetyp, der von der Verbindung initiiert wurde.
-
Wiederverwendbare Anmeldeinformationen am Ziel – Gibt an, dass die folgenden Anmeldeinformationstypen im LSASS-Prozessspeicher auf dem Zielcomputer gespeichert werden, auf dem das angegebene Konto lokal angemeldet ist:
- LM- und NT-Hashes
- Kerberos-TGTs
- Nur-Text-Kennwort (falls zutreffend).
Die Symbole in dieser Tabelle sind wie folgt definiert:
- (-) gibt an, wenn Anmeldeinformationen nicht verfügbar gemacht werden.
- (v) gibt an, wann Anmeldeinformationen verfügbar gemacht werden.
Bei Verwaltungsanwendungen, die sich nicht in dieser Tabelle befinden, können Sie den Anmeldetyp aus dem Anmeldetypfeld in den Überwachungsanmeldungsereignissen ermitteln. Weitere Informationen finden Sie unter Überwachungsanmeldungsereignisse.
Auf Windows-basierten Computern werden alle Authentifizierungen als einer von mehreren Anmeldetypen verarbeitet, unabhängig davon, welches Authentifizierungsprotokoll oder Authentifikator verwendet wird. Diese Tabelle enthält die gängigsten Anmeldetypen und ihre Attribute relativ zum Diebstahl von Anmeldeinformationen:
| Anmeldetyp | # | Authentifikatoren akzeptiert | Wiederverwendbare Anmeldeinformationen in der LSA-Sitzung | Beispiele |
|---|---|---|---|---|
| Interaktiv (auch bekannt als lokale Anmeldung) | 2 | Kennwort, Smartcard, Sonstige |
Ja | Konsolenanmeldung; RUNAS; Hardware-Remotesteuerungslösungen (z. B. Netzwerk-KVM oder Remotezugriff / Lights-Out Karte auf dem Server) IIS Basic Auth (vor IIS 6.0) |
| Netzwerk | 3 | Passwort NT-Hash, Kerberos-Ticket |
Nein (außer wenn die Delegierung aktiviert ist, werden kerberos-Tickets vorhanden) | NETTO-NUTZUNG; RPC-Anrufe; Remoteregistrierung; Iis integrierte Windows-Authentifizierung; SQL Windows-Authentifizierung; |
| Stapel | 4 | Kennwort (als LSA-Schlüssel gespeichert) | Ja | Geplante Vorgänge |
| Dienstleistung | 5 | Kennwort (als LSA-Schlüssel gespeichert) | Ja | Windows-Dienste |
| NetzwerkKlartext | 8 | Passwort | Ja | IIS Basic Auth (IIS 6.0 und höher); Windows PowerShell mit CredSSP |
| NeuAnmeldeinformationen | 9 | Passwort | Ja | RUNAS /NETZWERK |
| FerngesteuertInteraktiv | 10 | Kennwort, Smartcard, Sonstige |
Ja | Remotedesktop (früher als "Terminaldienste" bezeichnet) |
Spaltendefinitionen:
- Anmeldetyp – Der angeforderte Anmeldetyp.
- # – Der numerische Bezeichner für den Anmeldetyp, der in Überwachungsereignissen im Sicherheitsereignisprotokoll gemeldet wird.
- Authentifikatoren akzeptiert – Gibt an, welche Arten von Authentifikatoren eine Anmeldung dieses Typs initiieren können.
- Wiederverwendbare Anmeldeinformationen in der LSA-Sitzung – Gibt an, ob der Anmeldetyp anmeldet, die Anmeldeinformationen enthält, z. B. Nur-Text-Kennwörter, NT-Hashes oder Kerberos-Tickets, die zur Authentifizierung bei anderen Netzwerkressourcen verwendet werden können.
- Beispiele : Liste der gängigen Szenarien, in denen der Anmeldetyp verwendet wird.
Hinweis
Weitere Informationen zu Anmeldetypen finden Sie unter SECURITY_LOGON_TYPE Enumeration.
Nächste Schritte