Ereignisse
29. Apr., 14 Uhr - 30. Apr., 19 Uhr
Nehmen Sie am ultimativen virtuellen Windows Server-Ereignis vom 29. bis 30. April teil, um technische Deep-Dive-Sitzungen und Live-Q&A mit Microsoft-Technikern zu erhalten.
Jetzt anmeldenDieser Browser wird nicht mehr unterstützt.
Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features, Sicherheitsupdates und den technischen Support zu nutzen.
Anhand dieser Referenzinformationen können Sie das Risiko einer Offenlegung von Anmeldeinformationen ermitteln, das mit verschiedenen Tools für die Remoteverwaltung einhergeht.
In einem Remoteverwaltungsszenario werden die Anmeldeinformationen auf dem Quellcomputer immer offengelegt. Daher wird für vertrauliche Konten oder Konten mit großen Auswirkungen eine vertrauenswürdige Arbeitsstation mit privilegiertem Zugriff empfohlen. Ob Anmeldeinformationen auf dem Zielcomputer (Remotecomputer) offengelegt werden und potenziell gestohlen werden können, hängt in erster Linie vom Windows-Anmeldetyp ab, der von der Verbindungsmethode verwendet wird.
Diese Tabelle umfasst Informationen zu den meisten gängigen Verwaltungstools und Verbindungsmethoden:
Verbindungsmethode | Anmeldetyp | Wiederverwendbare Anmeldeinformationen auf dem Ziel | Kommentare |
---|---|---|---|
Anmeldung bei der Konsole | Interactive | v | Beinhaltet Hardware-Remote-Access- / Lights-Out-Karten oder einen netzwerkbasierten Tastatur-, Video- und Maus-Eingang (KVM). |
RUNAS | Interactive | v | |
RUNAS/NETZWERK | NewCredentials | v | Klont die aktuelle LSA-Sitzung für den lokalen Zugriff, verwendet bei der Verbindung mit Netzwerkressourcen jedoch neue Anmeldeinformationen. |
Remotedesktop (erfolgreich) | RemoteInteractive | v | Wenn der Remote-Desktop-Client so konfiguriert ist, dass er lokale Geräte und Ressourcen gemeinsam nutzt, können diese Geräte ebenfalls kompromittiert werden. |
Remotedesktop (Fehler – Anmeldetyp verweigert) | RemoteInteractive | - | Wenn bei der Anmeldung über RDP ein Fehler auftritt, werden die Anmeldeinformationen standardmäßig nur kurz gespeichert. Dies ist möglicherweise nicht der Fall, wenn der Computer kompromittiert ist. |
Net use * \\SERVER | Network | - | |
Net use * \\SERVER /u:user | Network | - | |
MMC-Snap-Ins für Remotecomputer | Network | - | Beispiel: Computerverwaltung, Ereignisanzeige, Geräte-Manager, Dienste |
PowerShell WinRM | Network | - | Beispiel: Enter-PSSession server |
PowerShell WinRM mit CredSSP | NetworkClearText | v | New-PSSession server -Authentication Credssp -Credential cred |
PsExec ohne explizite Anmeldeinformationen | Network | - | Beispiel: PsExec \\server cmd |
PsExec mit expliziten Anmeldeinformationen | Netzwerk und interaktiv | v | PsExec \\server -u user -p pwd cmd Erstellt mehrere Anmeldesitzungen. |
Remoteregistrierung | Network | - | |
Remotedesktopgateway | Network | - | Authentifizierung gegenüber Remotedesktopgateway. |
Geplanter Task | Batch | v | Das Passwort wird auch als LSA Secret auf der Festplatte gespeichert. |
Tools als Dienst ausführen | Power BI-Dienst | v | Das Passwort wird auch als LSA Secret auf der Festplatte gespeichert. |
Überprüfung auf Sicherheitsrisiken | Network | - | Bei den meisten Überprüfungen werden Netzwerkanmeldungen verwendet. Einige Anbieter implementieren jedoch möglicherweise andere Anmeldeverfahren, die ein höheres Risiko für einen Diebstahl von Anmeldeinformationen zur Folge haben. |
Für die Web-Authentifizierung verwenden Sie die Referenz aus der folgenden Tabelle:
Verbindungsmethode | Anmeldetyp | Wiederverwendbare Anmeldeinformationen auf dem Ziel | Kommentare |
---|---|---|---|
IIS-Standardauthentifizierung | NetworkCleartext (IIS 6.0 und höher) Interactive |
v | |
Integrierte Windows-Authentifizierung (IIS) | Network | - | NTLM- und Kerberos-Anbieter. |
Spaltendefinitionen:
Die Symbole in dieser Tabelle sind wie folgt definiert:
Bei Verwaltungsanwendungen, die nicht in dieser Tabelle aufgeführt sind, können Sie den Anmeldetyp anhand des Feldes Anmeldetyp in den Audit-Anmeldeereignissen ermitteln. Weitere Informationen finden Sie unter Anmeldeereignisse überwachen.
Auf Windows-basierten Computern werden alle Authentifizierungen als einer von mehreren Anmeldetypen verarbeitet (unabhängig davon, welches Authentifizierungsprotokoll oder welcher Authenticator verwendet wird). Diese Tabelle enthält die gängigsten Anmeldetypen sowie die zugehörigen Attribute im Hinblick auf den Diebstahl von Anmeldeinformationen:
Anmeldetyp | # | Akzeptierte Authenticators | Wiederverwendbare Anmeldeinformationen in LSA-Sitzung | Beispiele |
---|---|---|---|---|
Interaktiv (auch bekannt als „lokal anmelden“) | 2 | Kennwort, Smartcard, sonstige |
Ja | Konsolenanmeldung, RUNAS, Lösungen zur Remotesteuerung von Hardware (z. B. Netzwerk-KVM oder Remotezugriff/Lights-Out-Karte in Servern) IIS-Standardauthentifizierung (vor IIS 6.0) |
Network | 3 | Kennwort, NT-Hash, Kerberos-Ticket |
Nein (Ausnahme: Wenn die Delegierung aktiviert ist, sind Kerberos-Tickets vorhanden) | NET USE, RPC-Aufrufe, Remoteregistrierung, Integrierte Windows-Authentifizierung (IIS), SQL-Windows-Authentifizierung, |
Batch | 4 | Kennwort (als geheime LSA-Daten gespeichert) | Ja | Geplante Aufgaben |
Power BI-Dienst | 5 | Kennwort (als geheime LSA-Daten gespeichert) | Ja | Windows-Dienste |
NetworkCleartext | 8 | Kennwort | Ja | IIS-Standardauthentifizierung (IIS 6.0 und höher), Windows PowerShell mit CredSSP |
NewCredentials | 9 | Kennwort | Ja | RUNAS/NETZWERK |
RemoteInteractive | 10 | Kennwort, Smartcard, sonstige |
Ja | Remotedesktop (früher „Terminaldienste“) |
Spaltendefinitionen:
Hinweis
Weitere Informationen zu Anmeldetypen finden Sie unter SECURITY_LOGON_TYPE enumeration (SECURITY_LOGON_TYPE-Enumeration).
Nächste Schritte
Ereignisse
29. Apr., 14 Uhr - 30. Apr., 19 Uhr
Nehmen Sie am ultimativen virtuellen Windows Server-Ereignis vom 29. bis 30. April teil, um technische Deep-Dive-Sitzungen und Live-Q&A mit Microsoft-Technikern zu erhalten.
Jetzt anmelden