Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Referenzinformationen werden bereitgestellt, um das Risiko der Gefährdung von Anmeldeinformationen zu identifizieren, die verschiedenen Verwaltungstools für die Remoteverwaltung zugeordnet sind.
In einem Remoteverwaltungsszenario werden Anmeldeinformationen immer auf dem Quellcomputer verfügbar gemacht, sodass eine vertrauenswürdige Arbeitsstation für privilegierten Zugriff (PAW) immer für vertrauliche oder besonders betroffene Konten empfohlen wird. Ob Anmeldeinformationen potenziellen Diebstahl auf dem Zielcomputer (Remotecomputer) ausgesetzt sind, hängt in erster Linie vom Windows-Anmeldetyp ab, der von der Verbindungsmethode verwendet wird.
Diese Tabelle enthält Anleitungen für die am häufigsten verwendeten Verwaltungstools und Verbindungsmethoden:
| Connection method | Logon type | Wiederverwendbare Anmeldeinformationen am Ziel | Comments |
|---|---|---|---|
| Melden Sie sich bei der Konsole an | Interactive | v | Umfasst Hardware-Remotezugriffs-/Beleuchtungskarten oder netzwerkbasierte Tastatur-, Video- und Mauseingaben (MOUSE). |
| RUNAS | Interactive | v | |
| RUNAS /NETWORK | NewCredentials | v | Klont die aktuelle LSA-Sitzung für den lokalen Zugriff, verwendet jedoch neue Anmeldeinformationen beim Herstellen einer Verbindung mit Netzwerkressourcen. |
| Remotedesktop (Erfolg) | RemoteInteractive | v | Wenn der Remotedesktopclient so konfiguriert ist, dass lokale Geräte und Ressourcen freigegeben werden, werden diese Geräte möglicherweise ebenfalls kompromittiert. |
| Remotedesktop (Fehler – Anmeldetyp wurde verweigert) | RemoteInteractive | - | Wenn die RDP-Anmeldung standardmäßig nicht erfolgreich ist, werden anmeldeinformationen nur kurz gespeichert. Dies ist möglicherweise nicht der Fall, wenn der Computer kompromittiert ist. |
| Nettoverwendung * \\SERVER | Network | - | |
| Netznutzung * \\SERVER /u:Benutzer | Network | - | |
| MMC-Snap-Ins an Remotecomputer | Network | - | Beispiel: Computerverwaltung, Ereignisanzeige, Geräte-Manager, Dienste |
| PowerShell WinRM | Network | - | Beispiel: Enter-PSSession Server |
| PowerShell WinRM mit CredSSP | NetworkClearText | v | New-PSSession server -Authentication Credssp -Credential cred |
| PsExec ohne explizite Anmeldeinformationen | Network | - | Beispiel: PsExec \\server cmd |
| PsExec mit expliziten Anmeldeinformationen | Netzwerk + Interaktiv | v | PsExec \\server -u Benutzer -p pwd cmd Erstellt mehrere Anmeldesitzungen. |
| Remote Registry | Network | - | |
| Remotedesktopgateway | Network | - | Authentifizieren beim Remotedesktopgateway. |
| Scheduled task | Batch | v | Das Kennwort wird auch als LSA-Schlüssel auf dem Datenträger gespeichert. |
| Ausführen von Tools als Dienst | Service | v | Das Kennwort wird auch als LSA-Schlüssel auf dem Datenträger gespeichert. |
| Vulnerability scanners | Network | - | Die meisten Scanner verwenden standardmäßig Netzwerkanmeldungen, obwohl einige Anbieter möglicherweise Nicht-Netzwerkanmeldungen implementieren und mehr Diebstahl von Anmeldeinformationen darstellen. |
Verwenden Sie für die Webauthentifizierung den Verweis aus der folgenden Tabelle:
| Connection method | Logon type | Wiederverwendbare Anmeldeinformationen am Ziel | Comments |
|---|---|---|---|
| IIS "Standardauthentifizierung" | NetworkCleartext (IIS 6.0+) Interactive |
v | |
| IIS "Integrierte Windows-Authentifizierung" | Network | - | NTLM- und Kerberos-Anbieter. |
Column Definitions:
- Anmeldetyp - Gibt den Anmeldetyp an, der von der Verbindung initiiert wurde.
-
Wiederverwendbare Anmeldeinformationen am Ziel – Gibt an, dass die folgenden Anmeldeinformationstypen im LSASS-Prozessspeicher auf dem Zielcomputer gespeichert werden, auf dem das angegebene Konto lokal angemeldet ist:
- LM- und NT-Hashes
- Kerberos TGTs
- Nur-Text-Kennwort (falls zutreffend).
Die Symbole in dieser Tabelle sind wie folgt definiert:
- (-) gibt an, wenn Anmeldeinformationen nicht verfügbar gemacht werden.
- (v) gibt an, wann Anmeldeinformationen verfügbar gemacht werden.
Bei Verwaltungsanwendungen, die sich nicht in dieser Tabelle befinden, können Sie den Anmeldetyp aus dem Anmeldetypfeld in den Überwachungsanmeldungsereignissen ermitteln. Weitere Informationen finden Sie unter Überwachungsanmeldungsereignisse.
Auf Windows-basierten Computern werden alle Authentifizierungen als einer von mehreren Anmeldetypen verarbeitet, unabhängig davon, welches Authentifizierungsprotokoll oder Authentifikator verwendet wird. Diese Tabelle enthält die gängigsten Anmeldetypen und ihre Attribute relativ zum Diebstahl von Anmeldeinformationen:
| Logon type | # | Authenticators accepted | Wiederverwendbare Anmeldeinformationen in der LSA-Sitzung | Examples |
|---|---|---|---|---|
| Interaktiv (auch bekannt als lokale Anmeldung) | 2 | Password, Smartcard, other |
Yes | Console logon; RUNAS; Hardware-Remotesteuerungslösungen (z. B. Netzwerk-KVM oder Remotezugriff / Lights-Out Karte auf dem Server) IIS Basic Auth (vor IIS 6.0) |
| Network | 3 | Password, NT Hash, Kerberos ticket |
Nein (außer wenn die Delegierung aktiviert ist, werden kerberos-Tickets vorhanden) | NET USE; RPC calls; Remote registry; Iis integrierte Windows-Authentifizierung; SQL Windows-Authentifizierung; |
| Batch | 4 | Kennwort (als LSA-Schlüssel gespeichert) | Yes | Scheduled tasks |
| Service | 5 | Kennwort (als LSA-Schlüssel gespeichert) | Yes | Windows services |
| NetworkCleartext | 8 | Password | Yes | IIS Basic Auth (IIS 6.0 und höher); Windows PowerShell mit CredSSP |
| NewCredentials | 9 | Password | Yes | RUNAS /NETWORK |
| RemoteInteractive | 10 | Password, Smartcard, other |
Yes | Remotedesktop (früher als "Terminaldienste" bezeichnet) |
Column definitions:
- Anmeldetyp - Der Typ der angeforderten Anmeldung.
- # – Der numerische Bezeichner für den Anmeldetyp, der in Überwachungsereignissen im Sicherheitsereignisprotokoll gemeldet wird.
- Akzeptierte Authentifikatoren - Gibt an, welche Typen von Authentifikatoren in der Lage sind, eine Anmeldung dieses Typs zu initiieren.
- Wiederverwendbare Anmeldeinformationen in der LSA-Sitzung – Gibt an, ob der Anmeldetyp anmeldet, die Anmeldeinformationen enthält, z. B. Nur-Text-Kennwörter, NT-Hashes oder Kerberos-Tickets, die zur Authentifizierung bei anderen Netzwerkressourcen verwendet werden können.
- Beispiele – Liste der gängigen Szenarien, in denen der Anmeldetyp verwendet wird.
Note
Weitere Informationen zu Anmeldetypen finden Sie unter SECURITY_LOGON_TYPE Enumeration.
Next steps