Auf Englisch lesen

Freigeben über


Verwaltungstools und Anmeldetypen

Anhand dieser Referenzinformationen können Sie das Risiko einer Offenlegung von Anmeldeinformationen ermitteln, das mit verschiedenen Tools für die Remoteverwaltung einhergeht.

In einem Remoteverwaltungsszenario werden die Anmeldeinformationen auf dem Quellcomputer immer offengelegt. Daher wird für vertrauliche Konten oder Konten mit großen Auswirkungen eine vertrauenswürdige Arbeitsstation mit privilegiertem Zugriff empfohlen. Ob Anmeldeinformationen auf dem Zielcomputer (Remotecomputer) offengelegt werden und potenziell gestohlen werden können, hängt in erster Linie vom Windows-Anmeldetyp ab, der von der Verbindungsmethode verwendet wird.

Diese Tabelle umfasst Informationen zu den meisten gängigen Verwaltungstools und Verbindungsmethoden:

Verbindungsmethode Anmeldetyp Wiederverwendbare Anmeldeinformationen auf dem Ziel Kommentare
Anmeldung bei der Konsole Interactive v Beinhaltet Hardware-Remote-Access- / Lights-Out-Karten oder einen netzwerkbasierten Tastatur-, Video- und Maus-Eingang (KVM).
RUNAS Interactive v
RUNAS/NETZWERK NewCredentials v Klont die aktuelle LSA-Sitzung für den lokalen Zugriff, verwendet bei der Verbindung mit Netzwerkressourcen jedoch neue Anmeldeinformationen.
Remotedesktop (erfolgreich) RemoteInteractive v Wenn der Remote-Desktop-Client so konfiguriert ist, dass er lokale Geräte und Ressourcen gemeinsam nutzt, können diese Geräte ebenfalls kompromittiert werden.
Remotedesktop (Fehler – Anmeldetyp verweigert) RemoteInteractive - Wenn bei der Anmeldung über RDP ein Fehler auftritt, werden die Anmeldeinformationen standardmäßig nur kurz gespeichert. Dies ist möglicherweise nicht der Fall, wenn der Computer kompromittiert ist.
Net use * \\SERVER Network -
Net use * \\SERVER /u:user Network -
MMC-Snap-Ins für Remotecomputer Network - Beispiel: Computerverwaltung, Ereignisanzeige, Geräte-Manager, Dienste
PowerShell WinRM Network - Beispiel: Enter-PSSession server
PowerShell WinRM mit CredSSP NetworkClearText v New-PSSession server
-Authentication Credssp
-Credential cred
PsExec ohne explizite Anmeldeinformationen Network - Beispiel: PsExec \\server cmd
PsExec mit expliziten Anmeldeinformationen Netzwerk und interaktiv v PsExec \\server -u user -p pwd cmd
Erstellt mehrere Anmeldesitzungen.
Remoteregistrierung Network -
Remotedesktopgateway Network - Authentifizierung gegenüber Remotedesktopgateway.
Geplanter Task Batch v Das Passwort wird auch als LSA Secret auf der Festplatte gespeichert.
Tools als Dienst ausführen Power BI-Dienst v Das Passwort wird auch als LSA Secret auf der Festplatte gespeichert.
Überprüfung auf Sicherheitsrisiken Network - Bei den meisten Überprüfungen werden Netzwerkanmeldungen verwendet. Einige Anbieter implementieren jedoch möglicherweise andere Anmeldeverfahren, die ein höheres Risiko für einen Diebstahl von Anmeldeinformationen zur Folge haben.

Für die Web-Authentifizierung verwenden Sie die Referenz aus der folgenden Tabelle:

Verbindungsmethode Anmeldetyp Wiederverwendbare Anmeldeinformationen auf dem Ziel Kommentare
IIS-Standardauthentifizierung NetworkCleartext
(IIS 6.0 und höher)

Interactive
(vor IIS 6.0)

v
Integrierte Windows-Authentifizierung (IIS) Network - NTLM- und Kerberos-Anbieter.

Spaltendefinitionen:

  • Anmeldetyp – Identifiziert den Anmeldetyp, der von der Verbindung initiiert wird.
  • Wiederverwendbare Anmeldeinformationen am Zielort – Gibt an, dass die folgenden Anmeldeinformationstypen im LSASS-Prozessspeicher auf dem Zielcomputer gespeichert sind, auf dem das angegebene Konto lokal angemeldet ist:
    • LM- und NT-Hashes
    • Kerberos TGTs
    • Nur-Text-Kennwort (falls zutreffend).

Die Symbole in dieser Tabelle sind wie folgt definiert:

  • (-) bedeutet, dass die Anmeldeinformationen nicht offengelegt werden.
  • (v) zeigt an, dass die Anmeldeinformationen offengelegt werden.

Bei Verwaltungsanwendungen, die nicht in dieser Tabelle aufgeführt sind, können Sie den Anmeldetyp anhand des Feldes Anmeldetyp in den Audit-Anmeldeereignissen ermitteln. Weitere Informationen finden Sie unter Anmeldeereignisse überwachen.

Auf Windows-basierten Computern werden alle Authentifizierungen als einer von mehreren Anmeldetypen verarbeitet (unabhängig davon, welches Authentifizierungsprotokoll oder welcher Authenticator verwendet wird). Diese Tabelle enthält die gängigsten Anmeldetypen sowie die zugehörigen Attribute im Hinblick auf den Diebstahl von Anmeldeinformationen:

Anmeldetyp # Akzeptierte Authenticators Wiederverwendbare Anmeldeinformationen in LSA-Sitzung Beispiele
Interaktiv (auch bekannt als „lokal anmelden“) 2 Kennwort, Smartcard,
sonstige
Ja Konsolenanmeldung,
RUNAS,
Lösungen zur Remotesteuerung von Hardware (z. B. Netzwerk-KVM oder Remotezugriff/Lights-Out-Karte in Servern)
IIS-Standardauthentifizierung (vor IIS 6.0)
Network 3 Kennwort,
NT-Hash,
Kerberos-Ticket
Nein (Ausnahme: Wenn die Delegierung aktiviert ist, sind Kerberos-Tickets vorhanden) NET USE,
RPC-Aufrufe,
Remoteregistrierung,
Integrierte Windows-Authentifizierung (IIS),
SQL-Windows-Authentifizierung,
Batch 4 Kennwort (als geheime LSA-Daten gespeichert) Ja Geplante Aufgaben
Power BI-Dienst 5 Kennwort (als geheime LSA-Daten gespeichert) Ja Windows-Dienste
NetworkCleartext 8 Kennwort Ja IIS-Standardauthentifizierung (IIS 6.0 und höher),
Windows PowerShell mit CredSSP
NewCredentials 9 Kennwort Ja RUNAS/NETZWERK
RemoteInteractive 10 Kennwort, Smartcard,
sonstige
Ja Remotedesktop (früher „Terminaldienste“)

Spaltendefinitionen:

  • Anmeldetyp – der Typ der angeforderten Anmeldung.
  • # – der numerische Bezeichner für den Anmeldetyp, der in Überwachungsereignissen des Sicherheitsereignisprotokolls aufgeführt wird.
  • Akzeptierte Authenticators – Gibt an, welche Typen von Authenticators eine Anmeldung dieses Typs initiieren können.
  • Wiederverwendbare Anmeldeinformationen in einer LSA-Sitzung – Gibt an, ob der Anmeldetyp zur Folge hat, dass die LSA-Sitzung die Anmeldeinformationen (z. B. Nur-Text-Kennwörter, NT-Hashes oder Kerberos-Tickets) speichert, sodass diese gegebenenfalls für die Authentifizierung gegenüber anderer Netzwerkressourcen verwendet werden können.
  • Beispiele – Liste der gängigen Szenarien, in denen der Anmeldetyp verwendet wird.

Hinweis

Weitere Informationen zu Anmeldetypen finden Sie unter SECURITY_LOGON_TYPE enumeration (SECURITY_LOGON_TYPE-Enumeration).

Nächste Schritte

AD DS-Entwurf und -Planung