Verwaltungstools und Anmeldetypen
Anhand dieser Referenzinformationen können Sie das Risiko einer Offenlegung von Anmeldeinformationen ermitteln, das mit verschiedenen Tools für die Remoteverwaltung einhergeht.
In einem Remoteverwaltungsszenario werden die Anmeldeinformationen auf dem Quellcomputer immer offengelegt. Daher wird für vertrauliche Konten oder Konten mit großen Auswirkungen eine vertrauenswürdige Arbeitsstation mit privilegiertem Zugriff empfohlen. Ob Anmeldeinformationen auf dem Zielcomputer (Remotecomputer) offengelegt werden und potenziell gestohlen werden können, hängt in erster Linie vom Windows-Anmeldetyp ab, der von der Verbindungsmethode verwendet wird.
Diese Tabelle umfasst Informationen zu den meisten gängigen Verwaltungstools und Verbindungsmethoden:
| Verbindungsmethode | Anmeldetyp | Wiederverwendbare Anmeldeinformationen auf dem Ziel | Kommentare |
|---|---|---|---|
| Anmeldung bei der Konsole | Interactive | v | Beinhaltet Hardware-Remote-Access- / Lights-Out-Karten oder einen netzwerkbasierten Tastatur-, Video- und Maus-Eingang (KVM). |
| RUNAS | Interactive | v | |
| RUNAS/NETZWERK | NewCredentials | v | Klont die aktuelle LSA-Sitzung für den lokalen Zugriff, verwendet bei der Verbindung mit Netzwerkressourcen jedoch neue Anmeldeinformationen. |
| Remotedesktop (erfolgreich) | RemoteInteractive | v | Wenn der Remote-Desktop-Client so konfiguriert ist, dass er lokale Geräte und Ressourcen gemeinsam nutzt, können diese Geräte ebenfalls kompromittiert werden. |
| Remotedesktop (Fehler – Anmeldetyp verweigert) | RemoteInteractive | - | Wenn bei der Anmeldung über RDP ein Fehler auftritt, werden die Anmeldeinformationen standardmäßig nur kurz gespeichert. Dies ist möglicherweise nicht der Fall, wenn der Computer kompromittiert ist. |
| Net use * \\SERVER | Network | - | |
| Net use * \\SERVER /u:user | Network | - | |
| MMC-Snap-Ins für Remotecomputer | Network | - | Beispiel: Computerverwaltung, Ereignisanzeige, Geräte-Manager, Dienste |
| PowerShell WinRM | Network | - | Beispiel: Enter-PSSession server |
| PowerShell WinRM mit CredSSP | NetworkClearText | v | New-PSSession server -Authentication Credssp -Credential cred |
| PsExec ohne explizite Anmeldeinformationen | Network | - | Beispiel: PsExec \\server cmd |
| PsExec mit expliziten Anmeldeinformationen | Netzwerk und interaktiv | v | PsExec \\server -u user -p pwd cmd Erstellt mehrere Anmeldesitzungen. |
| Remoteregistrierung | Network | - | |
| Remotedesktopgateway | Network | - | Authentifizierung gegenüber Remotedesktopgateway. |
| Geplanter Task | Batch | v | Das Passwort wird auch als LSA Secret auf der Festplatte gespeichert. |
| Tools als Dienst ausführen | Power BI-Dienst | v | Das Passwort wird auch als LSA Secret auf der Festplatte gespeichert. |
| Überprüfung auf Sicherheitsrisiken | Network | - | Bei den meisten Überprüfungen werden Netzwerkanmeldungen verwendet. Einige Anbieter implementieren jedoch möglicherweise andere Anmeldeverfahren, die ein höheres Risiko für einen Diebstahl von Anmeldeinformationen zur Folge haben. |
Für die Web-Authentifizierung verwenden Sie die Referenz aus der folgenden Tabelle:
| Verbindungsmethode | Anmeldetyp | Wiederverwendbare Anmeldeinformationen auf dem Ziel | Kommentare |
|---|---|---|---|
| IIS-Standardauthentifizierung | NetworkCleartext (IIS 6.0 und höher) Interactive |
v | |
| Integrierte Windows-Authentifizierung (IIS) | Network | - | NTLM- und Kerberos-Anbieter. |
Spaltendefinitionen:
- Anmeldetyp – Identifiziert den Anmeldetyp, der von der Verbindung initiiert wird.
- Wiederverwendbare Anmeldeinformationen am Zielort – Gibt an, dass die folgenden Anmeldeinformationstypen im LSASS-Prozessspeicher auf dem Zielcomputer gespeichert sind, auf dem das angegebene Konto lokal angemeldet ist:
- LM- und NT-Hashes
- Kerberos TGTs
- Nur-Text-Kennwort (falls zutreffend).
Die Symbole in dieser Tabelle sind wie folgt definiert:
- (-) bedeutet, dass die Anmeldeinformationen nicht offengelegt werden.
- (v) zeigt an, dass die Anmeldeinformationen offengelegt werden.
Bei Verwaltungsanwendungen, die nicht in dieser Tabelle aufgeführt sind, können Sie den Anmeldetyp anhand des Feldes Anmeldetyp in den Audit-Anmeldeereignissen ermitteln. Weitere Informationen finden Sie unter Anmeldeereignisse überwachen.
Auf Windows-basierten Computern werden alle Authentifizierungen als einer von mehreren Anmeldetypen verarbeitet (unabhängig davon, welches Authentifizierungsprotokoll oder welcher Authenticator verwendet wird). Diese Tabelle enthält die gängigsten Anmeldetypen sowie die zugehörigen Attribute im Hinblick auf den Diebstahl von Anmeldeinformationen:
| Anmeldetyp | # | Akzeptierte Authenticators | Wiederverwendbare Anmeldeinformationen in LSA-Sitzung | Beispiele |
|---|---|---|---|---|
| Interaktiv (auch bekannt als „lokal anmelden“) | 2 | Kennwort, Smartcard, sonstige |
Ja | Konsolenanmeldung, RUNAS, Lösungen zur Remotesteuerung von Hardware (z. B. Netzwerk-KVM oder Remotezugriff/Lights-Out-Karte in Servern) IIS-Standardauthentifizierung (vor IIS 6.0) |
| Network | 3 | Kennwort, NT-Hash, Kerberos-Ticket |
Nein (Ausnahme: Wenn die Delegierung aktiviert ist, sind Kerberos-Tickets vorhanden) | NET USE, RPC-Aufrufe, Remoteregistrierung, Integrierte Windows-Authentifizierung (IIS), SQL-Windows-Authentifizierung, |
| Batch | 4 | Kennwort (als geheime LSA-Daten gespeichert) | Ja | Geplante Aufgaben |
| Power BI-Dienst | 5 | Kennwort (als geheime LSA-Daten gespeichert) | Ja | Windows-Dienste |
| NetworkCleartext | 8 | Kennwort | Ja | IIS-Standardauthentifizierung (IIS 6.0 und höher), Windows PowerShell mit CredSSP |
| NewCredentials | 9 | Kennwort | Ja | RUNAS/NETZWERK |
| RemoteInteractive | 10 | Kennwort, Smartcard, sonstige |
Ja | Remotedesktop (früher „Terminaldienste“) |
Spaltendefinitionen:
- Anmeldetyp – der Typ der angeforderten Anmeldung.
- # – der numerische Bezeichner für den Anmeldetyp, der in Überwachungsereignissen des Sicherheitsereignisprotokolls aufgeführt wird.
- Akzeptierte Authenticators – Gibt an, welche Typen von Authenticators eine Anmeldung dieses Typs initiieren können.
- Wiederverwendbare Anmeldeinformationen in einer LSA-Sitzung – Gibt an, ob der Anmeldetyp zur Folge hat, dass die LSA-Sitzung die Anmeldeinformationen (z. B. Nur-Text-Kennwörter, NT-Hashes oder Kerberos-Tickets) speichert, sodass diese gegebenenfalls für die Authentifizierung gegenüber anderer Netzwerkressourcen verwendet werden können.
- Beispiele – Liste der gängigen Szenarien, in denen der Anmeldetyp verwendet wird.
Hinweis
Weitere Informationen zu Anmeldetypen finden Sie unter SECURITY_LOGON_TYPE enumeration (SECURITY_LOGON_TYPE-Enumeration).
Nächste Schritte