Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta información de referencia se proporciona para ayudar a identificar el riesgo de exposición de credenciales asociada a diferentes herramientas administrativas para la administración remota.
En un escenario de administración remota, las credenciales siempre se exponen en el equipo de origen, por lo que siempre se recomienda una estación de trabajo de acceso con privilegios de confianza (PAW) para cuentas confidenciales o de alto impacto. Si las credenciales se exponen al posible robo en el equipo de destino (remoto) depende principalmente del tipo de inicio de sesión de Windows usado por el método de conexión.
En esta tabla se incluyen instrucciones para las herramientas administrativas y los métodos de conexión más comunes:
| Connection method | Logon type | Credenciales reutilizables en el destino | Comments |
|---|---|---|---|
| Iniciar sesión en la consola | Interactive | v | Incluye tarjetas de acceso remoto de hardware/ tarjetas de iluminación o teclado basado en red, vídeo y entrada del mouse (KVM). |
| RUNAS | Interactive | v | |
| RUNAS /NETWORK | NewCredentials | v | Clona la sesión actual de LSA para el acceso local, pero usa nuevas credenciales al conectarse a los recursos de red. |
| Escritorio remoto (correcto) | RemoteInteractive | v | Si el cliente de Escritorio remoto está configurado para compartir recursos y dispositivos locales, esos dispositivos también podrían verse comprometidos. |
| Escritorio remoto (error: se denegó el tipo de inicio de sesión) | RemoteInteractive | - | De forma predeterminada, si se produce un error en el inicio de sesión de RDP, las credenciales solo se almacenan brevemente. Esto podría no ser el caso si el equipo está en peligro. |
| Uso neto * \\SERVER | Network | - | |
| Uso neto * \\SERVER /u:user | Network | - | |
| Complementos MMC al equipo remoto | Network | - | Ejemplo: Administración de equipos, Visor de eventos, Administrador de dispositivos, Servicios |
| PowerShell WinRM | Network | - | Ejemplo: servidor de Enter-PSSession |
| PowerShell WinRM con CredSSP | NetworkClearText | v | New-PSSession server -Authentication Credssp -Credential cred |
| PsExec sin credenciales explícitas | Network | - | Ejemplo: PsExec \\server cmd |
| PsExec con credenciales explícitas | Red + interactivo | v | PsExec \\server -u usuario -p pwd cmd Crea varias sesiones de inicio de sesión. |
| Remote Registry | Network | - | |
| Pasarela de escritorio remoto | Network | - | Autenticación en puerta de enlace de Escritorio remoto. |
| Scheduled task | Batch | v | La contraseña también se guarda como secreto LSA en el disco. |
| Ejecución de herramientas como servicio | Service | v | La contraseña también se guarda como secreto LSA en el disco. |
| Vulnerability scanners | Network | - | La mayoría de los escáneres usan de forma predeterminada inicios de sesión de red, aunque algunos proveedores pueden implementar inicios de sesión que no son de red e introducir más riesgo de robo de credenciales. |
Para la autenticación web, use la referencia de la tabla siguiente:
| Connection method | Logon type | Credenciales reutilizables en el destino | Comments |
|---|---|---|---|
| IIS "Autenticación básica" | NetworkCleartext (IIS 6.0+) Interactive |
v | |
| IIS "Autenticación integrada de Windows" | Network | - | Proveedores NTLM y Kerberos. |
Column Definitions:
- Tipo de inicio de sesión : identifica el tipo de inicio de sesión iniciado por la conexión.
-
Credenciales reutilizables en el destino : indica que los siguientes tipos de credenciales se almacenan en la memoria del proceso de LSASS en el equipo de destino donde la cuenta especificada ha iniciado sesión localmente:
- Hashes LM y NT
- Kerberos TGTs
- Contraseña de texto no cifrado (si procede).
Los símbolos de esta tabla definidos de la manera siguiente:
- (-) indica cuándo no se exponen las credenciales.
- (v) indica cuándo se exponen las credenciales.
En el caso de las aplicaciones de administración que no están en esta tabla, puede determinar el tipo de inicio de sesión desde el campo tipo de inicio de sesión en los eventos de inicio de sesión de auditoría. Para obtener más información, consulte Auditar eventos de inicio de sesión.
En los equipos basados en Windows, todas las autenticaciones se procesan como uno de varios tipos de inicio de sesión, independientemente del protocolo de autenticación o autenticador que se use. En esta tabla se incluyen los tipos de inicio de sesión más comunes y sus atributos relativos al robo de credenciales:
| Logon type | # | Authenticators accepted | Credenciales reutilizables en la sesión de LSA | Examples |
|---|---|---|---|---|
| Interactivo (también conocido como Inicio de sesión localmente) | 2 | Password, Smartcard, other |
Yes | Console logon; RUNAS; Soluciones de control remoto de hardware (como KVM de red o acceso remoto/ tarjeta Lights-Out en el servidor) Autenticación básica de IIS (antes de IIS 6.0) |
| Network | 3 | Password, NT Hash, Kerberos ticket |
No (excepto si la delegación está habilitada, los vales kerberos presentes) | NET USE; RPC calls; Remote registry; Autenticación integrada de Windows de IIS; Autenticación de Windows de SQL; |
| Batch | 4 | Contraseña (almacenada como secreto de LSA) | Yes | Scheduled tasks |
| Service | 5 | Contraseña (almacenada como secreto de LSA) | Yes | Windows services |
| NetworkCleartext | 8 | Password | Yes | Autenticación básica de IIS (IIS 6.0 y versiones posteriores); Windows PowerShell con CredSSP |
| NewCredentials | 9 | Password | Yes | RUNAS /NETWORK |
| RemoteInteractive | 10 | Password, Smartcard, other |
Yes | Escritorio remoto (anteriormente conocido como "Terminal Services") |
Column definitions:
- Tipo de inicio de sesión : el tipo de inicio de sesión solicitado.
- # : identificador numérico del tipo de inicio de sesión que se notifica en eventos de auditoría en el registro de eventos de seguridad.
- Autenticadores aceptados : indica qué tipos de autenticadores pueden iniciar un inicio de sesión de este tipo.
- Credenciales reutilizables en la sesión de LSA : indica si el tipo de inicio de sesión da como resultado la sesión de LSA que contiene credenciales, como contraseñas de texto no cifrado, hash de NT o vales Kerberos que se pueden usar para autenticarse en otros recursos de red.
- Ejemplos : lista de escenarios comunes en los que se usa el tipo de inicio de sesión.
Note
Para obtener más información acerca de los tipos de inicio de sesión, vea SECURITY_LOGON_TYPE enumeración.
Next steps