Eventos
29 abr, 14 - 30 abr, 19
Únase al último evento virtual de Windows Server 29-30 para sesiones técnicas de análisis profundo y preguntas y respuestas en directo con ingenieros de Microsoft.
Regístrese ahoraEste explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
Esta información de referencia se proporciona para ayudar a identificar el riesgo de exposición de credenciales asociado a diferentes herramientas administrativas para la administración remota.
En un escenario de administración remota, las credenciales siempre se exponen en el equipo de origen, de tal forma que siempre se recomienda una estación de trabajo de acceso con privilegios de confianza (PAW) para las cuentas confidenciales o de alto impacto. Si las credenciales están expuestas a posibles robos en el equipo de destino (remoto), depende principalmente del tipo de inicio de sesión de Windows utilizado por el método de conexión.
En esta tabla se incluye orientación para las herramientas administrativas más comunes y los métodos de conexión:
Método de conexión | Tipo de inicio de sesión | Credenciales reutilizables en destino | Comentarios |
---|---|---|---|
Iniciar sesión en consola | Interactive (Interactivo) | v | Incluye tarjetas de acceso remoto/automáticas de hardware o dispositivos para teclado, vídeo y ratón basado en red (KVM). |
RUNAS | Interactive (Interactivo) | v | |
RUNAS /NETWORK | NewCredentials | v | Clona la sesión actual de LSA para el acceso local, pero usa nuevas credenciales al conectarse a recursos de red. |
Escritorio remoto (correcto) | RemoteInteractive | v | Si el cliente de escritorio remoto está configurado para compartir recursos y dispositivos locales, esos dispositivos también pueden verse comprometidos. |
Escritorio remoto (error: el tipo de inicio de sesión se ha denegado) | RemoteInteractive | - | De forma predeterminada, si se produce un error de sesión de RDP, las credenciales solo se almacenan durante un breve período. Este podría no ser el caso si el equipo está en peligro. |
Net use * \\SERVER | Red | - | |
Net use * \\SERVER /u:user | Red | - | |
Complementos MMC para un equipo remoto | Red | - | Ejemplo: administración del equipo, visor de sucesos, administrador de dispositivos, servicios |
PowerShell WinRM | Red | - | Ejemplo: Enter-PSSession server |
PowerShell WinRM con CredSSP | NetworkClearText | v | New-PSSession -Authentication Credssp -Credential cred |
PsExec sin credenciales explícitas | Red | - | Ejemplo: PsExec \\server cmd |
PsExec con credenciales explícitas | Red + interactivo | v | PsExec \\server -u user -p pwd cmd Crea varias sesiones de inicio de sesión. |
Registro remoto | Red | - | |
Puerta de enlace de Escritorio remoto | Red | - | Autenticación en Puerta de enlace de Escritorio remoto. |
Tarea programada | Batch | v | La contraseña también se guarda como secreto de LSA en el disco. |
Ejecutar herramientas como un servicio | Service | v | La contraseña también se guarda como secreto de LSA en el disco. |
Detectores de vulnerabilidades | Red | - | La mayoría de los detectores usan de forma predeterminada los inicios de sesión de red, aunque algunos proveedores pueden implementar inicios de sesión sin conexión de red y presentan mayor riesgo de robo de credenciales. |
Para la autenticación web, consulte la referencia de la tabla siguiente:
Método de conexión | Tipo de inicio de sesión | Credenciales reutilizables en destino | Comentarios |
---|---|---|---|
IIS "Autenticación básica" | NetworkCleartext (IIS 6.0+) Interactive (Interactivo) |
v | |
IIS "Autenticación de Windows integrada" | Red | - | Proveedores de NTLM y Kerberos. |
Definiciones de columna:
Los símbolos de esta tabla se definen como sigue:
En el caso de las aplicaciones de administración que no figuran en esta tabla, puede determinar el tipo de inicio de sesión en el campo de tipo de inicio de sesión en los eventos de inicio de sesión de auditoría. Para más información, consulte Auditar sucesos de inicio de sesión.
En los equipos basados en Windows, se procesan todas las autenticaciones como uno de los distintos tipos de inicio de sesión, con independencia del protocolo de autenticación o autenticador que se utilice. En esta tabla se incluyen los tipos más comunes de inicio de sesión y sus atributos en relación con el robo de credenciales:
Tipo de inicio de sesión | # | Autenticadores aceptados | Credenciales reutilizables en sesión LSA | Ejemplos |
---|---|---|---|---|
Interactivo (también conocido como inicio de sesión local) | 2 | Contraseña, tarjeta inteligente, otro |
Sí | Inicio de sesión de la consola; RUNAS; Soluciones de control remoto de hardware (como KVM de red o Acceso remoto / apagado de tarjeta en el servidor) Autenticación básica de IIS (antes de IIS 6.0) |
Red | 3 | Contraseña, Hash de NT, Vale de Kerberos |
N (excepto si la delegación está habilitada, vales de Kerberos presentes) | USO DE NET; Llamadas RPC; Registro remoto; Autenticación de Windows integrada IIS; Autenticación de Windows SQL; |
Batch | 4 | Contraseña (almacenada como secreto de LSA) | Sí | Tareas programadas |
Service | 5 | Contraseña (almacenada como secreto de LSA) | Sí | Servicios de Windows |
NetworkCleartext | 8 | Contraseña | Sí | Autenticación básica de IIS (IIS 6.0 y posterior); Windows PowerShell con CredSSP |
NewCredentials | 9 | Contraseña | Sí | RUNAS /NETWORK |
RemoteInteractive | 10 | Contraseña, tarjeta inteligente, otro |
Sí | Escritorio remoto (anteriormente conocido como "Terminal Services") |
Definiciones de columna:
Nota
Para más información acerca de los tipos de inicio de sesión, consulte Enumeración SECURITY_LOGON_TYPE.
Pasos siguientes
Eventos
29 abr, 14 - 30 abr, 19
Únase al último evento virtual de Windows Server 29-30 para sesiones técnicas de análisis profundo y preguntas y respuestas en directo con ingenieros de Microsoft.
Regístrese ahora