Oharra
Baimena behar duzu orria atzitzeko. Direktorioetan saioa has dezakezu edo haiek alda ditzakezu.
Baimena behar duzu orria atzitzeko. Direktorioak alda ditzakezu.
Esta información de referencia se proporciona para ayudar a identificar el riesgo de exposición de credenciales asociada a diferentes herramientas administrativas para la administración remota.
En un escenario de administración remota, las credenciales siempre se exponen en el equipo de origen, por lo que siempre se recomienda una estación de trabajo de acceso con privilegios de confianza (PAW) para cuentas confidenciales o de alto impacto. Si las credenciales se exponen al posible robo en el equipo de destino (remoto) depende principalmente del tipo de inicio de sesión de Windows usado por el método de conexión.
En esta tabla se incluyen instrucciones para las herramientas administrativas y los métodos de conexión más comunes:
| Método de conexión | Tipo de inicio de sesión | Credenciales reutilizables en el destino | Comentarios |
|---|---|---|---|
| Iniciar sesión en la consola | Interactivo | v | Incluye tarjetas de acceso remoto de hardware/ tarjetas de iluminación o teclado basado en red, vídeo y entrada del mouse (KVM). |
| RUNAS | Interactivo | v | |
| RUNAS /RED | NewCredentials | v | Clona la sesión actual de LSA para el acceso local, pero usa nuevas credenciales al conectarse a los recursos de red. |
| Escritorio remoto (correcto) | RemotoInteractivo | v | Si el cliente de Escritorio remoto está configurado para compartir recursos y dispositivos locales, esos dispositivos también podrían verse comprometidos. |
| Escritorio remoto (error: se denegó el tipo de inicio de sesión) | RemotoInteractivo | - | De forma predeterminada, si se produce un error en el inicio de sesión de RDP, las credenciales solo se almacenan brevemente. Esto podría no ser el caso si el equipo está en peligro. |
| Uso neto * \\SERVER | Red | - | |
| Uso neto * \\SERVER /u:user | Red | - | |
| Complementos MMC al equipo remoto | Red | - | Ejemplo: Administración de equipos, Visor de eventos, Administrador de dispositivos, Servicios |
| PowerShell WinRM | Red | - | Ejemplo: servidor de Enter-PSSession |
| PowerShell WinRM con CredSSP | RedTexto sin cifrar | v | servidor de New-PSSession -Credssp de autenticación -Credencial cred |
| PsExec sin credenciales explícitas | Red | - | Ejemplo: PsExec \\server cmd |
| PsExec con credenciales explícitas | Red + interactivo | v | PsExec \\server -u usuario -p pwd cmd Crea varias sesiones de inicio de sesión. |
| Registro remoto | Red | - | |
| Pasarela de escritorio remoto | Red | - | Autenticación en puerta de enlace de Escritorio remoto. |
| Tarea programada | Lote | v | La contraseña también se guarda como secreto LSA en el disco. |
| Ejecución de herramientas como servicio | Servicio | v | La contraseña también se guarda como secreto LSA en el disco. |
| Detectores de vulnerabilidades | Red | - | La mayoría de los escáneres usan de forma predeterminada inicios de sesión de red, aunque algunos proveedores pueden implementar inicios de sesión que no son de red e introducir más riesgo de robo de credenciales. |
Para la autenticación web, use la referencia de la tabla siguiente:
| Método de conexión | Tipo de inicio de sesión | Credenciales reutilizables en el destino | Comentarios |
|---|---|---|---|
| IIS "Autenticación básica" | RedTexto sin cifrar (IIS 6.0+) Interactivo |
v | |
| IIS "Autenticación integrada de Windows" | Red | - | Proveedores NTLM y Kerberos. |
Definiciones de columna:
- Tipo de inicio de sesión: identifica el tipo de inicio de sesión iniciado por la conexión.
-
Credenciales reutilizables en el destino : indica que los siguientes tipos de credenciales se almacenan en la memoria del proceso de LSASS en el equipo de destino donde la cuenta especificada ha iniciado sesión localmente:
- Hashes LM y NT
- TGT de Kerberos
- Contraseña de texto no cifrado (si procede).
Los símbolos de esta tabla definidos de la manera siguiente:
- (-) indica cuándo no se exponen las credenciales.
- (v) indica cuándo se exponen las credenciales.
En el caso de las aplicaciones de administración que no están en esta tabla, puede determinar el tipo de inicio de sesión desde el campo tipo de inicio de sesión en los eventos de inicio de sesión de auditoría. Para obtener más información, consulte Auditar eventos de inicio de sesión.
En los equipos basados en Windows, todas las autenticaciones se procesan como uno de varios tipos de inicio de sesión, independientemente del protocolo de autenticación o autenticador que se use. En esta tabla se incluyen los tipos de inicio de sesión más comunes y sus atributos relativos al robo de credenciales:
| Tipo de inicio de sesión | # | Autenticadores aceptados | Credenciales reutilizables en la sesión de LSA | Ejemplos |
|---|---|---|---|---|
| Interactivo (también conocido como Inicio de sesión localmente) | 2 | Contraseña, tarjeta inteligente, Otros |
Sí | Inicio de sesión de consola; RUNAS; Soluciones de control remoto de hardware (como KVM de red o acceso remoto/ tarjeta Lights-Out en el servidor) Autenticación básica de IIS (antes de IIS 6.0) |
| Red | 3 | Contraseña Hash NT, Vale kerberos |
No (excepto si la delegación está habilitada, los vales kerberos presentes) | USO NETO; Llamadas RPC; Registro remoto; Autenticación integrada de Windows de IIS; Autenticación de Windows de SQL; |
| Lote | 4 | Contraseña (almacenada como secreto de LSA) | Sí | Tareas programadas |
| Servicio | 5 | Contraseña (almacenada como secreto de LSA) | Sí | Servicios de Windows |
| RedTexto sin cifrar | 8 | Contraseña | Sí | Autenticación básica de IIS (IIS 6.0 y versiones posteriores); Windows PowerShell con CredSSP |
| NewCredentials | 9 | Contraseña | Sí | RUNAS /RED |
| RemotoInteractivo | 10 | Contraseña, tarjeta inteligente, Otros |
Sí | Escritorio remoto (anteriormente conocido como "Terminal Services") |
Definiciones de columna:
- Tipo de inicio de sesión: tipo de inicio de sesión solicitado.
- # : identificador numérico del tipo de inicio de sesión que se notifica en eventos de auditoría en el registro de eventos de seguridad.
- Autenticadores aceptados : indica qué tipos de autenticadores pueden iniciar un inicio de sesión de este tipo.
- Credenciales reutilizables en la sesión de LSA : indica si el tipo de inicio de sesión da como resultado la sesión de LSA que contiene credenciales, como contraseñas de texto no cifrado, hash de NT o vales Kerberos que se pueden usar para autenticarse en otros recursos de red.
- Ejemplos : lista de escenarios comunes en los que se usa el tipo de inicio de sesión.
Nota:
Para obtener más información sobre los tipos de inicio de sesión, consulte enumeración SECURITY_LOGON_TYPE.
Pasos siguientes