Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Queste informazioni di riferimento vengono fornite per identificare il rischio di esposizione delle credenziali associate a diversi strumenti di amministrazione per l'amministrazione remota.
In uno scenario di amministrazione remota, le credenziali vengono sempre esposte nel computer di origine, in modo che una workstation paw (Privileged Access Workstation) attendibile sia sempre consigliata per gli account sensibili o ad impatto elevato. La presenza di credenziali esposte a potenziali furti nel computer di destinazione (remoto) dipende principalmente dal tipo di accesso di Windows utilizzato dal metodo di connessione.
Questa tabella include indicazioni per gli strumenti di amministrazione e i metodi di connessione più comuni:
| Connection method | Logon type | Credenziali riutilizzabili nella destinazione | Comments |
|---|---|---|---|
| Accedere alla console | Interactive | v | Include l'accesso remoto hardware/le schede di uscita o la tastiera basata sulla rete, il video e l'input del mouse (KVM). |
| RUNAS | Interactive | v | |
| RUNAS /NETWORK | NewCredentials | v | Clona la sessione LSA corrente per l'accesso locale, ma usa nuove credenziali per la connessione alle risorse di rete. |
| Desktop remoto (operazione riuscita) | RemoteInteractive | v | Se il client Desktop remoto è configurato per condividere i dispositivi e le risorse locali, tali dispositivi potrebbero anche essere compromessi. |
| Desktop remoto (errore - Tipo di accesso negato) | RemoteInteractive | - | Per impostazione predefinita, se l'accesso RDP ha esito negativo, le credenziali vengono archiviate solo brevemente. Questo potrebbe non essere il caso se il computer è compromesso. |
| Utilizzo netto * \\SERVER | Network | - | |
| Uso netto * \\SERVER /u:utente | Network | - | |
| Snap-in MMC nel computer remoto | Network | - | Esempio: Gestione computer, Visualizzatore eventi, Gestione dispositivi, Servizi |
| PowerShell WinRM | Network | - | Esempio: server Enter-PSSession |
| PowerShell WinRM con CredSSP | NetworkClearText | v | New-PSSession server -Authentication Credssp -Credential cred |
| PsExec senza credenziali esplicite | Network | - | Esempio: PsExec \\server cmd |
| PsExec con credenziali esplicite | Rete e interattivo | v | PsExec \\server -u utente -p cmd pwd Crea più sessioni di accesso. |
| Remote Registry | Network | - | |
| Gateway Desktop remoto | Network | - | Autenticazione nel gateway Desktop remoto. |
| Scheduled task | Batch | v | La password viene salvata anche come segreto LSA su disco. |
| Eseguire gli strumenti come servizio | Service | v | La password viene salvata anche come segreto LSA su disco. |
| Vulnerability scanners | Network | - | La maggior parte degli scanner usa per impostazione predefinita gli accessi di rete, anche se alcuni fornitori possono implementare accessi non di rete e introdurre più rischi di furto di credenziali. |
Per l'autenticazione Web, usare il riferimento della tabella seguente:
| Connection method | Logon type | Credenziali riutilizzabili nella destinazione | Comments |
|---|---|---|---|
| IIS "Autenticazione di base" | NetworkCleartext (IIS 6.0+) Interactive |
v | |
| IIS "Autenticazione integrata di Windows" | Network | - | Provider NTLM e Kerberos. |
Column Definitions:
- Tipo di accesso : identifica il tipo di accesso avviato dalla connessione.
-
Credenziali riutilizzabili nella destinazione : indica che i tipi di credenziali seguenti vengono archiviati nella memoria del processo LSASS nel computer di destinazione in cui l'account specificato è connesso in locale:
- Hash LM e NT
- Kerberos TGTs
- Password in testo non crittografato (se applicabile).
I simboli in questa tabella sono definiti come segue:
- (-) indica quando le credenziali non sono esposte.
- (v) indica quando vengono esposte le credenziali.
Per le applicazioni di gestione che non si trovano in questa tabella, è possibile determinare il tipo di accesso dal campo tipo di accesso negli eventi di accesso di controllo. Per altre informazioni, vedere Controllare gli eventi di accesso.
Nei computer basati su Windows, tutte le autenticazioni vengono elaborate come uno dei diversi tipi di accesso, indipendentemente dal protocollo di autenticazione o dall'autenticatore. Questa tabella include i tipi di accesso più comuni e i relativi attributi relativi al furto di credenziali:
| Logon type | # | Authenticators accepted | Credenziali riutilizzabili nella sessione LSA | Examples |
|---|---|---|---|---|
| Interattivo (noto anche come accesso in locale) | 2 | Password, Smartcard, other |
Yes | Console logon; RUNAS; Soluzioni di controllo remoto hardware (ad esempio Network KVM o Accesso remoto/scheda Lights-Out nel server) Autenticazione di base iis (prima di IIS 6.0) |
| Network | 3 | Password, NT Hash, Kerberos ticket |
No (tranne se la delega è abilitata, i ticket Kerberos sono presenti) | NET USE; RPC calls; Remote registry; Autenticazione integrata di Windows iis; Autenticazione di Windows SQL; |
| Batch | 4 | Password (archiviata come segreto LSA) | Yes | Scheduled tasks |
| Service | 5 | Password (archiviata come segreto LSA) | Yes | Windows services |
| NetworkCleartext | 8 | Password | Yes | Autenticazione di base IIS (IIS 6.0 e versioni successive); Windows PowerShell con CredSSP |
| NewCredentials | 9 | Password | Yes | RUNAS /NETWORK |
| RemoteInteractive | 10 | Password, Smartcard, other |
Yes | Desktop remoto (noto in precedenza come "Servizi terminal") |
Column definitions:
- Tipo di accesso : il tipo di accesso richiesto.
- # - Identificatore numerico per il tipo di accesso segnalato negli eventi di controllo nel registro eventi di sicurezza.
- Autenticatori accettati : indica quali tipi di autenticatori sono in grado di avviare un accesso di questo tipo.
- Credenziali riutilizzabili nella sessione LSA : indica se il tipo di accesso comporta la sessione LSA che contiene credenziali, ad esempio password in testo non crittografato, hash NT o ticket Kerberos che possono essere usati per eseguire l'autenticazione ad altre risorse di rete.
- Esempi : elenco di scenari comuni in cui viene utilizzato il tipo di accesso.
Note
Per ulteriori informazioni sui tipi di accesso, vedere SECURITY_LOGON_TYPE enumerazione.
Next steps
Progettazione e pianificazione di Active Directory Domain Services