この参照情報は、リモート管理のさまざまな管理ツールに関連する資格情報の公開のリスクを特定するために提供されます。
リモート管理シナリオでは、資格情報は常にソース コンピューターで公開されるため、機密性の高いアカウントや影響の大きいアカウントでは、信頼できる特権アクセス ワークステーション (PAW) が常に推奨されます。 資格情報がターゲット (リモート) コンピューターで潜在的な盗難にさらされるかどうかは、主に接続方法で使用される Windows ログオンの種類によって異なります。
この表には、最も一般的な管理ツールと接続方法に関するガイダンスが含まれています。
| Connection method | Logon type | 宛先の再利用可能な資格情報 | Comments |
|---|---|---|---|
| コンソールでログオンする | Interactive | v | ハードウェアリモートアクセス/ライトアウトカードまたはネットワークベースのキーボード、ビデオ、マウス(KVM)入力が含まれています。 |
| RUNAS | Interactive | v | |
| RUNAS /NETWORK | NewCredentials | v | ローカル アクセス用に現在の LSA セッションを複製しますが、ネットワーク リソースに接続するときに新しい資格情報を使用します。 |
| リモート デスクトップ (成功) | RemoteInteractive | v | リモート デスクトップ クライアントがローカル デバイスとリソースを共有するように構成されている場合、それらのデバイスも侵害される可能性があります。 |
| リモート デスクトップ (失敗 - ログオンの種類が拒否されました) | RemoteInteractive | - | 既定では、RDP ログオンに失敗した場合、資格情報は一時的にのみ格納されます。 これは、コンピューターが侵害された場合には当たらない可能性があります。 |
| 正味使用量 * \\SERVER | Network | - | |
| ネット使用量 * \\SERVER /u:user | Network | - | |
| リモート コンピューターへの MMC スナップイン | Network | - | 例: コンピューター管理、イベント ビューアー、デバイス マネージャー、サービス |
| PowerShell WinRM | Network | - | 例: Enter-PSSession サーバー |
| PowerShell WinRM と CredSSP | NetworkClearText | v | New-PSSession server -Authentication Credssp -Credential cred |
| 明示的な資格情報のない PsExec | Network | - | 例: PsExec \\server cmd |
| 明示的な資格情報を持つ PsExec | ネットワーク + 対話型 | v | PsExec \\server -u ユーザー -p pwd cmd 複数のログオン セッションを作成します。 |
| Remote Registry | Network | - | |
| リモート デスクトップ ゲートウェイ | Network | - | リモート デスクトップ ゲートウェイへの認証。 |
| Scheduled task | Batch | v | パスワードは LSA シークレットとしてディスクにも保存されます。 |
| サービスとしてツールを実行する | Service | v | パスワードは LSA シークレットとしてディスクにも保存されます。 |
| Vulnerability scanners | Network | - | ほとんどのスキャナーでは既定でネットワーク ログオンが使用されますが、一部のベンダーではネットワーク以外のログオンを実装し、資格情報の盗難リスクが高い場合があります。 |
Web 認証の場合は、次の表の参照を使用します。
| Connection method | Logon type | 宛先の再利用可能な資格情報 | Comments |
|---|---|---|---|
| IIS "基本認証" | NetworkCleartext (IIS 6.0+) Interactive |
v | |
| IIS "統合 Windows 認証" | Network | - | NTLM および Kerberos プロバイダー。 |
Column Definitions:
- ログオンの種類 - 接続によって開始されたログオンの種類を識別します。
-
宛先の再利用可能な資格情報 - 次の資格情報の種類が、指定されたアカウントがローカルにログオンしている対象コンピューターの LSASS プロセス メモリに格納されることを示します。
- LM ハッシュと NT ハッシュ
- Kerberos TGTs
- プレーンテキスト パスワード (該当する場合)。
この表のシンボルは、次のように定義されています。
- (-) は、資格情報が公開されない場合を示します。
- (v) は、資格情報が公開されるタイミングを示します。
この表にない管理アプリケーションの場合、ログオンの種類の監査イベントのログオンの種類フィールドからログオンの種類を決定できます。 詳細については、「 ログオン イベントの監査」を参照してください。
Windows ベースのコンピューターでは、どの認証プロトコルまたは認証システムが使用されているかに関係なく、すべての認証が複数のログオンの種類の 1 つとして処理されます。 この表には、最も一般的なログオンの種類と、資格情報の盗難に関連する属性が含まれています。
| Logon type | # | Authenticators accepted | LSA セッションの再利用可能な資格情報 | Examples |
|---|---|---|---|---|
| 対話型 ("ローカルログオン" とも呼ばれます) | 2 | Password, Smartcard, other |
Yes | Console logon; RUNAS; ハードウェア リモート コントロール ソリューション (ネットワーク KVM、リモート アクセス、サーバーの Lights-Out カードなど) IIS 基本認証 (IIS 6.0 より前) |
| Network | 3 | Password, NT Hash, Kerberos ticket |
いいえ (委任が有効になっている場合を除き、Kerberos チケットが存在します) | NET USE; RPC calls; Remote registry; IIS 統合 Windows 認証。 SQL Windows 認証。 |
| Batch | 4 | パスワード (LSA シークレットとして格納) | Yes | Scheduled tasks |
| Service | 5 | パスワード (LSA シークレットとして格納) | Yes | Windows services |
| NetworkCleartext | 8 | Password | Yes | IIS 基本認証 (IIS 6.0 以降); CredSSP を使用した Windows PowerShell |
| NewCredentials | 9 | Password | Yes | RUNAS /NETWORK |
| RemoteInteractive | 10 | Password, Smartcard, other |
Yes | リモート デスクトップ (旧称 "ターミナル サービス") |
Column definitions:
- ログオンの種類 - 要求されたログオンの種類。
- # - セキュリティ イベント ログの監査イベントで報告されるログオンの種類の数値識別子。
- 受け入れられたオーセンティケーター - このタイプのログオンを開始できるオーセンティケーターの種類を示します。
- LSA セッションの再利用可能な資格情報 - ログオンの種類が、他のネットワーク リソースに対する認証に使用できるプレーンテキスト パスワード、NT ハッシュ、Kerberos チケットなどの資格情報を保持する LSA セッションになるかどうかを示します。
- 例 - ログオンの種類が使用される一般的なシナリオのリスト。
Note
ログオンの種類の詳細については、「 SECURITY_LOGON_TYPE列挙」を参照してください。
Next steps