Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Essas informações de referência são fornecidas para ajudar a identificar o risco de exposição de credenciais associada a diferentes ferramentas administrativas para administração remota.
Em um cenário de administração remota, as credenciais são sempre expostas no computador de origem para que uma PAW (estação de trabalho de acesso privilegiado) confiável seja sempre recomendada para contas confidenciais ou de alto impacto. Se as credenciais são expostas a possíveis roubos no computador de destino (remoto) depende principalmente do tipo de logon do Windows usado pelo método de conexão.
Esta tabela inclui diretrizes para as ferramentas administrativas e os métodos de conexão mais comuns:
| Connection method | Logon type | Credenciais reutilizáveis no destino | Comments |
|---|---|---|---|
| Fazer logon no console | Interactive | v | Inclui acesso remoto de hardware/ cartões de iluminação ou entrada KVM (teclado, vídeo e mouse) baseados em rede. |
| RUNAS | Interactive | v | |
| RUNAS /NETWORK | NewCredentials | v | Clona a sessão LSA atual para acesso local, mas usa novas credenciais ao se conectar aos recursos de rede. |
| Área de Trabalho Remota (êxito) | RemoteInteractive | v | Se o cliente de área de trabalho remota estiver configurado para compartilhar dispositivos e recursos locais, esses dispositivos também poderão ser comprometidos. |
| Área de Trabalho Remota (falha – tipo de logon foi negado) | RemoteInteractive | - | Por padrão, se o logon RDP falhar, as credenciais serão armazenadas apenas brevemente. Esse pode não ser o caso se o computador estiver comprometido. |
| Uso da rede * \\SERVER | Network | - | |
| Uso da rede * \\SERVER /u:user | Network | - | |
| Snap-ins do MMC no computador remoto | Network | - | Exemplo: Gerenciamento de Computadores, Visualizador de Eventos, Gerenciador de Dispositivos, Serviços |
| PowerShell WinRM | Network | - | Exemplo: servidor Enter-PSSession |
| PowerShell WinRM com CredSSP | NetworkClearText | v | New-PSSession server -Authentication Credssp -Credential cred |
| PsExec sem credenciais explícitas | Network | - | Exemplo: PsExec \\server cmd |
| PsExec com credenciais explícitas | Rede + Interativa | v | PsExec \\server -u usuário -p cmd pwd Cria várias sessões de logon. |
| Remote Registry | Network | - | |
| Gateway de Área de Trabalho Remota | Network | - | Autenticação no Gateway de Área de Trabalho Remota. |
| Scheduled task | Lote | v | A senha também é salva como segredo LSA no disco. |
| Executar ferramentas como um serviço | Service | v | A senha também é salva como segredo LSA no disco. |
| Vulnerability scanners | Network | - | A maioria dos scanners usa logons de rede, embora alguns fornecedores possam implementar logons que não sejam de rede e introduzir mais risco de roubo de credenciais. |
Para autenticação da Web, use a referência da tabela a seguir:
| Connection method | Logon type | Credenciais reutilizáveis no destino | Comments |
|---|---|---|---|
| IIS "Autenticação Básica" | NetworkCleartext (IIS 6.0+) Interactive |
v | |
| IIS "Autenticação Integrada do Windows" | Network | - | Provedores NTLM e Kerberos. |
Column Definitions:
- Tipo de logon - Identifica o tipo de logon iniciado pela conexão.
-
Credenciais reutilizáveis no destino – indica que os seguintes tipos de credencial são armazenados na memória do processo LSASS no computador de destino em que a conta especificada está registrada localmente:
- Hashes LM e NT
- Kerberos TGTs
- Senha de texto sem formatação (se aplicável).
Os símbolos nesta tabela definidos da seguinte maneira:
- (-) indica quando as credenciais não são expostas.
- (v) indica quando as credenciais são expostas.
Para aplicativos de gerenciamento que não estão nesta tabela, você pode determinar o tipo de logon do campo de tipo de logon nos eventos de logon de auditoria. Para obter mais informações, consulte Auditar eventos de logon.
Em computadores baseados em Windows, todas as autenticações são processadas como um dos vários tipos de logon, independentemente de qual protocolo de autenticação ou autenticador é usado. Esta tabela inclui os tipos de logon mais comuns e seus atributos relativos ao roubo de credenciais:
| Logon type | # | Authenticators accepted | Credenciais reutilizáveis na sessão LSA | Examples |
|---|---|---|---|---|
| Interativo (também conhecido como Logon localmente) | 2 | Password, Smartcard, other |
Yes | Console logon; RUNAS; Soluções de controle remoto de hardware (como KVM de Rede ou Acesso Remoto/Cartão Lights-Out no servidor) Autenticação Básica do IIS (antes do IIS 6.0) |
| Network | 3 | Password, NT Hash, Kerberos ticket |
Não (exceto se a delegação estiver habilitada, os tíquetes Kerberos presentes) | NET USE; RPC calls; Remote registry; Autenticação integrada do Windows do IIS; Autenticação do Windows SQL; |
| Lote | 4 | Senha (armazenada como segredo LSA) | Yes | Scheduled tasks |
| Service | 5 | Senha (armazenada como segredo LSA) | Yes | Windows services |
| NetworkCleartext | 8 | Password | Yes | Autenticação Básica do IIS (IIS 6.0 e mais recente); Windows PowerShell com CredSSP |
| NewCredentials | 9 | Password | Yes | RUNAS /NETWORK |
| RemoteInteractive | 10 | Password, Smartcard, other |
Yes | Área de Trabalho Remota (anteriormente conhecida como "Serviços de Terminal") |
Column definitions:
- Tipo de logon - O tipo de logon solicitado.
- # - O identificador numérico do tipo de logon relatado em eventos de auditoria no log de eventos de segurança.
- Autenticadores aceitos - Indica quais tipos de autenticadores podem iniciar um logon desse tipo.
- Credenciais reutilizáveis na sessão LSA – indica se o tipo de logon resulta na sessão LSA que contém credenciais, como senhas de texto sem formatação, hashes NT ou tíquetes Kerberos que podem ser usados para autenticar em outros recursos de rede.
- Exemplos - Lista de cenários comuns em que o tipo de logon é usado.
Note
Para obter mais informações sobre tipos de logon, consulte SECURITY_LOGON_TYPE enumeração.
Next steps