Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Essas informações de referência são fornecidas para ajudar a identificar o risco de exposição de credenciais associada a diferentes ferramentas administrativas para administração remota.
Em um cenário de administração remota, as credenciais são sempre expostas no computador de origem para que uma PAW (estação de trabalho de acesso privilegiado) confiável seja sempre recomendada para contas confidenciais ou de alto impacto. Se as credenciais são expostas a possíveis roubos no computador de destino (remoto) depende principalmente do tipo de logon do Windows usado pelo método de conexão.
Esta tabela inclui diretrizes para as ferramentas administrativas e os métodos de conexão mais comuns:
| Método de ligação | Tipo de início de sessão | Credenciais reutilizáveis no destino | Comentários |
|---|---|---|---|
| Fazer logon no console | Interativo | v | Inclui acesso remoto de hardware/ cartões de iluminação ou entrada KVM (teclado, vídeo e mouse) baseados em rede. |
| RUNAS | Interativo | v | |
| RUNAS /REDE | Novas credenciais | v | Clona a sessão LSA atual para acesso local, mas usa novas credenciais ao se conectar aos recursos de rede. |
| Área de Trabalho Remota (êxito) | Interativo Remoto | v | Se o cliente de área de trabalho remota estiver configurado para compartilhar dispositivos e recursos locais, esses dispositivos também poderão ser comprometidos. |
| Área de Trabalho Remota (falha – tipo de logon foi negado) | Interativo Remoto | - | Por padrão, se o logon RDP falhar, as credenciais serão armazenadas apenas brevemente. Esse pode não ser o caso se o computador estiver comprometido. |
| Uso da rede * \\SERVER | Rede | - | |
| Uso da rede * \\SERVER /u:user | Rede | - | |
| Snap-ins do MMC no computador remoto | Rede | - | Exemplo: Gerenciamento de Computadores, Visualizador de Eventos, Gerenciador de Dispositivos, Serviços |
| PowerShell WinRM | Rede | - | Exemplo: servidor Enter-PSSession |
| PowerShell WinRM com CredSSP | NetworkClearText | v | servidor New-PSSession -Autenticação credssp -Credencial de credencial |
| PsExec sem credenciais explícitas | Rede | - | Exemplo: PsExec \\server cmd |
| PsExec com credenciais explícitas | Rede + Interativa | v | PsExec \\server -u usuário -p cmd pwd Cria várias sessões de logon. |
| Registro Remoto | Rede | - | |
| Gateway de Área de Trabalho Remota | Rede | - | Autenticação no Gateway de Área de Trabalho Remota. |
| Tarefa agendada | Lote | v | A senha também é salva como segredo LSA no disco. |
| Executar ferramentas como um serviço | Serviço | v | A senha também é salva como segredo LSA no disco. |
| Scanners de vulnerabilidade | Rede | - | A maioria dos scanners usa logons de rede, embora alguns fornecedores possam implementar logons que não sejam de rede e introduzir mais risco de roubo de credenciais. |
Para autenticação da Web, use a referência da tabela a seguir:
| Método de ligação | Tipo de início de sessão | Credenciais reutilizáveis no destino | Comentários |
|---|---|---|---|
| IIS "Autenticação Básica" | RedeTexto Claro (IIS 6.0+) Interativo |
v | |
| IIS "Autenticação Integrada do Windows" | Rede | - | Provedores NTLM e Kerberos. |
Definições de coluna:
- Tipo de logon – identifica o tipo de logon iniciado pela conexão.
-
Credenciais reutilizáveis no destino – indica que os seguintes tipos de credencial são armazenados na memória do processo LSASS no computador de destino em que a conta especificada está registrada localmente:
- Hashes LM e NT
- Kerberos TGTs
- Senha de texto sem formatação (se aplicável).
Os símbolos nesta tabela definidos da seguinte maneira:
- (-) indica quando as credenciais não são expostas.
- (v) indica quando as credenciais são expostas.
Para aplicativos de gerenciamento que não estão nesta tabela, você pode determinar o tipo de logon do campo de tipo de logon nos eventos de logon de auditoria. Para obter mais informações, consulte Auditar eventos de logon.
Em computadores baseados em Windows, todas as autenticações são processadas como um dos vários tipos de logon, independentemente de qual protocolo de autenticação ou autenticador é usado. Esta tabela inclui os tipos de logon mais comuns e seus atributos relativos ao roubo de credenciais:
| Tipo de início de sessão | # | Autenticadores aceitos | Credenciais reutilizáveis na sessão LSA | Exemplos |
|---|---|---|---|---|
| Interativo (também conhecido como Logon localmente) | 2 | Senha, Cartão Inteligente, outro |
Sim | Logon do console; RUNAS; Soluções de controle remoto de hardware (como KVM de Rede ou Acesso Remoto/Cartão Lights-Out no servidor) Autenticação Básica do IIS (antes do IIS 6.0) |
| Rede | 3 | Senha Hash NT, Tíquete Kerberos |
Não (exceto se a delegação estiver habilitada, os tíquetes Kerberos presentes) | USO LÍQUIDO; Chamadas RPC; Registro remoto; Autenticação integrada do Windows do IIS; Autenticação do Windows SQL; |
| Lote | 4 | Senha (armazenada como segredo LSA) | Sim | Tarefas agendadas |
| Serviço | 5 | Senha (armazenada como segredo LSA) | Sim | Serviços do Windows |
| RedeTexto Claro | oito | Senha | Sim | Autenticação Básica do IIS (IIS 6.0 e mais recente); Windows PowerShell com CredSSP |
| Novas credenciais | 9 | Senha | Sim | RUNAS /REDE |
| Interativo Remoto | 10 | Senha, Cartão Inteligente, outro |
Sim | Área de Trabalho Remota (anteriormente conhecida como "Serviços de Terminal") |
Definições de coluna:
- Tipo de logon – O tipo de logon solicitado.
- # - O identificador numérico do tipo de logon relatado em eventos de auditoria no log de eventos de segurança.
- Autenticadores aceitos – indica quais tipos de autenticadores são capazes de iniciar um logon desse tipo.
- Credenciais reutilizáveis na sessão LSA – indica se o tipo de logon resulta na sessão LSA que contém credenciais, como senhas de texto sem formatação, hashes NT ou tíquetes Kerberos que podem ser usados para autenticar em outros recursos de rede.
- Exemplos – lista de cenários comuns em que o tipo de logon é usado.
Observação
Para obter mais informações sobre tipos de logon, consulte SECURITY_LOGON_TYPE enumeração.
Próximas Etapas