Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта справочная информация предоставляется для выявления риска раскрытия учетных данных, связанных с различными средствами администрирования для удаленного администрирования.
В сценарии удаленного администрирования учетные данные всегда предоставляются на исходном компьютере, поэтому надежный привилегированный доступ к рабочей станции (PAW) всегда рекомендуется для конфиденциальных или высокопроизводительных учетных записей. Указывает, предоставляются ли учетные данные потенциальному краже на целевом (удаленном) компьютере, в первую очередь зависит от типа входа windows, используемого методом подключения.
Эта таблица содержит рекомендации для наиболее распространенных методов администрирования и подключений:
| Connection method | Logon type | Повторно используемые учетные данные в назначении | Comments |
|---|---|---|---|
| Вход в консоль | Interactive | v | Включает аппаратный удаленный доступ или карточки с освещением или сетевые клавиатуры, видео и ввод мыши (KVM). |
| RUNAS | Interactive | v | |
| RUNAS /NETWORK | NewCredentials | v | Клонирует текущий сеанс LSA для локального доступа, но использует новые учетные данные при подключении к сетевым ресурсам. |
| Удаленный рабочий стол (успешно) | RemoteInteractive | v | Если клиент удаленного рабочего стола настроен для совместного использования локальных устройств и ресурсов, эти устройства также могут быть скомпрометированы. |
| Удаленный рабочий стол (сбой — тип входа был отклонен) | RemoteInteractive | - | По умолчанию, если вход в систему RDP завершается ошибкой, учетные данные хранятся только кратко. Это может быть не так, если компьютер скомпрометирован. |
| Сетевое использование * \\SERVER | Network | - | |
| Сетевое использование * \\SERVER /u:user | Network | - | |
| Оснастки MMC на удаленный компьютер | Network | - | Пример: управление компьютерами, средство просмотра событий, диспетчер устройств, службы |
| PowerShell WinRM | Network | - | Пример: сервер Enter-PSSession |
| PowerShell WinRM с CredSSP | NetworkClearText | v | New-PSSession server -Authentication Credssp -Credential cred |
| PsExec без явных учетных данных | Network | - | Пример: PsExec \\server cmd |
| PsExec с явными учетными данными | Сеть + интерактивный | v | PsExec \\server -u пользователя -p pwd cmd Создает несколько сеансов входа. |
| Remote Registry | Network | - | |
| Шлюз удаленных рабочих столов | Network | - | Проверка подлинности в шлюзе удаленных рабочих столов. |
| Scheduled task | Batch | v | Пароль также сохраняется в виде секрета LSA на диске. |
| Запуск средств в качестве службы | Service | v | Пароль также сохраняется в виде секрета LSA на диске. |
| Vulnerability scanners | Network | - | Большинство сканеров по умолчанию используют сетевые входы в систему, хотя некоторые поставщики могут реализовать несетей входа в систему и привести к большему риску кражи учетных данных. |
Для веб-проверки подлинности используйте ссылку из следующей таблицы:
| Connection method | Logon type | Повторно используемые учетные данные в назначении | Comments |
|---|---|---|---|
| IIS "Базовая проверка подлинности" | NetworkCleartext (IIS 6.0+) Interactive |
v | |
| IIS "Встроенная проверка подлинности Windows" | Network | - | Поставщики NTLM и Kerberos. |
Column Definitions:
- Тип входа — определяет тип входа в систему, инициированный подключением.
-
Повторно используемые учетные данные в назначении . Указывает, что следующие типы учетных данных хранятся в памяти процесса LSASS на целевом компьютере, где указанная учетная запись вошедла локально:
- Хэши LM и NT
- Kerberos TGTs
- Пароль обычного текста (если применимо).
Символы в этой таблице определены следующим образом:
- (-) указывает, когда учетные данные не предоставляются.
- (v) обозначает, когда предоставляются учетные данные.
Для приложений управления, не входящих в эту таблицу, можно определить тип входа из поля типа входа в систему в событиях входа в систему. Дополнительные сведения см. в разделе "События входа в систему аудита".
На компьютерах под управлением Windows все проверки подлинности обрабатываются как один из нескольких типов входа, независимо от того, какой протокол проверки подлинности или средство проверки подлинности используется. Эта таблица включает наиболее распространенные типы входа и их атрибуты относительно кражи учетных данных:
| Logon type | # | Authenticators accepted | Повторно используемые учетные данные в сеансе LSA | Examples |
|---|---|---|---|---|
| Интерактивный (также известный как локальный вход) | 2 | Password, Smartcard, other |
Yes | Console logon; RUNAS; Решения для удаленного управления оборудованием (например, сетевой KVM или удаленный доступ / Lights-Out карточка на сервере) Базовая проверка подлинности IIS (до IIS 6.0) |
| Network | 3 | Password, NT Hash, Kerberos ticket |
Нет (за исключением включения делегирования, то билеты Kerberos присутствуют) | NET USE; RPC calls; Remote registry; Встроенная проверка подлинности Windows IIS; Проверка подлинности SQL Windows; |
| Batch | 4 | Пароль (хранится как секрет LSA) | Yes | Scheduled tasks |
| Service | 5 | Пароль (хранится как секрет LSA) | Yes | Windows services |
| NetworkCleartext | 8 | Password | Yes | Базовая проверка подлинности IIS (IIS 6.0 и более позднюю версию); Windows PowerShell с CredSSP |
| NewCredentials | 9 | Password | Yes | RUNAS /NETWORK |
| RemoteInteractive | 10 | Password, Smartcard, other |
Yes | Удаленный рабочий стол (прежнее название — "Службы терминалов") |
Column definitions:
- Тип входа — тип запрашиваемого входа в систему.
- # — числовый идентификатор для типа входа, сообщаемого в событиях аудита в журнале событий безопасности.
- Authenticators accepted — указывает, какие типы аутентификаторов могут инициировать вход в систему этого типа.
- Повторно используемые учетные данные в сеансе LSA — указывает, приводит ли тип входа в сеанс LSA с учетными данными, такими как пароли с открытым текстом, хэши NT или билеты Kerberos, которые можно использовать для проверки подлинности в других сетевых ресурсах.
- Примеры - Список распространенных сценариев, в которых используется тип входа в систему.
Note
Дополнительные сведения о типах входа см. в разделе SECURITY_LOGON_TYPE перечислении.
Next steps