Поделиться через


Средства администрирования и типы входа

Эта справочная информация предоставляется для выявления риска раскрытия учетных данных, связанных с различными средствами администрирования для удаленного администрирования.

В сценарии удаленного администрирования учетные данные всегда предоставляются на исходном компьютере, поэтому надежный привилегированный доступ к рабочей станции (PAW) всегда рекомендуется для конфиденциальных или высокопроизводительных учетных записей. Указывает, предоставляются ли учетные данные потенциальному краже на целевом (удаленном) компьютере, в первую очередь зависит от типа входа windows, используемого методом подключения.

Эта таблица содержит рекомендации для наиболее распространенных методов администрирования и подключений:

Способ подключения Тип входа Повторно используемые учетные данные в назначении Комментарии
Вход в консоль Интерактивный в Включает аппаратный удаленный доступ или карточки с освещением или сетевые клавиатуры, видео и ввод мыши (KVM).
РУНАС Интерактивный в
RUNAS /СЕТЬ НовыеУчетные данные в Клонирует текущий сеанс LSA для локального доступа, но использует новые учетные данные при подключении к сетевым ресурсам.
Удаленный рабочий стол (успешно) УдаленныйИнтерактивный в Если клиент удаленного рабочего стола настроен для совместного использования локальных устройств и ресурсов, эти устройства также могут быть скомпрометированы.
Удаленный рабочий стол (сбой — тип входа был отклонен) УдаленныйИнтерактивный - По умолчанию, если вход в систему RDP завершается ошибкой, учетные данные хранятся только кратко. Это может быть не так, если компьютер скомпрометирован.
Сетевое использование * \\SERVER Сеть -
Сетевое использование * \\SERVER /u:user Сеть -
Оснастки MMC на удаленный компьютер Сеть - Пример: управление компьютерами, средство просмотра событий, диспетчер устройств, службы
PowerShell WinRM Сеть - Пример: сервер Enter-PSSession
PowerShell WinRM с CredSSP СетьОткрытый текст в сервер New-PSSession
-Аутентификация Credssp
-Репутация
PsExec без явных учетных данных Сеть - Пример: PsExec \\server cmd
PsExec с явными учетными данными Сеть + интерактивный в PsExec \\server -u пользователя -p pwd cmd
Создает несколько сеансов входа.
Удаленный реестр Сеть -
Шлюз удаленных рабочих столов Сеть - Проверка подлинности в шлюзе удаленных рабочих столов.
Запланированная задача Партия в Пароль также сохраняется в виде секрета LSA на диске.
Запуск средств в качестве службы Услуга в Пароль также сохраняется в виде секрета LSA на диске.
Сканеры уязвимостей Сеть - Большинство сканеров по умолчанию используют сетевые входы в систему, хотя некоторые поставщики могут реализовать несетей входа в систему и привести к большему риску кражи учетных данных.

Для веб-проверки подлинности используйте ссылку из следующей таблицы:

Способ подключения Тип входа Повторно используемые учетные данные в назначении Комментарии
IIS "Базовая проверка подлинности" СетьОткрытый текст
(IIS 6.0+)

Интерактивный
(до IIS 6.0)

в
IIS "Встроенная проверка подлинности Windows" Сеть - Поставщики NTLM и Kerberos.

Определения столбцов:

  • Тип входа — определяет тип входа, инициированный подключением.
  • Повторно используемые учетные данные в назначении . Указывает, что следующие типы учетных данных хранятся в памяти процесса LSASS на целевом компьютере, где указанная учетная запись вошедла локально:
    • Хэши LM и NT
    • TGT Kerberos
    • Пароль обычного текста (если применимо).

Символы в этой таблице определены следующим образом:

  • (-) указывает, когда учетные данные не предоставляются.
  • (v) обозначает, когда предоставляются учетные данные.

Для приложений управления, не входящих в эту таблицу, можно определить тип входа из поля типа входа в систему в событиях входа в систему. Дополнительные сведения см. в разделе "События входа в систему аудита".

На компьютерах под управлением Windows все проверки подлинности обрабатываются как один из нескольких типов входа, независимо от того, какой протокол проверки подлинности или средство проверки подлинности используется. Эта таблица включает наиболее распространенные типы входа и их атрибуты относительно кражи учетных данных:

Тип входа # Принятые аутентификаторы Повторно используемые учетные данные в сеансе LSA Примеры
Интерактивный (также известный как локальный вход) 2 Пароль, смарт-карта,
иное
Да Вход в консоль;
РУНАС;
Решения для удаленного управления оборудованием (например, сетевой KVM или удаленный доступ / Lights-Out карточка на сервере)
Базовая проверка подлинности IIS (до IIS 6.0)
Сеть 3 Пароль
Хэш NT,
Билет Kerberos
Нет (за исключением включения делегирования, то билеты Kerberos присутствуют) ИСПОЛЬЗОВАНИЕ В СЕТКЕ;
Вызовы RPC;
Удаленный реестр;
Встроенная проверка подлинности Windows IIS;
Проверка подлинности SQL Windows;
Партия 4 Пароль (хранится как секрет LSA) Да Запланированные задачи
Услуга 5 Пароль (хранится как секрет LSA) Да Службы Windows
СетьОткрытый текст 8 Пароль Да Базовая проверка подлинности IIS (IIS 6.0 и более позднюю версию);
Windows PowerShell с CredSSP
НовыеУчетные данные 9 Пароль Да RUNAS /СЕТЬ
УдаленныйИнтерактивный 10 Пароль, смарт-карта,
иное
Да Удаленный рабочий стол (прежнее название — "Службы терминалов")

Определения столбцов:

  • Тип входа — тип запрошенного входа.
  • # — числовый идентификатор для типа входа, сообщаемого в событиях аудита в журнале событий безопасности.
  • Принятые средства проверки подлинности— указывает, какие типы аутентификаторов могут инициировать вход этого типа.
  • Повторно используемые учетные данные в сеансе LSA — указывает, приводит ли тип входа в сеанс LSA с учетными данными, такими как пароли с открытым текстом, хэши NT или билеты Kerberos, которые можно использовать для проверки подлинности в других сетевых ресурсах.
  • Примеры . Список распространенных сценариев, в которых используется тип входа.

Замечание

Дополнительные сведения о типах входа см. в SECURITY_LOGON_TYPE перечислении.

Дальнейшие действия

Проектирование и планирование AD DS