提供此參考資訊,可協助識別與不同系統管理工具相關聯的認證暴露風險,以進行遠端管理。
在遠端管理案例中,認證一律會在來源計算機上公開,因此,對於敏感性或高影響帳戶,一律建議使用可信任的特殊許可權存取工作站 (PAW)。 認證是否暴露在目標 (遠端) 電腦上可能遭竊,主要取決於連線方法所使用的 Windows 登入類型。
下表包含最常見系統管理工具和連線方法的指引:
| Connection method | Logon type | 目的地上可重複使用的認證 | Comments |
|---|---|---|---|
| 在主控台登入 | Interactive | v | 包含硬體遠端訪問/燈出卡或網路型鍵盤、視訊和滑鼠 (KVM) 輸入。 |
| RUNAS | Interactive | v | |
| RUNAS /NETWORK | NewCredentials | v | 複製目前的 LSA 工作階段以進行本機存取,但在連線到網路資源時會使用新的認證。 |
| 遠端桌面 (成功) | RemoteInteractive | v | 如果遠端桌面用戶端設定為共用本機裝置和資源,這些裝置也可能遭到入侵。 |
| 遠端桌面 (失敗 - 登入類型遭拒) | RemoteInteractive | - | 根據預設,如果 RDP 登入失敗,認證只會短暫儲存。 如果電腦遭到入侵,則可能不是這種情況。 |
| 網路使用 * \\SERVER | Network | - | |
| Net use * \\SERVER /u:user | Network | - | |
| 遠端電腦的 MMC 嵌入式管理單元 | Network | - | 範例:計算機管理、事件查看器、設備管理員、服務 |
| PowerShell WinRM | Network | - | 範例:Enter-PSSession 伺服器 |
| 使用 CredSSP 的 PowerShell WinRM | NetworkClearText | v | New-PSSession server -Authentication Credssp -Credential cred |
| 不含明確認證的 PsExec | Network | - | 範例:PsExec \\server Cmd |
| 具有明確認證的 PsExec | 網路 + 互動式 | v | PsExec \\server -u 使用者 -p pwd cmd 建立多個登入會話。 |
| Remote Registry | Network | - | |
| 遠端桌面閘道 | Network | - | 驗證至遠端桌面閘道。 |
| Scheduled task | Batch | v | 密碼也會儲存為磁碟上的 LSA 秘密。 |
| 以服務身分執行工具 | Service | v | 密碼也會儲存為磁碟上的 LSA 秘密。 |
| Vulnerability scanners | Network | - | 大部分掃描器預設會使用網路登入,不過有些廠商可能會實作非網路登錄,並帶來更多的認證竊取風險。 |
針對 Web 驗證,請使用下表中的參考:
| Connection method | Logon type | 目的地上可重複使用的認證 | Comments |
|---|---|---|---|
| IIS“基本身份驗證” | NetworkCleartext (IIS 6.0+) Interactive |
v | |
| IIS“整合式 Windows 驗證” | Network | - | NTLM 和 Kerberos 提供者。 |
Column Definitions:
- 登入類型 - 識別連線起始的登入類型。
-
目的地上可重複使用的認證 - 指出下列認證類型會儲存在本機登入指定帳戶之目的地電腦上的 LSASS 進程記憶體中:
- LM 和 NT 哈希
- Kerberos TGTs
- 純文字密碼(如果適用的話)。
下表中定義的符號如下:
- (-) 表示認證未公開時。
- (v) 表示何時公開認證。
對於不屬於此資料表的管理應用程式,您可以從稽核登入事件中的登入類型欄位來判斷登入類型。 如需詳細資訊,請參閱 稽核登入事件。
在 Windows 計算機中,所有驗證都會處理為數種登入類型的其中一種,而不論使用哪一種驗證通訊協定或驗證器。 下表包含最常見的登入類型及其與認證竊取相關的屬性:
| Logon type | # | Authenticators accepted | LSA 工作階段中可重複使用的認證 | Examples |
|---|---|---|---|---|
| 互動式 (也稱為,在本機登入) | 2 | Password, Smartcard, other |
Yes | Console logon; RUNAS; 硬體遠端控制解決方案(例如網路 KVM 或伺服器中的遠端存取/Lights-Out 卡) IIS 基本身份驗證 (IIS 6.0 之前) |
| Network | 3 | Password, NT Hash, Kerberos ticket |
否 (除非已啟用委派,否則會出現 Kerberos 票證) | NET USE; RPC calls; Remote registry; IIS 整合式 Windows 驗證; SQL Windows 驗證; |
| Batch | 4 | 密碼 (儲存為 LSA 秘密) | Yes | Scheduled tasks |
| Service | 5 | 密碼 (儲存為 LSA 秘密) | Yes | Windows services |
| NetworkCleartext | 8 | Password | Yes | IIS 基本身份驗證 (IIS 6.0 和更新版): 使用 CredSSP 的 Windows PowerShell |
| NewCredentials | 9 | Password | Yes | RUNAS /NETWORK |
| RemoteInteractive | 10 | Password, Smartcard, other |
Yes | 遠端桌面(先前稱為「終端機服務」) |
Column definitions:
- 登入類型 - 要求的登入類型。
- # - 安全性事件記錄檔中稽核事件中報告之登入類型的數值標識碼。
- 已接受的驗證器 - 指出哪些類型的驗證器能夠起始此類型的登入。
- LSA 工作階段中可重複使用的認證 - 指出登入類型是否會導致 LSA 工作階段持有認證,例如純文本密碼、NT 哈希或 Kerberos 票證,可用來向其他網路資源進行驗證。
- 範例 — 使用登入類型的常見案例清單。
Note
如需登入類型的詳細資訊,請參閱 SECURITY_LOGON_TYPE列舉。
Next steps