提供此參考資訊,可協助識別與不同系統管理工具相關聯的認證暴露風險,以進行遠端管理。
在遠端管理案例中,認證一律會在來源計算機上公開,因此,對於敏感性或高影響帳戶,一律建議使用可信任的特殊許可權存取工作站 (PAW)。 認證是否暴露在目標 (遠端) 電腦上可能遭竊,主要取決於連線方法所使用的 Windows 登入類型。
下表包含最常見系統管理工具和連線方法的指引:
| 連線方式 | 登入類型 | 目的地上可重複使用的認證 | 評論 |
|---|---|---|---|
| 在主控台登入 | 互動式 | v | 包含硬體遠端訪問/燈出卡或網路型鍵盤、視訊和滑鼠 (KVM) 輸入。 |
| 魯納斯 | 互動式 | v | |
| 魯納斯 /NETWORK | NewCredentials (新憑證) | v | 複製目前的 LSA 工作階段以進行本機存取,但在連線到網路資源時會使用新的認證。 |
| 遠端桌面 (成功) | 遠端交互 | v | 如果遠端桌面用戶端設定為共用本機裝置和資源,這些裝置也可能遭到入侵。 |
| 遠端桌面 (失敗 - 登入類型遭拒) | 遠端交互 | - | 根據預設,如果 RDP 登入失敗,認證只會短暫儲存。 如果電腦遭到入侵,則可能不是這種情況。 |
| 網路使用 * \\SERVER | 網路 | - | |
| Net use * \\SERVER /u:user | 網路 | - | |
| 遠端電腦的 MMC 嵌入式管理單元 | 網路 | - | 範例:計算機管理、事件查看器、設備管理員、服務 |
| PowerShell WinRM | 網路 | - | 範例:Enter-PSSession 伺服器 |
| 使用 CredSSP 的 PowerShell WinRM | 網路ClearText | v | New-PSSession 伺服器 -身份驗證憑證 -憑證可信度 |
| 不含明確認證的 PsExec | 網路 | - | 範例:PsExec \\server Cmd |
| 具有明確認證的 PsExec | 網路 + 互動式 | v | PsExec \\server -u 使用者 -p pwd cmd 建立多個登入會話。 |
| 遠端登錄 | 網路 | - | |
| 遠端桌面閘道 | 網路 | - | 驗證至遠端桌面閘道。 |
| 排程的工作 | 批次 | v | 密碼也會儲存為磁碟上的 LSA 秘密。 |
| 以服務身分執行工具 | 服務 | v | 密碼也會儲存為磁碟上的 LSA 秘密。 |
| 弱點掃描器 | 網路 | - | 大部分掃描器預設會使用網路登入,不過有些廠商可能會實作非網路登錄,並帶來更多的認證竊取風險。 |
針對 Web 驗證,請使用下表中的參考:
| 連線方式 | 登入類型 | 目的地上可重複使用的認證 | 評論 |
|---|---|---|---|
| IIS“基本身份驗證” | 網路明文 (IIS 6.0+) 互動式 |
v | |
| IIS“整合式 Windows 驗證” | 網路 | - | NTLM 和 Kerberos 提供者。 |
資料列定義:
- 登入類型 - 識別連接起始的登入類型。
-
目的地上可重複使用的認證 - 指出下列認證類型會儲存在本機登入指定帳戶之目的地電腦上的 LSASS 進程記憶體中:
- LM 和 NT 哈希
- Kerberos TGT
- 純文字密碼(如果適用的話)。
下表中定義的符號如下:
- (-) 表示認證未公開時。
- (v) 表示何時公開認證。
對於不屬於此資料表的管理應用程式,您可以從稽核登入事件中的登入類型欄位來判斷登入類型。 如需詳細資訊,請參閱 稽核登入事件。
在 Windows 計算機中,所有驗證都會處理為數種登入類型的其中一種,而不論使用哪一種驗證通訊協定或驗證器。 下表包含最常見的登入類型及其與認證竊取相關的屬性:
| 登入類型 | # | 已接受驗證器 | LSA 工作階段中可重複使用的認證 | 範例 |
|---|---|---|---|---|
| 互動式 (也稱為,在本機登入) | 2 | 密碼、智慧卡、 其他 |
是的 | 主控台登入; 魯納斯; 硬體遠端控制解決方案(例如網路 KVM 或伺服器中的遠端存取/Lights-Out 卡) IIS 基本身份驗證 (IIS 6.0 之前) |
| 網路 | 3 | 密碼 NT 哈希, Kerberos 票證 |
否 (除非已啟用委派,否則會出現 Kerberos 票證) | NET使用; RPC 呼叫; 遠端登錄; IIS 整合式 Windows 驗證; SQL Windows 驗證; |
| 批次 | 4 | 密碼 (儲存為 LSA 秘密) | 是的 | 排定的工作 |
| 服務 | 5 | 密碼 (儲存為 LSA 秘密) | 是的 | Windows 服務 |
| 網路明文 | 8 | 密碼 | 是的 | IIS 基本身份驗證 (IIS 6.0 和更新版): 使用 CredSSP 的 Windows PowerShell |
| NewCredentials (新憑證) | 9 | 密碼 | 是的 | 魯納斯 /NETWORK |
| 遠端交互 | 10 | 密碼、智慧卡、 其他 |
是的 | 遠端桌面(先前稱為「終端機服務」) |
欄定義:
- 登入類型 - 要求的登入類型。
- # - 安全性事件記錄檔中稽核事件中報告之登入類型的數值標識碼。
- 已接受的驗證器 - 指出哪些驗證器類型能夠起始此類型的登入。
- LSA 工作階段中可重複使用的認證 - 指出登入類型是否會導致 LSA 工作階段持有認證,例如純文本密碼、NT 哈希或 Kerberos 票證,可用來向其他網路資源進行驗證。
- 範例 - 使用登入類型的常見案例清單。
備註
如需登入類型的詳細資訊,請參閱 SECURITY_LOGON_TYPE列舉。
下一步