Защита от взлома паролей в Windows
Я знаю, что существуют инструменты для получения паролей в виде обычного текста из памяти в Windows (чтение памяти и расшифровка пароля из процесса LSASS).
Такое поведение все еще существует в Windows Server 2019?
Есть ли способ избежать того, чтобы локальный администратор получил пароль с компьютера с Windows с помощью некоторых из этих инструментов, например Mimikatz?
Спасибо.
Нет, чтобы избежать этого, так как для кражи билета Kerberos или NTLM-хэша имейте в виду, что пользователь должен быть локальным администратором, и приложение также должно запускаться от имени администратора.
Пожалуйста, посмотрите эту заметку от mimikatz;
Запустите Mimikatz от имени администратора: Mimikatz должен быть «Запуск от имени администратора» для полноценной работы, даже если вы используете учетную запись администратора.
Таким образом, он попадает в 10 непреложных законов безопасности; Смотрите один в смелый;
Закон №1: Если плохой парень может убедить вас запустить его программу на вашем компьютер, это больше не только ваш компьютер.
Закон № 2: Если плохой парень может изменить операционную систему на вашем компьютере, это больше не ваш компьютер.
Закон № 3: Если у плохого парня есть неограниченный физический доступ к вашему компьютеру, то это больше не ваш компьютер.
Закон №4: если вы позволите плохому парню запускать активный контент на вашем сайте, это больше не ваш сайт.
Закон № 5: Слабые пароли важнее надежной защиты.
Закон № 6: компьютер безопасен настолько, насколько заслуживает доверия администратор.
Закон № 7. Безопасность зашифрованных данных зависит от их ключа дешифрования.
Закон № 8: Устаревший сканер защиты от вредоносных программ лишь ненамного лучше, чем отсутствие сканера вообще.
Закон № 9: Абсолютная анонимность практически недостижима ни онлайн, ни офлайн.
Закон № 10: Технологии - не панацея.
Если вы попадаете в 10 неизменных законов безопасности, Microsoft никогда не исправит это, поскольку администратор может делать что угодно на компьютере, даже устанавливать кейлоггер, кто знает, поскольку вы должны понимать, что это больше, как вы защищаете свою среду от такого вектора атаки это важно.
Поэтому сначала я бы предложил использовать GPO с ограниченной группой, чтобы убедиться, что никто не может добавить его самостоятельно в локальную группу администраторов.
Во-вторых, я бы удалил все остальные загрузочные устройства, кроме жесткого диска, чтобы обезопасить тех, кто может загружаться с флэш-устройства, чтобы никто не смог стереть пароль учетной записи локального администратора.
В-третьих, я бы защищал BIOS надежным паролем.
Наконец, я бы использовал метод шифрования жесткого диска, чтобы предотвратить несанкционированное изменение с помощью холодной перезагрузки, если кто-то извлечет жесткий диск из машины.
Конечно, есть и другие советы, но вы должны придерживаться модели сильной безопасности, если хотите обезопасить рабочее пространство своего предприятия, и включить аудит учетных записей, если вы хотите поймать злоумышленника.
С настройками по умолчанию больше невозможно выгружать учетные данные WDigest в виде открытого текста из памяти LSA, но имея права локального администратора, все эти новые функции безопасности могут быть отключены, поскольку Microsoft любит сохранять обратную совместимость. Итак, после добавления пары ключей реестра Mimikatz - или Kiwi для Windows 10 - снова начинает работать для всех паролей, введенных после изменений.
В Windows 8.1 были добавлены функции безопасности, которые перестают сохранять учетные данные WDigest в виде открытого текста, и они были перенесены в более ранние версии Windows в KB2871997, исправляя каждую версию, начиная с Windows 7. Когда эта функция включена, Mimikatz начинает показывать
(null)для пароля, но его можно отключить с помощью:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest] "UseLogonCredential"=dword:00000001В Windows 10 Credential Guard в Защитнике Windows защищает пароли. После отключения функции безопасности, как описано выше, пароли отображаются, но не в виде открытого текста:
Однако Credential Guard в Защитнике Windows можно отключен через групповую политику. Поскольку эта политика фактически просто добавляет два ключа реестра, ее, например, легко отключить, например из командной строки.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard] "EnableVirtualizationBasedSecurity"=dword:00000000 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "LsaCfgFlags"=dword:00000000Когда пользователь снова использует свой пароль, он отображается в виде открытого текста:
Поскольку это можно легко использовать для кражи учетных данных администратора домена, люди не должны иметь прав локального администратора на своих рабочих станциях, а отдельные учетные записи без прав администратора домена должны использоваться для локального администрирования.
Я хотел бы предложить решение, которое действительно неплохо работает на практике. Другие ответы намекают на то, что невозможно защитить идеально, но вы можете сделать это достаточно сложно, чтобы большинство нападающие сдадутся и перейдут к более легким целям.
Сначала включите Credential Guard. Это переместит секреты из LSA, чтобы злоумышленники не смогли прочитать пароли из памяти процесса.
Во-вторых, включите режим защищенного процесса LSA (RunAsPPL = 1). Это предотвратит внедрение злоумышленниками кода в LSA или чтение памяти.
В-третьих, включите HVCI, чтобы злоумышленники не могли отключить вышеупомянутую защиту изнутри ядра.
В-четвертых, заблокируйте все это с помощью UEFI, чтобы даже если злоумышленник делает винт с ключами реестра, отключить его невероятно сложно, так как конфиг заблокирован настройками загрузки UEFI.