Windows Credentials Protections
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
WDigest प्रोटोकॉल, जो Windows XP के साथ पेश किया गया था, HTTP प्रोटोकॉल के माध्यम से प्रमाणीकरण के लिए डिज़ाइन किया गया है और Windows XP से Windows 8.0 और Windows Server 2003 से Windows Server 2012 तक डिफ़ॉल्ट रूप से सक्षम है। यह डिफ़ॉल्ट सेटिंग LSASS (स्थानीय सुरक्षा प्राधिकरण उपप्रणाली सेवा) में स्पष्ट पाठ पासवर्ड भंडारण का परिणाम देती है। एक हमलावर Mimikatz का उपयोग करके इन क्रेडेंशियल्स को निकाल सकता है:
To toggle this feature off or on, the UseLogonCredential and Negotiate registry keys within HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest must be set to "1". If these keys are absent or set to "0", WDigest is disabled:
इस फ़ीचर को बंद या चालू करने के लिए, UseLogonCredential और Negotiate रजिस्ट्री कुंजी को HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest के भीतर "1" पर सेट किया जाना चाहिए। यदि ये कुंजी गायब हैं या "0" पर सेट हैं, तो WDigest अक्षम है:
Windows 8.1 से शुरू होकर, Microsoft ने LSA की सुरक्षा को अविश्वसनीय प्रक्रियाओं द्वारा अनधिकृत मेमोरी पढ़ने या कोड इंजेक्शन को रोकने के लिए बढ़ाया। यह सुधार mimikatz.exe sekurlsa:logonpasswords
जैसे आदेशों के सामान्य कार्य को बाधित करता है। इस सुधारित सुरक्षा को सक्षम करने के लिए, RunAsPPL मान को HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA में 1 पर समायोजित किया जाना चाहिए:
इस सुरक्षा को Mimikatz ड्राइवर mimidrv.sys का उपयोग करके बायपास करना संभव है:
Credential Guard, Windows 10 (Enterprise और Education editions) के लिए विशेष एक फीचर, मशीन क्रेडेंशियल्स की सुरक्षा को Virtual Secure Mode (VSM) और Virtualization Based Security (VBS) का उपयोग करके बढ़ाता है। यह CPU वर्चुअलाइजेशन एक्सटेंशन का लाभ उठाता है ताकि मुख्य ऑपरेटिंग सिस्टम की पहुंच से दूर एक सुरक्षित मेमोरी स्पेस में प्रमुख प्रक्रियाओं को अलग किया जा सके। यह अलगाव सुनिश्चित करता है कि यहां तक कि कर्नेल भी VSM में मेमोरी तक पहुंच नहीं सकता, प्रभावी रूप से pass-the-hash जैसे हमलों से क्रेडेंशियल्स की सुरक्षा करता है। Local Security Authority (LSA) इस सुरक्षित वातावरण में एक ट्रस्टलेट के रूप में कार्य करता है, जबकि मुख्य OS में LSASS प्रक्रिया केवल VSM के LSA के साथ संवाद करने के रूप में कार्य करती है।
डिफ़ॉल्ट रूप से, Credential Guard सक्रिय नहीं है और इसे एक संगठन के भीतर मैन्युअल रूप से सक्रिय करने की आवश्यकता है। यह Mimikatz जैसे उपकरणों के खिलाफ सुरक्षा बढ़ाने के लिए महत्वपूर्ण है, जो क्रेडेंशियल्स को निकालने की अपनी क्षमता में बाधित होते हैं। हालाँकि, कस्टम Security Support Providers (SSP) को जोड़कर कमजोरियों का लाभ उठाया जा सकता है ताकि लॉगिन प्रयासों के दौरान क्रेडेंशियल्स को स्पष्ट पाठ में कैप्चर किया जा सके।
Credential Guard की सक्रियण स्थिति की पुष्टि करने के लिए, HKLM\System\CurrentControlSet\Control\LSA के तहत रजिस्ट्री कुंजी LsaCfgFlags की जांच की जा सकती है। "1" का मान UEFI लॉक के साथ सक्रियण को दर्शाता है, "2" बिना लॉक के, और "0" यह दर्शाता है कि यह सक्षम नहीं है। यह रजिस्ट्री जांच, जबकि एक मजबूत संकेतक है, Credential Guard को सक्षम करने के लिए एकमात्र कदम नहीं है। इस फीचर को सक्षम करने के लिए विस्तृत मार्गदर्शन और एक PowerShell स्क्रिप्ट ऑनलाइन उपलब्ध है।
For a comprehensive understanding and instructions on enabling Credential Guard in Windows 10 and its automatic activation in compatible systems of Windows 11 Enterprise and Education (version 22H2), visit Microsoft's documentation.
Further details on implementing custom SSPs for credential capture are provided in this guide.
Windows 8.1 और Windows Server 2012 R2 ने कई नए सुरक्षा सुविधाएँ पेश की हैं, जिसमें RDP के लिए Restricted Admin मोड शामिल है। इस मोड को pass the hash हमलों से जुड़े जोखिमों को कम करने के लिए सुरक्षा बढ़ाने के लिए डिज़ाइन किया गया था।
परंपरागत रूप से, जब आप RDP के माध्यम से एक दूरस्थ कंप्यूटर से कनेक्ट करते हैं, तो आपके क्रेडेंशियल्स लक्षित मशीन पर संग्रहीत होते हैं। यह एक महत्वपूर्ण सुरक्षा जोखिम प्रस्तुत करता है, विशेष रूप से जब उच्च विशेषाधिकार वाले खातों का उपयोग किया जाता है। हालाँकि, Restricted Admin मोड के परिचय के साथ, यह जोखिम काफी हद तक कम हो गया है।
जब आप mstsc.exe /RestrictedAdmin कमांड का उपयोग करके RDP कनेक्शन शुरू करते हैं, तो दूरस्थ कंप्यूटर पर आपके क्रेडेंशियल्स को संग्रहीत किए बिना प्रमाणीकरण किया जाता है। यह दृष्टिकोण सुनिश्चित करता है कि, यदि किसी मैलवेयर संक्रमण या यदि एक दुर्भावनापूर्ण उपयोगकर्ता दूरस्थ सर्वर तक पहुँच प्राप्त करता है, तो आपके क्रेडेंशियल्स से समझौता नहीं किया जाएगा, क्योंकि वे सर्वर पर संग्रहीत नहीं होते हैं।
यह ध्यान रखना महत्वपूर्ण है कि Restricted Admin मोड में, RDP सत्र से नेटवर्क संसाधनों तक पहुँचने के प्रयास आपके व्यक्तिगत क्रेडेंशियल्स का उपयोग नहीं करेंगे; इसके बजाय, मशीन की पहचान का उपयोग किया जाता है।
यह सुविधा दूरस्थ डेस्कटॉप कनेक्शनों को सुरक्षित करने और सुरक्षा उल्लंघन की स्थिति में संवेदनशील जानकारी को उजागर होने से बचाने में एक महत्वपूर्ण कदम है।
For more detailed information on visit this resource.
Windows डोमेन क्रेडेंशियल्स को Local Security Authority (LSA) के माध्यम से सुरक्षित करता है, जो Kerberos और NTLM जैसे सुरक्षा प्रोटोकॉल के साथ लॉगिन प्रक्रियाओं का समर्थन करता है। Windows की एक प्रमुख विशेषता यह है कि यह अंतिम दस डोमेन लॉगिन को कैश करने की क्षमता रखता है ताकि उपयोगकर्ता अपने कंप्यूटरों तक पहुँच प्राप्त कर सकें, भले ही डोमेन कंट्रोलर ऑफ़लाइन हो—यह उन लैपटॉप उपयोगकर्ताओं के लिए एक वरदान है जो अक्सर अपनी कंपनी के नेटवर्क से दूर होते हैं।
कैश किए गए लॉगिन की संख्या को एक विशिष्ट रजिस्ट्री कुंजी या समूह नीति के माध्यम से समायोजित किया जा सकता है। इस सेटिंग को देखने या बदलने के लिए, निम्नलिखित कमांड का उपयोग किया जाता है:
Access to these cached credentials is tightly controlled, with only the SYSTEM account having the necessary permissions to view them. Administrators needing to access this information must do so with SYSTEM user privileges. The credentials are stored at: HKEY_LOCAL_MACHINE\SECURITY\Cache
Mimikatz can be employed to extract these cached credentials using the command lsadump::cache
.
For further details, the original source provides comprehensive information.
Protected Users group में सदस्यता उपयोगकर्ताओं के लिए कई सुरक्षा सुधार लाती है, जो क्रेडेंशियल चोरी और दुरुपयोग के खिलाफ उच्च स्तर की सुरक्षा सुनिश्चित करती है:
Credential Delegation (CredSSP): भले ही Allow delegating default credentials के लिए Group Policy सेटिंग सक्षम हो, Protected Users के साधारण पाठ क्रेडेंशियल्स को कैश नहीं किया जाएगा।
Windows Digest: Windows 8.1 और Windows Server 2012 R2 से शुरू होकर, सिस्टम Protected Users के साधारण पाठ क्रेडेंशियल्स को कैश नहीं करेगा, चाहे Windows Digest स्थिति कुछ भी हो।
NTLM: सिस्टम Protected Users के साधारण पाठ क्रेडेंशियल्स या NT एक-तरफा कार्य (NTOWF) को कैश नहीं करेगा।
Kerberos: Protected Users के लिए, Kerberos प्रमाणीकरण DES या RC4 keys उत्पन्न नहीं करेगा, न ही यह साधारण पाठ क्रेडेंशियल्स या प्रारंभिक Ticket-Granting Ticket (TGT) अधिग्रहण के बाद दीर्घकालिक कुंजियों को कैश करेगा।
Offline Sign-In: Protected Users के लिए साइन-इन या अनलॉक पर कोई कैश किया गया वेरिफायर नहीं बनाया जाएगा, जिसका अर्थ है कि इन खातों के लिए ऑफ़लाइन साइन-इन समर्थित नहीं है।
ये सुरक्षा उपाय तब सक्रिय होते हैं जब एक उपयोगकर्ता, जो Protected Users group का सदस्य है, डिवाइस में साइन इन करता है। यह विभिन्न क्रेडेंशियल समझौता के तरीकों के खिलाफ सुरक्षा सुनिश्चित करने के लिए महत्वपूर्ण सुरक्षा उपायों को लागू करता है।
अधिक विस्तृत जानकारी के लिए, आधिकारिक documentation देखें।
Table from the docs.
Windows Server 2003 RTM
Windows Server 2003 SP1+
Windows Server 2012, Windows Server 2008 R2, Windows Server 2008
Windows Server 2016
Account Operators
Account Operators
Account Operators
Account Operators
Administrator
Administrator
Administrator
Administrator
Administrators
Administrators
Administrators
Administrators
Backup Operators
Backup Operators
Backup Operators
Backup Operators
Cert Publishers
Domain Admins
Domain Admins
Domain Admins
Domain Admins
Domain Controllers
Domain Controllers
Domain Controllers
Domain Controllers
Enterprise Admins
Enterprise Admins
Enterprise Admins
Enterprise Admins
Enterprise Key Admins
Key Admins
Krbtgt
Krbtgt
Krbtgt
Krbtgt
Print Operators
Print Operators
Print Operators
Print Operators
Read-only Domain Controllers
Read-only Domain Controllers
Replicator
Replicator
Replicator
Replicator
Schema Admins
Schema Admins
Schema Admins
Schema Admins
Server Operators
Server Operators
Server Operators
Server Operators
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)