Windows Credentials Protections
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Il protocollo WDigest, introdotto con Windows XP, è progettato per l'autenticazione tramite il protocollo HTTP ed è abilitato per impostazione predefinita su Windows XP fino a Windows 8.0 e Windows Server 2003 fino a Windows Server 2012. Questa impostazione predefinita comporta l'archiviazione delle password in chiaro in LSASS (Local Security Authority Subsystem Service). Un attaccante può utilizzare Mimikatz per estrarre queste credenziali eseguendo:
Per disattivare o attivare questa funzione, le chiavi di registro UseLogonCredential e Negotiate all'interno di HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest devono essere impostate su "1". Se queste chiavi sono assenti o impostate su "0", WDigest è disabilitato:
A partire da Windows 8.1, Microsoft ha migliorato la sicurezza di LSA per bloccare le letture di memoria non autorizzate o le iniezioni di codice da parte di processi non attendibili. Questo miglioramento ostacola il funzionamento tipico di comandi come mimikatz.exe sekurlsa:logonpasswords
. Per abilitare questa protezione avanzata, il valore RunAsPPL in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA dovrebbe essere impostato su 1:
È possibile eludere questa protezione utilizzando il driver Mimikatz mimidrv.sys:
Credential Guard, una funzionalità esclusiva di Windows 10 (edizioni Enterprise ed Education), migliora la sicurezza delle credenziali della macchina utilizzando Virtual Secure Mode (VSM) e Virtualization Based Security (VBS). Sfrutta le estensioni di virtualizzazione della CPU per isolare i processi chiave all'interno di uno spazio di memoria protetto, lontano dalla portata del sistema operativo principale. Questa isolamento garantisce che anche il kernel non possa accedere alla memoria in VSM, proteggendo efficacemente le credenziali da attacchi come pass-the-hash. L'Autorità di Sicurezza Locale (LSA) opera all'interno di questo ambiente sicuro come un trustlet, mentre il processo LSASS nel sistema operativo principale funge semplicemente da comunicatore con l'LSA di VSM.
Per impostazione predefinita, Credential Guard non è attivo e richiede attivazione manuale all'interno di un'organizzazione. È fondamentale per migliorare la sicurezza contro strumenti come Mimikatz, che sono ostacolati nella loro capacità di estrarre credenziali. Tuttavia, le vulnerabilità possono ancora essere sfruttate attraverso l'aggiunta di Security Support Providers (SSP) personalizzati per catturare le credenziali in chiaro durante i tentativi di accesso.
Per verificare lo stato di attivazione di Credential Guard, è possibile controllare la chiave di registro LsaCfgFlags sotto HKLM\System\CurrentControlSet\Control\LSA. Un valore di "1" indica attivazione con UEFI lock, "2" senza blocco, e "0" denota che non è abilitato. Questo controllo del registro, sebbene sia un forte indicatore, non è l'unico passo per abilitare Credential Guard. Sono disponibili online indicazioni dettagliate e uno script PowerShell per abilitare questa funzionalità.
Per una comprensione completa e istruzioni su come abilitare Credential Guard in Windows 10 e la sua attivazione automatica nei sistemi compatibili di Windows 11 Enterprise e Education (versione 22H2), visita la documentazione di Microsoft.
Ulteriori dettagli sull'implementazione di SSP personalizzati per la cattura delle credenziali sono forniti in questa guida.
Windows 8.1 e Windows Server 2012 R2 hanno introdotto diverse nuove funzionalità di sicurezza, inclusa la modalità Restricted Admin per RDP. Questa modalità è stata progettata per migliorare la sicurezza mitigando i rischi associati agli attacchi pass the hash.
Tradizionalmente, quando ci si connette a un computer remoto tramite RDP, le proprie credenziali vengono memorizzate sulla macchina di destinazione. Ciò rappresenta un rischio significativo per la sicurezza, specialmente quando si utilizzano account con privilegi elevati. Tuttavia, con l'introduzione della modalità Restricted Admin, questo rischio è sostanzialmente ridotto.
Quando si avvia una connessione RDP utilizzando il comando mstsc.exe /RestrictedAdmin, l'autenticazione al computer remoto viene eseguita senza memorizzare le proprie credenziali su di esso. Questo approccio garantisce che, in caso di infezione da malware o se un utente malintenzionato ottiene accesso al server remoto, le proprie credenziali non vengano compromesse, poiché non sono memorizzate sul server.
È importante notare che in modalità Restricted Admin, i tentativi di accesso alle risorse di rete dalla sessione RDP non utilizzeranno le proprie credenziali personali; invece, verrà utilizzata l'identità della macchina.
Questa funzionalità segna un passo significativo avanti nella sicurezza delle connessioni desktop remote e nella protezione delle informazioni sensibili da esposizioni in caso di violazione della sicurezza.
Per ulteriori informazioni dettagliate visita questa risorsa.
Windows protegge le credenziali di dominio attraverso la Local Security Authority (LSA), supportando i processi di accesso con protocolli di sicurezza come Kerberos e NTLM. Una caratteristica chiave di Windows è la sua capacità di memorizzare nella cache i ultimi dieci accessi al dominio per garantire che gli utenti possano ancora accedere ai propri computer anche se il controller di dominio è offline—un vantaggio per gli utenti di laptop spesso lontani dalla rete della propria azienda.
Il numero di accessi memorizzati nella cache è regolabile tramite una specifica chiave di registro o policy di gruppo. Per visualizzare o modificare questa impostazione, viene utilizzato il seguente comando:
Accesso a queste credenziali memorizzate nella cache è strettamente controllato, con solo l'account SYSTEM che ha i permessi necessari per visualizzarle. Gli amministratori che necessitano di accedere a queste informazioni devono farlo con i privilegi dell'utente SYSTEM. Le credenziali sono memorizzate in: HKEY_LOCAL_MACHINE\SECURITY\Cache
Mimikatz può essere utilizzato per estrarre queste credenziali memorizzate nella cache utilizzando il comando lsadump::cache
.
Per ulteriori dettagli, la fonte originale fornisce informazioni complete.
L'appartenenza al gruppo Utenti Protetti introduce diversi miglioramenti della sicurezza per gli utenti, garantendo livelli più elevati di protezione contro il furto e l'uso improprio delle credenziali:
Delegazione delle Credenziali (CredSSP): Anche se l'impostazione della Group Policy per Consenti la delega delle credenziali predefinite è abilitata, le credenziali in testo chiaro degli Utenti Protetti non verranno memorizzate nella cache.
Windows Digest: A partire da Windows 8.1 e Windows Server 2012 R2, il sistema non memorizzerà nella cache le credenziali in testo chiaro degli Utenti Protetti, indipendentemente dallo stato di Windows Digest.
NTLM: Il sistema non memorizzerà nella cache le credenziali in testo chiaro degli Utenti Protetti o le funzioni unidirezionali NT (NTOWF).
Kerberos: Per gli Utenti Protetti, l'autenticazione Kerberos non genererà chiavi DES o RC4, né memorizzerà nella cache credenziali in testo chiaro o chiavi a lungo termine oltre l'acquisizione iniziale del Ticket-Granting Ticket (TGT).
Accesso Offline: Gli Utenti Protetti non avranno un verificatore memorizzato nella cache creato al momento dell'accesso o dello sblocco, il che significa che l'accesso offline non è supportato per questi account.
Queste protezioni vengono attivate nel momento in cui un utente, che è membro del gruppo Utenti Protetti, accede al dispositivo. Questo garantisce che misure di sicurezza critiche siano in atto per proteggere contro vari metodi di compromissione delle credenziali.
Per informazioni più dettagliate, consultare la documentazione ufficiale.
Tabella da la documentazione.
Windows Server 2003 RTM | Windows Server 2003 SP1+ | Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 | Windows Server 2016 |
Account Operators | Account Operators | Account Operators | Account Operators |
Administrator | Administrator | Administrator | Administrator |
Administrators | Administrators | Administrators | Administrators |
Backup Operators | Backup Operators | Backup Operators | Backup Operators |
Cert Publishers | |||
Domain Admins | Domain Admins | Domain Admins | Domain Admins |
Domain Controllers | Domain Controllers | Domain Controllers | Domain Controllers |
Enterprise Admins | Enterprise Admins | Enterprise Admins | Enterprise Admins |
Enterprise Key Admins | |||
Key Admins | |||
Krbtgt | Krbtgt | Krbtgt | Krbtgt |
Print Operators | Print Operators | Print Operators | Print Operators |
Read-only Domain Controllers | Read-only Domain Controllers | ||
Replicator | Replicator | Replicator | Replicator |
Schema Admins | Schema Admins | Schema Admins | Schema Admins |
Server Operators | Server Operators | Server Operators | Server Operators |
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)