Windows Credentials Protections

Credentials Protections

WDigest

Протокол WDigest, представлений з Windows XP, призначений для аутентифікації через HTTP-протокол і включений за замовчуванням у Windows XP до Windows 8.0 та Windows Server 2003 до Windows Server 2012. Це налаштування за замовчуванням призводить до зберігання паролів у відкритому тексті в LSASS (Служба підсистеми локальної безпеки). Зловмисник може використовувати Mimikatz для витягнення цих облікових даних, виконавши:

sekurlsa::wdigest

Щоб вимкнути або увімкнути цю функцію, реєстрові ключі UseLogonCredential та Negotiate в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest повинні бути встановлені на "1". Якщо ці ключі відсутні або встановлені на "0", WDigest є вимкненим:

reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential

LSA Protection

Починаючи з Windows 8.1, Microsoft покращила безпеку LSA, щоб блокувати несанкціоновані зчитування пам'яті або ін'єкції коду ненадійними процесами. Це покращення заважає типовій роботі команд, таких як mimikatz.exe sekurlsa:logonpasswords. Щоб увімкнути це покращене захист, значення RunAsPPL в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA слід налаштувати на 1:

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL

Bypass

Можливо обійти цю захист за допомогою драйвера Mimikatz mimidrv.sys:

Credential Guard

Credential Guard, функція, що є ексклюзивною для Windows 10 (Enterprise та Education editions), підвищує безпеку облікових даних машини за допомогою Virtual Secure Mode (VSM) та Virtualization Based Security (VBS). Вона використовує розширення віртуалізації процесора для ізоляції ключових процесів у захищеному просторі пам'яті, подалі від основної операційної системи. Ця ізоляція забезпечує, що навіть ядро не може отримати доступ до пам'яті в VSM, ефективно захищаючи облікові дані від атак, таких як pass-the-hash. Local Security Authority (LSA) працює в цьому захищеному середовищі як trustlet, тоді як процес LSASS в основній ОС виконує лише роль комунікатора з LSA VSM.

За замовчуванням Credential Guard не активний і вимагає ручної активації в організації. Це критично важливо для підвищення безпеки проти інструментів, таких як Mimikatz, які обмежені у своїй здатності витягувати облікові дані. Однак вразливості все ще можуть бути використані через додавання користувацьких Security Support Providers (SSP) для захоплення облікових даних у відкритому тексті під час спроб входу.

Щоб перевірити статус активації Credential Guard, можна перевірити реєстровий ключ LsaCfgFlags під HKLM\System\CurrentControlSet\Control\LSA. Значення "1" вказує на активацію з UEFI lock, "2" без замка, а "0" позначає, що він не активований. Ця перевірка реєстру, хоча і є сильним показником, не є єдиним кроком для активації Credential Guard. Докладні вказівки та скрипт PowerShell для активації цієї функції доступні онлайн.

reg query HKLM\System\CurrentControlSet\Control\LSA /v LsaCfgFlags

Для всебічного розуміння та інструкцій щодо активації Credential Guard у Windows 10 та його автоматичної активації в сумісних системах Windows 11 Enterprise та Education (версія 22H2), відвідайте документацію Microsoft.

Додаткові деталі щодо впровадження користувацьких SSP для захоплення облікових даних наведені в цьому посібнику.

Режим обмеженого адміністратора RDP

Windows 8.1 та Windows Server 2012 R2 представили кілька нових функцій безпеки, включаючи Режим обмеженого адміністратора для RDP. Цей режим був розроблений для підвищення безпеки шляхом зменшення ризиків, пов'язаних з pass the hash атаками.

Традиційно, підключаючись до віддаленого комп'ютера через RDP, ваші облікові дані зберігаються на цільовій машині. Це становить значний ризик для безпеки, особливо при використанні облікових записів з підвищеними привілеями. Однак, з впровадженням Режиму обмеженого адміністратора, цей ризик суттєво зменшується.

При ініціюванні з'єднання RDP за допомогою команди mstsc.exe /RestrictedAdmin, автентифікація на віддаленому комп'ютері виконується без зберігання ваших облікових даних на ньому. Цей підхід забезпечує, що в разі зараження шкідливим ПЗ або якщо зловмисник отримує доступ до віддаленого сервера, ваші облікові дані не будуть скомпрометовані, оскільки вони не зберігаються на сервері.

Важливо зазначити, що в Режимі обмеженого адміністратора спроби доступу до мережевих ресурсів з RDP-сесії не використовуватимуть ваші особисті облікові дані; натомість використовується ідентичність машини.

Ця функція є значним кроком вперед у забезпеченні безпеки підключень до віддаленого робочого столу та захисті чутливої інформації від витоку у разі порушення безпеки.

Для отримання більш детальної інформації відвідайте цей ресурс.

Кешовані облікові дані

Windows захищає облікові дані домену через Local Security Authority (LSA), підтримуючи процеси входу з безпековими протоколами, такими як Kerberos та NTLM. Ключовою особливістю Windows є її здатність кешувати останні десять входів до домену, щоб забезпечити доступ користувачів до своїх комп'ютерів, навіть якщо доменний контролер офлайн—це перевага для користувачів ноутбуків, які часто перебувають поза мережею своєї компанії.

Кількість кешованих входів можна налаштувати за допомогою конкретного реєстраційного ключа або групової політики. Щоб переглянути або змінити цю настройку, використовується наступна команда:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT

Доступ до цих кешованих облікових даних суворо контролюється, і лише обліковий запис SYSTEM має необхідні дозволи для їх перегляду. Адміністраторам, які потребують доступу до цієї інформації, потрібно робити це з привілеями користувача SYSTEM. Облікові дані зберігаються за адресою: HKEY_LOCAL_MACHINE\SECURITY\Cache

Mimikatz може бути використаний для витягнення цих кешованих облікових даних за допомогою команди lsadump::cache.

Для отримання додаткової інформації оригінальне джерело надає всебічну інформацію.

Захищені користувачі

Членство в групі Захищені користувачі вводить кілька покращень безпеки для користувачів, забезпечуючи вищі рівні захисту від крадіжки та зловживання обліковими даними:

• Делегування облікових даних (CredSSP): Навіть якщо налаштування групової політики для Дозволити делегування стандартних облікових даних увімкнено, облікові дані у відкритому тексті Захищених користувачів не будуть кешуватися.

• Windows Digest: Починаючи з Windows 8.1 та Windows Server 2012 R2, система не буде кешувати облікові дані у відкритому тексті Захищених користувачів, незалежно від статусу Windows Digest.

• NTLM: Система не буде кешувати облікові дані у відкритому тексті Захищених користувачів або односторонні функції NT (NTOWF).

• Kerberos: Для Захищених користувачів аутентифікація Kerberos не буде генерувати DES або RC4 ключі, а також не буде кешувати облікові дані у відкритому тексті або довгострокові ключі після початкового отримання квитка на доступ (TGT).

• Офлайн вхід: Для Захищених користувачів не буде створено кешований перевірник під час входу або розблокування, що означає, що офлайн вхід не підтримується для цих облікових записів.

Ці заходи захисту активуються в момент, коли користувач, який є членом групи Захищені користувачі, входить на пристрій. Це забезпечує наявність критичних заходів безпеки для захисту від різних методів компрометації облікових даних.

Для отримання більш детальної інформації зверніться до офіційної документації.

Таблиця з документів.