Windows Credentials Protections
Credentials Protections
WDigest
WDigest प्रोटोकॉल, जो Windows XP के साथ पेश किया गया था, HTTP प्रोटोकॉल के माध्यम से प्रमाणीकरण के लिए डिज़ाइन किया गया है और विंडोज XP से विंडोज 8.0 और विंडोज सर्वर 2003 से विंडोज सर्वर 2012 तक डिफ़ॉल्ट रूप से सक्षम है। इस डिफ़ॉल्ट सेटिंग के परिणामस्वरूप LSASS में प्लेन-टेक्स्ट पासवर्ड स्टोरेज होती है। हमलावर Mimikatz का उपयोग करके इन क्रेडेंशियल्स को निकाल सकता है जो निम्नलिखित को निष्पादित करके:
इस सुविधा को बंद या चालू करने के लिए, UseLogonCredential और Negotiate रजिस्ट्री कुंजी जो HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest में हैं, को "1" पर सेट किया जाना चाहिए। यदि ये कुंजी अनुपस्थित हैं या "0" पर सेट हैं, तो WDigest अक्षम हो जाता है:
LSA सुरक्षा
Windows 8.1 से शुरू करके, Microsoft ने LSA की सुरक्षा को अविश्वसनीय प्रक्रियाओं द्वारा अनधिकृत मेमोरी पठन या कोड इंजेक्शन को ब्लॉक करने में सुरक्षा को मजबूत किया। यह एन्हांसमेंट mimikatz.exe sekurlsa:logonpasswords
जैसे कमांड्स के सामान्य कार्य को बाधित करता है। इस एन्हांस्ड सुरक्षा को सक्षम करने के लिए, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA में RunAsPPL मान को 1 पर समायोजित किया जाना चाहिए:
बायपास
इस सुरक्षा को बायपास करना संभव है जिसके लिए Mimikatz ड्राइवर mimidrv.sys का उपयोग किया जा सकता है:
क्रेडेंशियल गार्ड
क्रेडेंशियल गार्ड, एक विशेषता जो केवल Windows 10 (एंटरप्राइज और एजुकेशन संस्करण) के लिए है, वर्चुअल सुरक्षित मोड (VSM) और वर्चुअलाइजेशन बेस्ड सिक्योरिटी (VBS) का उपयोग करके मशीन क्रेडेंशियल की सुरक्षा को बढ़ाता है। यह CPU वर्चुअलाइजेशन एक्सटेंशन का उपयोग करता है ताकि मुख्य ऑपरेटिंग सिस्टम की पहुंच से दूर, सुरक्षित मेमोरी स्पेस के भीतर कुंजीय प्रक्रियाओं को अलग कर सके। यह अलगाव सुनिश्चित करता है कि कर्नेल भी VSM मेमोरी तक पहुंच नहीं पा सकता, जिससे पास-द-हैश जैसे हमलों से क्रेडेंशियल सुरक्षित रहते हैं। लोकल सुरक्षा प्राधिकरण (LSA) इस सुरक्षित वातावरण में एक ट्रस्टलेट के रूप में काम करता है, जबकि मुख्य ऑपरेटिंग सिस्टम के LSASS प्रक्रिया केवल VSM के LSA के साथ संवादक के रूप में काम करती है।
डिफ़ॉल्ट रूप से, क्रेडेंशियल गार्ड सक्रिय नहीं है और संगठन के भीतर मैन्युअल सक्रियण की आवश्यकता होती है। यह Mimikatz जैसे उपकरणों के खिलाफ सुरक्षा को बढ़ाने के लिए महत्वपूर्ण है, जो क्रेडेंशियल निकालने की क्षमता में बाधित होते हैं। हालांकि, कस्टम सुरक्षा समर्थन प्रदाता (SSP) को जोड़कर क्रेडेंशियल को स्पष्ट पाठ में पकड़ने के लिए विकल्पों का उपयोग किया जा सकता है।
क्रेडेंशियल गार्ड के सक्रियण स्थिति की सत्यापन के लिए, रजिस्ट्री कुंजी HKLM\System\CurrentControlSet\Control\LSA के तहत LsaCfgFlags को जांचा जा सकता है। "1" मूल्य UEFI लॉक के साथ सक्रियण को दर्शाता है, "2" लॉक के बिना, और "0" यह सक्रिय नहीं है। यह रजिस्ट्री जांच, जो एक मजबूत संकेतक है, क्रेडेंशियल गार्ड को सक्रिय करने के लिए एकमात्र कदम नहीं है। इस सुविधा को सक्रिय करने के लिए विस्तृत मार्गदर्शन और एक PowerShell स्क्रिप्ट ऑनलाइन उपलब्ध हैं।
विस्तृत समझ और निर्देशों के लिए Windows 10 में Credential Guard को सक्षम करने और Windows 11 Enterprise और Education (संस्करण 22H2) के संगत सिस्टम में स्वचालित करने के लिए Microsoft की दस्तावेज़ी पर जाएं।
Credential कैप्चर के लिए कस्टम SSPs को लागू करने के विवरण इस गाइड में उपलब्ध है।
RDP RestrictedAdmin Mode
Windows 8.1 और Windows Server 2012 R2 ने कई नए सुरक्षा सुविधाएँ पेश की, जिसमें से एक है RDP के लिए Restricted Admin mode। यह मोड पास द हैश हमलों से जुड़ी जोखिमों को कम करके सुरक्षा को बढ़ाने के लिए डिज़ाइन किया गया था।
पारंपरिक रूप से, RDP के माध्यम से दूरस्थ कंप्यूटर से कनेक्ट करते समय आपके credentials लक्षित मशीन पर स्टोर किए जाते हैं। यह खासतौर पर उच्च विशेषाधिकारों वाले खातों का उपयोग करते समय एक महत्वपूर्ण सुरक्षा जोखिम पैदा करता है। हालांकि, Restricted Admin mode के प्रस्तावना के साथ, यह जोखिम काफी कम हो जाता है।
Restricted Admin mode का उपयोग करके RDP कनेक्शन प्रारंभ करते समय, आपके credentials को स्टोर किए बिना ही दूरस्थ कंप्यूटर पर प्रमाणीकरण किया जाता है। यह दृष्टिकोण सुनिश्चित करता है कि, यदि किसी मैलवेयर संक्रमण का सामना होता है या यदि कोई दुर्भाग्यपूर्ण उपयोगकर्ता दूरस्थ सर्वर तक पहुंच जाता है, तो आपके credentials को कंप्रमाइज़ नहीं किया जाता है, क्योंकि वे सर्वर पर स्टोर नहीं होते हैं।
यह महत्वपूर्ण है कि Restricted Admin mode में, RDP सत्र से नेटवर्क संसाधनों तक पहुंचने की कोशिशें आपके व्यक्तिगत credentials का उपयोग नहीं करेंगी; इसके बजाय, मशीन की पहचान का उपयोग किया जाएगा।
यह सुविधा दूरस्थ डेस्कटॉप कनेक्शन को सुरक्षित करने और सुरक्षा उल्लंघन के मामले में संवेदनशील जानकारी को सुरक्षित करने में एक महत्वपूर्ण कदम की ओर गति कराती है।
अधिक विस्तृत जानकारी के लिए इस स्रोत पर जाएं।
Cached Credentials
Windows domain credentials को Local Security Authority (LSA) के माध्यम से सुरक्षित करता है, Kerberos और NTLM जैसे सुरक्षा प्रोटोकॉल के साथ लॉगऑन प्रक्रियाओं का समर्थन करता है। Windows की एक मुख्य विशेषता है कि यह पिछले दस डोमेन लॉगिन को कैश करने की क्षमता है ताकि उपयोगकर्ता अपने कंप्यूटर तक पहुंच सकें भले ही डोमेन कंट्रोलर ऑफलाइन हो। यह उन लैपटॉप उपयोगकर्ताओं के लिए एक वरदान है जो अक्सर अपनी कंपनी के नेटवर्क से दूर रहते हैं।
कैश किए गए लॉगिन की संख्या एक विशिष्ट रजिस्ट्री कुंजी या समूह नीति के माध्यम से समायोज्य है। इस सेटिंग को देखने या बदलने के लिए निम्नलिखित कमांड का उपयोग किया जाता है:
इन कैश किए गए क्रेडेंशियल्स तक पहुंच को मजबूती से नियंत्रित किया गया है, केवल SYSTEM खाते को इन्हें देखने के लिए आवश्यक अनुमतियाँ हैं। इस जानकारी तक पहुंचने की आवश्यकता होने पर प्रबंधकों को SYSTEM उपयोगकर्ता विशेषाधिकारों के साथ इसे देखना होगा। क्रेडेंशियल्स स्टोर किए गए हैं: HKEY_LOCAL_MACHINE\SECURITY\Cache
Mimikatz का उपयोग कमांड lsadump::cache
का उपयोग करके इन कैश किए गए क्रेडेंशियल्स को निकालने के लिए किया जा सकता है।
अधिक जानकारी के लिए, मूल स्रोत व्यापक जानकारी प्रदान करता है।
सुरक्षित उपयोगकर्ता
सुरक्षित उपयोगकर्ता समूह में सदस्यता कई सुरक्षा उन्नतियों को पेश करती है, उपयोगकर्ताओं के खाते की चोरी और दुरुपयोग के खिलाफ उच्च स्तर की सुरक्षा सुनिश्चित करती है:
क्रेडेंशियल डेलीगेशन (CredSSP): यदि डिफ़ॉल्ट क्रेडेंशियल डेलीगेशन की अनुमति देने वाली समूह नीति सेटिंग सक्षम है, तो सुरक्षित उपयोगकर्ताओं के सादर क्रेडेंशियल कैश नहीं किए जाएंगे।
Windows Digest: Windows 8.1 और Windows Server 2012 R2 से शुरू करके, सिस्टम सुरक्षित उपयोगकर्ताओं के सादर क्रेडेंशियल कैश नहीं करेगा, चाहे Windows Digest स्थिति हो या न हो।
NTLM: सिस्टम सुरक्षित उपयोगकर्ताओं के सादर क्रेडेंशियल या NT एक-तरफ़ा कार्यों (NTOWF) कैश नहीं करेगा।
Kerberos: सुरक्षित उपयोगकर्ताओं के लिए, Kerberos प्रमाणीकरण DES या RC4 कुंजियाँ नहीं उत्पन्न करेगा, न ही सादर क्रेडेंशियल या दीर्घकालिक कुंजियाँ प्रारंभिक टिकट प्रदान टिकट (TGT) प्राप्ति से आगे कैश करेगा।
ऑफ़लाइन साइन-इन: सुरक्षित उपयोगकर्ताओं के लिए साइन-इन या अनलॉक पर एक कैश निर्माता नहीं बनाया जाएगा, जिसका मतलब है कि इन खातों के लिए ऑफ़लाइन साइन-इन का समर्थन नहीं है।
ये सुरक्षा सुरक्षा उपायों को सक्रिय कर देते हैं जिसका अर्थ है कि जब एक उपयोगकर्ता, जो सुरक्षित उपयोगकर्ता समूह का सदस्य है, उपकरण में साइन इन करता है, तो यह सुनिश्चित करता है कि विभिन्न क्रेडेंशियल कंप्रमाइज के विभिन्न तरीकों के खिलाफ सुरक्षा उपाय स्थापित हैं।
अधिक विस्तृत जानकारी के लिए, आधिकारिक दस्तावेज़ पर सलाह लें।
Last updated