Windows Credentials Protections

Credentials Protections

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

दूसरे तरीके HackTricks का समर्थन करने के लिए:

अगर आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
हमारे विशेष NFTs संग्रह The PEASS Family खोजें
शामिल हों 💬 Discord समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @carlospolopm पर फॉलो करें।
अपने हैकिंग ट्रिक्स साझा करें HackTricks और HackTricks Cloud github repos को PRs जमा करके।

WDigest

WDigest प्रोटोकॉल, जो Windows XP के साथ पेश किया गया था, HTTP प्रोटोकॉल के माध्यम से प्रमाणीकरण के लिए डिज़ाइन किया गया है और विंडोज XP से विंडोज 8.0 और विंडोज सर्वर 2003 से विंडोज सर्वर 2012 तक डिफ़ॉल्ट रूप से सक्षम है। इस डिफ़ॉल्ट सेटिंग के परिणामस्वरूप LSASS में प्लेन-टेक्स्ट पासवर्ड स्टोरेज होती है। हमलावर Mimikatz का उपयोग करके इन क्रेडेंशियल्स को निकाल सकता है जो निम्नलिखित को निष्पादित करके:

sekurlsa::wdigest

इस सुविधा को बंद या चालू करने के लिए, UseLogonCredential और Negotiate रजिस्ट्री कुंजी जो HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest में हैं, को "1" पर सेट किया जाना चाहिए। यदि ये कुंजी अनुपस्थित हैं या "0" पर सेट हैं, तो WDigest अक्षम हो जाता है:

reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential

LSA सुरक्षा

Windows 8.1 से शुरू करके, Microsoft ने LSA की सुरक्षा को अविश्वसनीय प्रक्रियाओं द्वारा अनधिकृत मेमोरी पठन या कोड इंजेक्शन को ब्लॉक करने में सुरक्षा को मजबूत किया। यह एन्हांसमेंट mimikatz.exe sekurlsa:logonpasswords जैसे कमांड्स के सामान्य कार्य को बाधित करता है। इस एन्हांस्ड सुरक्षा को सक्षम करने के लिए, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA में RunAsPPL मान को 1 पर समायोजित किया जाना चाहिए:

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL

बायपास

इस सुरक्षा को बायपास करना संभव है जिसके लिए Mimikatz ड्राइवर mimidrv.sys का उपयोग किया जा सकता है:

क्रेडेंशियल गार्ड

क्रेडेंशियल गार्ड, एक विशेषता जो केवल Windows 10 (एंटरप्राइज और एजुकेशन संस्करण) के लिए है, वर्चुअल सुरक्षित मोड (VSM) और वर्चुअलाइजेशन बेस्ड सिक्योरिटी (VBS) का उपयोग करके मशीन क्रेडेंशियल की सुरक्षा को बढ़ाता है। यह CPU वर्चुअलाइजेशन एक्सटेंशन का उपयोग करता है ताकि मुख्य ऑपरेटिंग सिस्टम की पहुंच से दूर, सुरक्षित मेमोरी स्पेस के भीतर कुंजीय प्रक्रियाओं को अलग कर सके। यह अलगाव सुनिश्चित करता है कि कर्नेल भी VSM मेमोरी तक पहुंच नहीं पा सकता, जिससे पास-द-हैश जैसे हमलों से क्रेडेंशियल सुरक्षित रहते हैं। लोकल सुरक्षा प्राधिकरण (LSA) इस सुरक्षित वातावरण में एक ट्रस्टलेट के रूप में काम करता है, जबकि मुख्य ऑपरेटिंग सिस्टम के LSASS प्रक्रिया केवल VSM के LSA के साथ संवादक के रूप में काम करती है।

डिफ़ॉल्ट रूप से, क्रेडेंशियल गार्ड सक्रिय नहीं है और संगठन के भीतर मैन्युअल सक्रियण की आवश्यकता होती है। यह Mimikatz जैसे उपकरणों के खिलाफ सुरक्षा को बढ़ाने के लिए महत्वपूर्ण है, जो क्रेडेंशियल निकालने की क्षमता में बाधित होते हैं। हालांकि, कस्टम सुरक्षा समर्थन प्रदाता (SSP) को जोड़कर क्रेडेंशियल को स्पष्ट पाठ में पकड़ने के लिए विकल्पों का उपयोग किया जा सकता है।

क्रेडेंशियल गार्ड के सक्रियण स्थिति की सत्यापन के लिए, रजिस्ट्री कुंजी HKLM\System\CurrentControlSet\Control\LSA के तहत LsaCfgFlags को जांचा जा सकता है। "1" मूल्य UEFI लॉक के साथ सक्रियण को दर्शाता है, "2" लॉक के बिना, और "0" यह सक्रिय नहीं है। यह रजिस्ट्री जांच, जो एक मजबूत संकेतक है, क्रेडेंशियल गार्ड को सक्रिय करने के लिए एकमात्र कदम नहीं है। इस सुविधा को सक्रिय करने के लिए विस्तृत मार्गदर्शन और एक PowerShell स्क्रिप्ट ऑनलाइन उपलब्ध हैं।

reg query HKLM\System\CurrentControlSet\Control\LSA /v LsaCfgFlags

विस्तृत समझ और निर्देशों के लिए Windows 10 में Credential Guard को सक्षम करने और Windows 11 Enterprise और Education (संस्करण 22H2) के संगत सिस्टम में स्वचालित करने के लिए Microsoft की दस्तावेज़ी पर जाएं।

Credential कैप्चर के लिए कस्टम SSPs को लागू करने के विवरण इस गाइड में उपलब्ध है।

RDP RestrictedAdmin Mode

Windows 8.1 और Windows Server 2012 R2 ने कई नए सुरक्षा सुविधाएँ पेश की, जिसमें से एक है RDP के लिए Restricted Admin mode। यह मोड पास द हैश हमलों से जुड़ी जोखिमों को कम करके सुरक्षा को बढ़ाने के लिए डिज़ाइन किया गया था।

पारंपरिक रूप से, RDP के माध्यम से दूरस्थ कंप्यूटर से कनेक्ट करते समय आपके credentials लक्षित मशीन पर स्टोर किए जाते हैं। यह खासतौर पर उच्च विशेषाधिकारों वाले खातों का उपयोग करते समय एक महत्वपूर्ण सुरक्षा जोखिम पैदा करता है। हालांकि, Restricted Admin mode के प्रस्तावना के साथ, यह जोखिम काफी कम हो जाता है।

Restricted Admin mode का उपयोग करके RDP कनेक्शन प्रारंभ करते समय, आपके credentials को स्टोर किए बिना ही दूरस्थ कंप्यूटर पर प्रमाणीकरण किया जाता है। यह दृष्टिकोण सुनिश्चित करता है कि, यदि किसी मैलवेयर संक्रमण का सामना होता है या यदि कोई दुर्भाग्यपूर्ण उपयोगकर्ता दूरस्थ सर्वर तक पहुंच जाता है, तो आपके credentials को कंप्रमाइज़ नहीं किया जाता है, क्योंकि वे सर्वर पर स्टोर नहीं होते हैं।

यह महत्वपूर्ण है कि Restricted Admin mode में, RDP सत्र से नेटवर्क संसाधनों तक पहुंचने की कोशिशें आपके व्यक्तिगत credentials का उपयोग नहीं करेंगी; इसके बजाय, मशीन की पहचान का उपयोग किया जाएगा।

यह सुविधा दूरस्थ डेस्कटॉप कनेक्शन को सुरक्षित करने और सुरक्षा उल्लंघन के मामले में संवेदनशील जानकारी को सुरक्षित करने में एक महत्वपूर्ण कदम की ओर गति कराती है।

अधिक विस्तृत जानकारी के लिए इस स्रोत पर जाएं।

Cached Credentials

Windows domain credentials को Local Security Authority (LSA) के माध्यम से सुरक्षित करता है, Kerberos और NTLM जैसे सुरक्षा प्रोटोकॉल के साथ लॉगऑन प्रक्रियाओं का समर्थन करता है। Windows की एक मुख्य विशेषता है कि यह पिछले दस डोमेन लॉगिन को कैश करने की क्षमता है ताकि उपयोगकर्ता अपने कंप्यूटर तक पहुंच सकें भले ही डोमेन कंट्रोलर ऑफलाइन हो। यह उन लैपटॉप उपयोगकर्ताओं के लिए एक वरदान है जो अक्सर अपनी कंपनी के नेटवर्क से दूर रहते हैं।

कैश किए गए लॉगिन की संख्या एक विशिष्ट रजिस्ट्री कुंजी या समूह नीति के माध्यम से समायोज्य है। इस सेटिंग को देखने या बदलने के लिए निम्नलिखित कमांड का उपयोग किया जाता है:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT

इन कैश किए गए क्रेडेंशियल्स तक पहुंच को मजबूती से नियंत्रित किया गया है, केवल SYSTEM खाते को इन्हें देखने के लिए आवश्यक अनुमतियाँ हैं। इस जानकारी तक पहुंचने की आवश्यकता होने पर प्रबंधकों को SYSTEM उपयोगकर्ता विशेषाधिकारों के साथ इसे देखना होगा। क्रेडेंशियल्स स्टोर किए गए हैं: HKEY_LOCAL_MACHINE\SECURITY\Cache

Mimikatz का उपयोग कमांड lsadump::cache का उपयोग करके इन कैश किए गए क्रेडेंशियल्स को निकालने के लिए किया जा सकता है।

अधिक जानकारी के लिए, मूल स्रोत व्यापक जानकारी प्रदान करता है।

सुरक्षित उपयोगकर्ता

सुरक्षित उपयोगकर्ता समूह में सदस्यता कई सुरक्षा उन्नतियों को पेश करती है, उपयोगकर्ताओं के खाते की चोरी और दुरुपयोग के खिलाफ उच्च स्तर की सुरक्षा सुनिश्चित करती है:

क्रेडेंशियल डेलीगेशन (CredSSP): यदि डिफ़ॉल्ट क्रेडेंशियल डेलीगेशन की अनुमति देने वाली समूह नीति सेटिंग सक्षम है, तो सुरक्षित उपयोगकर्ताओं के सादर क्रेडेंशियल कैश नहीं किए जाएंगे।
Windows Digest: Windows 8.1 और Windows Server 2012 R2 से शुरू करके, सिस्टम सुरक्षित उपयोगकर्ताओं के सादर क्रेडेंशियल कैश नहीं करेगा, चाहे Windows Digest स्थिति हो या न हो।
NTLM: सिस्टम सुरक्षित उपयोगकर्ताओं के सादर क्रेडेंशियल या NT एक-तरफ़ा कार्यों (NTOWF) कैश नहीं करेगा।
Kerberos: सुरक्षित उपयोगकर्ताओं के लिए, Kerberos प्रमाणीकरण DES या RC4 कुंजियाँ नहीं उत्पन्न करेगा, न ही सादर क्रेडेंशियल या दीर्घकालिक कुंजियाँ प्रारंभिक टिकट प्रदान टिकट (TGT) प्राप्ति से आगे कैश करेगा।
ऑफ़लाइन साइन-इन: सुरक्षित उपयोगकर्ताओं के लिए साइन-इन या अनलॉक पर एक कैश निर्माता नहीं बनाया जाएगा, जिसका मतलब है कि इन खातों के लिए ऑफ़लाइन साइन-इन का समर्थन नहीं है।

ये सुरक्षा सुरक्षा उपायों को सक्रिय कर देते हैं जिसका अर्थ है कि जब एक उपयोगकर्ता, जो सुरक्षित उपयोगकर्ता समूह का सदस्य है, उपकरण में साइन इन करता है, तो यह सुनिश्चित करता है कि विभिन्न क्रेडेंशियल कंप्रमाइज के विभिन्न तरीकों के खिलाफ सुरक्षा उपाय स्थापित हैं।

अधिक विस्तृत जानकारी के लिए, आधिकारिक दस्तावेज़ पर सलाह लें।

PreviousStealing Windows Credentials NextMimikatz

Last updated 3 months ago