Windows Credentials Protections
Zaštita akreditacija
WDigest
Protokol WDigest, predstavljen sa Windows XP-om, dizajniran je za autentifikaciju putem HTTP protokola i podrazumevano je omogućen na Windows XP-u do Windows 8.0 i Windows Server 2003 do Windows Server 2012. Ovo podrazumevano podešavanje rezultira skladištenjem lozinki u tekstualnom formatu u LSASS-u (Local Security Authority Subsystem Service). Napadač može koristiti Mimikatz da izvuče ove akreditacije izvršavanjem:
Da biste uključili ili isključili ovu funkciju, registarski ključevi UseLogonCredential i Negotiate unutar HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest moraju biti postavljeni na "1". Ako ovi ključevi nedostaju ili su postavljeni na "0", WDigest je onemogućen:
Zaštita LSA
Počevši od Windows 8.1, Microsoft je poboljšao sigurnost LSA-e kako bi blokirao neovlašćeno čitanje memorije ili ubacivanje koda od nepoverenih procesa. Ovo poboljšanje ometa tipično funkcionisanje komandi poput mimikatz.exe sekurlsa:logonpasswords. Da biste omogućili ovu poboljšanu zaštitu, vrednost RunAsPPL u HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA treba podešena na 1:
Bypass
Moguće je zaobići ovu zaštitu korišćenjem Mimikatz drajvera mimidrv.sys:
Zaštita akreditiva
Zaštita akreditiva, funkcija ekskluzivna za Windows 10 (Enterprise i Education izdanja), poboljšava sigurnost mašinskih akreditiva korišćenjem Virtual Secure Mode (VSM) i Virtualization Based Security (VBS). Koristi proširenja za virtualizaciju CPU-a kako bi izolovala ključne procese unutar zaštićenog memorijskog prostora, daleko od dosega glavnog operativnog sistema. Ova izolacija osigurava da čak ni jezgro ne može pristupiti memoriji u VSM-u, efikasno štiteći akreditive od napada poput pass-the-hash. Local Security Authority (LSA) funkcioniše unutar ovog sigurnog okruženja kao trustlet, dok proces LSASS u glavnom OS-u deluje samo kao komunikator sa LSA-om VSM-a.
Po podrazumevanim podešavanjima, Zaštita akreditiva nije aktivna i zahteva ručno aktiviranje unutar organizacije. Ključno je za poboljšanje sigurnosti protiv alata poput Mimikatz, koji su ometeni u sposobnosti izvlačenja akreditiva. Međutim, ranjivosti i dalje mogu biti iskorišćene dodavanjem prilagođenih Security Support Providers (SSP) za hvatanje akreditiva u čistom tekstu tokom pokušaja prijavljivanja.
Za proveru statusa aktivacije Zaštite akreditiva, može se pregledati registarski ključ LsaCfgFlags pod HKLM\System\CurrentControlSet\Control\LSA. Vrednost "1" označava aktivaciju sa UEFI zaključavanjem, "2" bez zaključavanja, a "0" označava da nije omogućeno. Ova provera registra, iako snažan pokazatelj, nije jedini korak za omogućavanje Zaštite akreditiva. Detaljno uputstvo i PowerShell skripta za omogućavanje ove funkcije dostupni su na mreži.
Za sveobuhvatno razumevanje i uputstva o omogućavanju Credential Guard-a u Windows 10 i njegovoj automatskoj aktivaciji na kompatibilnim sistemima Windows 11 Enterprise i Education (verzija 22H2), posetite Microsoftovu dokumentaciju.
Dodatne detalje o implementaciji prilagođenih SSP-ova za hvatanje akreditiva pružene su u ovom vodiču.
RDP RestrictedAdmin režim
Windows 8.1 i Windows Server 2012 R2 su uveli nekoliko novih sigurnosnih funkcija, uključujući Restricted Admin režim za RDP. Ovaj režim je dizajniran da poboljša sigurnost smanjenjem rizika povezanih sa pass the hash napadima.
Tradiconalno, prilikom povezivanja sa udaljenim računarom putem RDP-a, vaše akreditacije se čuvaju na ciljnom računaru. Ovo predstavlja značajan sigurnosni rizik, posebno prilikom korišćenja naloga sa povišenim privilegijama. Međutim, sa uvođenjem Restricted Admin režima, ovaj rizik je značajno smanjen.
Prilikom pokretanja RDP veze korišćenjem komande mstsc.exe /RestrictedAdmin, autentikacija ka udaljenom računaru se vrši bez čuvanja vaših akreditacija na njemu. Ovaj pristup osigurava da, u slučaju infekcije malverom ili ako zlonamerni korisnik dobije pristup udaljenom serveru, vaše akreditacije nisu kompromitovane, jer nisu sačuvane na serveru.
Važno je napomenuti da u Restricted Admin režimu, pokušaji pristupa mrežnim resursima iz RDP sesije neće koristiti vaše lične akreditacije; umesto toga, koristi se identitet mašine.
Ova funkcija predstavlja značajan korak napred u obezbeđivanju sigurnosti veza sa udaljenim radnim površinama i zaštiti osetljivih informacija od izlaganja u slučaju sigurnosnog propusta.
Za detaljnije informacije posetite ovaj resurs.
Keširane akreditacije
Windows obezbeđuje domenske akreditacije putem Local Security Authority (LSA), podržavajući procese prijavljivanja sigurnosnim protokolima poput Kerberos i NTLM. Ključna karakteristika Windows-a je njegova sposobnost keširanja poslednjih deset domenskih prijava kako bi se osiguralo da korisnici i dalje mogu pristupiti svojim računarima čak i ako je kontroler domena offline—prednost za korisnike laptopova koji su često van mreže svoje kompanije.
Broj keširanih prijava se može podešavati putem određenog registarskog ključa ili grupe pravila. Za pregled ili promenu ovog podešavanja koristi se sledeća komanda:
Pristup ovim keširanim akreditacijama strogo je kontrolisan, pri čemu samo SYSTEM nalog ima neophodne dozvole da ih pregleda. Administratori koji trebaju pristupiti ovim informacijama moraju to učiniti sa privilegijama korisnika SYSTEM. Akreditacije se čuvaju na: HKEY_LOCAL_MACHINE\SECURITY\Cache
Mimikatz se može koristiti za izvlačenje ovih keširanih akreditacija korišćenjem komande lsadump::cache.
Za dalje detalje, originalni izvor pruža sveobuhvatne informacije.
Zaštićeni korisnici
Članstvo u Zaštićenim korisnicima grupi uvodi nekoliko bezbednosnih poboljšanja za korisnike, osiguravajući više nivoa zaštite od krađe i zloupotrebe akreditacija:
Delegiranje akreditacija (CredSSP): Čak i ako je postavka Grupe politika za Dozvoli delegiranje podrazumevanih akreditacija omogućena, tekstualne akreditacije Zaštićenih korisnika neće biti keširane.
Windows Digest: Počevši od Windows 8.1 i Windows Server 2012 R2, sistem neće keširati tekstualne akreditacije Zaštićenih korisnika, bez obzira na status Windows Digest-a.
NTLM: Sistem neće keširati tekstualne akreditacije ili NT jednosmjerne funkcije (NTOWF) Zaštićenih korisnika.
Kerberos: Za Zaštićene korisnike, Kerberos autentifikacija neće generisati DES ili RC4 ključeve, niti će keširati tekstualne akreditacije ili dugoročne ključeve izvan početnog dobijanja Ticket-Granting Ticket (TGT).
Offline prijava: Zaštićeni korisnici neće imati keširan verifikator kreiran prilikom prijave ili otključavanja, što znači da offline prijava nije podržana za ove naloge.
Ove zaštite se aktiviraju čim se korisnik, koji je član Zaštićenih korisnika grupe, prijavi na uređaj. Ovo osigurava da su kritične bezbednosne mere na snazi kako bi se zaštitili od različitih metoda kompromitovanja akreditacija.
Za detaljnije informacije, konsultujte zvaničnu dokumentaciju.
Tabela iz dokumenata.
Windows Server 2003 RTM | Windows Server 2003 SP1+ | Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 | Windows Server 2016 |
Account Operators | Account Operators | Account Operators | Account Operators |
Administrator | Administrator | Administrator | Administrator |
Administrators | Administrators | Administrators | Administrators |
Backup Operators | Backup Operators | Backup Operators | Backup Operators |
Cert Publishers | |||
Domain Admins | Domain Admins | Domain Admins | Domain Admins |
Domain Controllers | Domain Controllers | Domain Controllers | Domain Controllers |
Enterprise Admins | Enterprise Admins | Enterprise Admins | Enterprise Admins |
Enterprise Key Admins | |||
Key Admins | |||
Krbtgt | Krbtgt | Krbtgt | Krbtgt |
Print Operators | Print Operators | Print Operators | Print Operators |
Read-only Domain Controllers | Read-only Domain Controllers | ||
Replicator | Replicator | Replicator | Replicator |
Schema Admins | Schema Admins | Schema Admins | Schema Admins |
Server Operators | Server Operators | Server Operators | Server Operators |
Last updated
