Windows Credentials Protections
Kinga za Kibali
WDigest
Itifaki ya WDigest, iliyoanzishwa na Windows XP, imeundwa kwa ajili ya uthibitisho kupitia Itifaki ya HTTP na imezimwa kwa chaguo-msingi kwenye Windows XP hadi Windows 8.0 na Windows Server 2003 hadi Windows Server 2012. Mipangilio ya msingi kama hii husababisha uhifadhi wa nywila za maandishi wazi kwenye LSASS (Local Security Authority Subsystem Service). Mshambuliaji anaweza kutumia Mimikatz kuchimba kibali hizi kwa kutekeleza:
Ili kuamsha au kulemaza kipengele hiki, funguo za usajili za UseLogonCredential na Negotiate ndani ya HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest lazima ziwekwe kuwa "1". Ikiwa funguo hizi ziko hazipo au zimewekwa kuwa "0", WDigest imelemazwa:
Ulindaji wa LSA
Kuanzia Windows 8.1, Microsoft iliimarisha usalama wa LSA ili kuzuia kusoma kwa kumbukumbu au uingizaji wa nambari usiohalali na michakato isiyosadikika. Kuboresha hii inazuia utendaji wa kawaida wa amri kama vile mimikatz.exe sekurlsa:logonpasswords. Ili kuwezesha ulinzi ulioimarishwa huu, thamani ya RunAsPPL katika HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA inapaswa kurekebishwa kuwa 1:
Kupita
Inawezekana kukiuka ulinzi huu kwa kutumia dereva wa Mimikatz mimidrv.sys:
Mlinzi wa Anwani
Mlinzi wa Anwani, kipengele pekee kwa Windows 10 (toleo la Enterprise na la Elimu), huzidisha usalama wa anwani za mashine kwa kutumia Hali Salama ya Kivitual (VSM) na Usalama Uliotokana na Kivitualizesheni (VBS). Inatumia nyongeza za kivitualizesheni za CPU kwa kufunga michakato muhimu ndani ya nafasi salama ya kumbukumbu, mbali na kufikia kwa mfumo wa uendeshaji wa kuu. Kufungwa huku kunahakikisha hata kernel haiwezi kufikia kumbukumbu katika VSM, ikilinda anwani za mashine kutokana na mashambulizi kama vile pita-neno-la-hash. Mamlaka ya Usalama wa Ndani (LSA) inafanya kazi ndani ya mazingira haya salama kama trustlet, wakati mchakato wa LSASS katika mfumo wa uendeshaji wa kuu unafanya kazi kama mawasiliano tu na LSA ya VSM.
Kwa chaguo-msingi, Mlinzi wa Anwani haujaamilishwa na inahitaji kuamilishwa kwa mikono ndani ya shirika. Ni muhimu kwa kuzidisha usalama dhidi ya zana kama Mimikatz, ambazo zinakwamishwa katika uwezo wao wa kutoa anwani za mashine. Hata hivyo, udhaifu unaweza bado kutumiwa kupitia kuongeza Watoa Msaada wa Usalama (SSP) za kibinafsi ili kukamata anwani za mashine kwa maandishi wazi wakati wa jaribio la kuingia.
Ili kuthibitisha hali ya uamilishaji wa Mlinzi wa Anwani, funguo ya usajili LsaCfgFlags chini ya HKLM\System\CurrentControlSet\Control\LSA inaweza kukaguliwa. Thamani ya "1" inaonyesha uamilishaji na ufunguo wa UEFI, "2" bila funguo, na "0" inaonyesha kuwa haijaamilishwa. Ukaguzi huu wa usajili, ingawa ni ishara imara, si hatua pekee ya kuamilisha Mlinzi wa Anwani. Miongozo kamili na script ya PowerShell kwa kuamilisha kipengele hiki zinapatikana mtandaoni.
Kwa uelewa kamili na maagizo ya kuwezesha Guard ya Sifa kwenye Windows 10 na uanzishaji wake wa moja kwa moja kwenye mifumo inayoweza kufanya kazi ya Windows 11 Enterprise na Education (toleo 22H2), tembelea hati ya Microsoft.
Maelezo zaidi kuhusu utekelezaji wa SSPs za desturi kwa ajili ya kukamata sifa zinapatikana katika mwongozo huu.
Hali ya RDP ya RestrictedAdmin
Windows 8.1 na Windows Server 2012 R2 iliingiza vipengele vingi vipya vya usalama, ikiwa ni pamoja na Hali ya Msimamizi iliyozuiwa kwa RDP. Hali hii ililenga kuboresha usalama kwa kupunguza hatari zinazohusiana na mashambulizi ya pita hash.
Kawaida, unapojiunganisha kwenye kompyuta ya mbali kupitia RDP, sifa zako huhifadhiwa kwenye kompyuta ya lengo. Hii inaleta hatari kubwa ya usalama, hasa unapotumia akaunti zenye mamlaka ya juu. Hata hivyo, kwa kuanzishwa kwa Hali ya Msimamizi iliyozuiwa, hatari hii inapunguzwa sana.
Unapozindua uhusiano wa RDP kwa kutumia amri mstsc.exe /RestrictedAdmin, uthibitisho kwa kompyuta ya mbali hufanyika bila kuhifadhi sifa zako kwenye kompyuta hiyo. Hatua hii inahakikisha kwamba, katika tukio la maambukizi ya zisizo au ikiwa mtumiaji mhalifu anapata ufikiaji kwenye seva ya mbali, sifa zako hazitatishiwi, kwani hazihifadhiwi kwenye seva.
Ni muhimu kutambua kwamba katika Hali ya Msimamizi iliyozuiwa, jaribio la kupata rasilimali za mtandao kutoka kwenye kikao cha RDP halitatumia sifa zako binafsi; badala yake, kitambulisho cha mashine hutumiwa.
Kipengele hiki kinaashiria hatua kubwa mbele katika kusimamia uhusiano wa desktop za mbali na kulinda habari nyeti isifichuliwe katika kesi ya uvunjaji wa usalama.
Kwa maelezo zaidi tembelea rasilimali hii.
Sifa Zilizohifadhiwa
Windows inalinda sifa za uwanja kupitia Mamlaka ya Usalama wa Ndani (LSA), ikisaidia mchakato wa kuingia kwa itifaki za usalama kama Kerberos na NTLM. Kipengele muhimu cha Windows ni uwezo wake wa kuhifadhi kuingia kwa uwanja kumi uliopita ili kuhakikisha watumiaji wanaweza bado kupata kompyuta zao hata kama mudhibiti wa uwanja yuko nje ya mtandao - faida kwa watumiaji wa kompyuta za mkononi mara nyingi mbali na mtandao wa kampuni yao.
Idadi ya kuingia zilizohifadhiwa inaweza kubadilishwa kupitia funguo maalum za usajili au sera ya kikundi. Ili kuona au kubadilisha mipangilio hii, amri ifuatayo hutumiwa:
Upatikanaji wa siri za siri hizi umedhibitiwa kwa karibu, na akaunti ya SYSTEM pekee ina ruhusa muhimu ya kuziona. Waendeshaji wanaohitaji kupata habari hii lazima wafanye hivyo kwa ruhusa za mtumiaji wa SYSTEM. Siri hizi zimehifadhiwa kwenye: HKEY_LOCAL_MACHINE\SECURITY\Cache
Mimikatz inaweza kutumika kuchimbua siri za siri hizi zilizohifadhiwa kwa kutumia amri lsadump::cache.
Kwa maelezo zaidi, chanzo cha asili kinatoa habari kamili.
Watumiaji Waliohifadhiwa
Uanachama katika kikundi cha Watumiaji Waliohifadhiwa unaweka nyongeza kadhaa za usalama kwa watumiaji, ikihakikisha viwango vya juu vya ulinzi dhidi ya wizi na matumizi mabaya ya siri:
Utekelezaji wa Siri (CredSSP): Hata kama mipangilio ya Sera ya Kikundi kwa Kuruhusu kutekeleza siri za msingi imeanzishwa, siri za maandishi wazi za Watumiaji Waliohifadhiwa hazitahifadhiwa.
Windows Digest: Kuanzia Windows 8.1 na Windows Server 2012 R2, mfumo hautahifadhi siri za maandishi wazi za Watumiaji Waliohifadhiwa, bila kujali hali ya Windows Digest.
NTLM: Mfumo hautahifadhi siri za maandishi wazi za Watumiaji Waliohifadhiwa au kazi za NT one-way (NTOWF).
Kerberos: Kwa Watumiaji Waliohifadhiwa, uthibitisho wa Kerberos hautazalisha funguo za DES au RC4, wala hautahifadhi siri za maandishi wazi au funguo za muda mrefu zaidi ya kupata Tiketi ya Kutoa Tiketi ya Kuingia (TGT) ya awali.
Ingia Nje ya Mtandao: Watumiaji Waliohifadhiwa hawatapata uthibitishaji uliohifadhiwa ulioanzishwa wakati wa kuingia au kufungua, maana ingia nje ya mtandao haiungi mkono akaunti hizi.
Kinga hizi zinaanzishwa mara tu mtumiaji, ambaye ni mwanachama wa kikundi cha Watumiaji Waliohifadhiwa, anapoingia kwenye kifaa. Hii inahakikisha kuwa hatua muhimu za usalama zimewekwa kulinda dhidi ya njia mbalimbali za kudhoofisha siri.
Kwa maelezo zaidi, tafadhali angalia nyaraka rasmi.
Jedwali kutoka nyaraka.
Windows Server 2003 RTM | Windows Server 2003 SP1+ | Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 | Windows Server 2016 |
Account Operators | Account Operators | Account Operators | Account Operators |
Administrator | Administrator | Administrator | Administrator |
Administrators | Administrators | Administrators | Administrators |
Backup Operators | Backup Operators | Backup Operators | Backup Operators |
Cert Publishers | |||
Domain Admins | Domain Admins | Domain Admins | Domain Admins |
Domain Controllers | Domain Controllers | Domain Controllers | Domain Controllers |
Enterprise Admins | Enterprise Admins | Enterprise Admins | Enterprise Admins |
Enterprise Key Admins | |||
Key Admins | |||
Krbtgt | Krbtgt | Krbtgt | Krbtgt |
Print Operators | Print Operators | Print Operators | Print Operators |
Read-only Domain Controllers | Read-only Domain Controllers | ||
Replicator | Replicator | Replicator | Replicator |
Schema Admins | Schema Admins | Schema Admins | Schema Admins |
Server Operators | Server Operators | Server Operators | Server Operators |
Last updated
