Захист облікових даних

WDigest

Протокол WDigest, введений з Windows XP, призначений для аутентифікації через протокол HTTP і увімкнений за замовчуванням на Windows XP до Windows 8.0 та Windows Server 2003 до Windows Server 2012. Це налаштування за замовчуванням призводить до зберігання паролів у відкритому вигляді в LSASS (Local Security Authority Subsystem Service). Атакувач може використовувати Mimikatz для вилучення цих облікових даних, виконавши:

sekurlsa::wdigest

Для вимкнення або увімкнення цієї функції ключі реєстру UseLogonCredential та Negotiate в межах HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest повинні бути встановлені на "1". Якщо ці ключі відсутні або встановлені на "0", WDigest вимкнений:

reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential

Захист LSA

Починаючи з Windows 8.1, Microsoft покращила безпеку LSA, щоб блокувати несанкціоновані читання пам'яті або впровадження коду ненадійними процесами. Це покращення ускладнює типове функціонування команд, таких як mimikatz.exe sekurlsa:logonpasswords. Для увімкнення цього покращеного захисту, значення RunAsPPL в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA повинно бути налаштоване на 1:

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL

Обхід

Можливо обійти цю захист за допомогою драйвера Mimikatz mimidrv.sys:

Захист облікових даних

Захист облікових даних, функція, що доступна лише в Windows 10 (Enterprise та Education виданнях), підвищує безпеку облікових даних машини за допомогою віртуального захищеного режиму (VSM) та віртуалізованої безпеки (VBS). Вона використовує розширення віртуалізації процесора для ізоляції ключових процесів у захищеному просторі пам'яті, поза досягненням основної операційної системи. Ця ізоляція забезпечує, що навіть ядро не може отримати доступ до пам'яті в VSM, ефективно захищаючи облікові дані від атак, таких як передача хешу. Місцевий орган безпеки (LSA) працює в цій безпечній середовищі як довірений, тоді як процес LSASS в основній ОС виступає лише як комунікатор з LSA в VSM.

За замовчуванням Захист облікових даних не активний і вимагає ручної активації в організації. Це критично для підвищення безпеки проти інструментів, таких як Mimikatz, які обмежені у здатності видобувати облікові дані. Однак вразливості все ще можуть бути використані через додавання власних постачальників підтримки безпеки (SSP) для захоплення облікових даних у відкритому вигляді під час спроб входу.

Для перевірки статусу активації Захисту облікових даних можна перевірити ключ реєстру LsaCfgFlags у HKLM\System\CurrentControlSet\Control\LSA. Значення "1" вказує на активацію з UEFI блокуванням, "2" без блокування, а "0" позначає, що він не активований. Ця перевірка реєстру, хоча й є сильним показником, не єдиний крок для активації Захисту облікових даних. Детальні вказівки та сценарій PowerShell для активації цієї функції доступні в Інтернеті.

reg query HKLM\System\CurrentControlSet\Control\LSA /v LsaCfgFlags

Для зрозуміння та інструкцій з увімкнення Credential Guard в Windows 10 та його автоматичного активації в сумісних системах Windows 11 Enterprise та Education (версія 22H2), відвідайте документацію Microsoft.

Додаткові відомості щодо впровадження власних SSP для захоплення облікових даних надані в цьому керівництві.

Режим обмеженого адміністратора RDP

Windows 8.1 та Windows Server 2012 R2 ввели кілька нових функцій безпеки, включаючи Режим обмеженого адміністратора для RDP. Цей режим був розроблений для підвищення безпеки шляхом зменшення ризиків, пов'язаних з атаками передача хешу.

Традиційно, при підключенні до віддаленого комп'ютера через RDP, ваші облікові дані зберігаються на цільовій машині. Це створює значний ризик для безпеки, особливо при використанні облікових записів з підвищеними привілеями. Однак з введенням Режиму обмеженого адміністратора, цей ризик значно зменшується.

При ініціюванні підключення RDP за допомогою команди mstsc.exe /RestrictedAdmin, аутентифікація на віддаленому комп'ютері виконується без зберігання ваших облікових даних на ньому. Цей підхід гарантує, що в разі зараження шкідливим ПЗ або якщо зловмисник отримає доступ до віддаленого сервера, ваші облікові дані не будуть компрометовані, оскільки вони не зберігаються на сервері.

Важливо зауважити, що в Режимі обмеженого адміністратора спроби доступу до мережевих ресурсів з сеансу RDP не використовуватимуть ваші особисті облікові дані; замість цього використовується ідентифікатор машини.

Ця функція є значним кроком уперед у забезпеченні безпеки підключень віддаленого робочого столу та захисту від розголошення конфіденційної інформації у разі порушення безпеки.

Для отримання докладнішої інформації відвідайте цей ресурс.

Кешовані облікові дані

Windows захищає доменні облікові дані за допомогою Місцевої служби безпеки (LSA), підтримуючи процеси входу за допомогою безпечних протоколів, таких як Kerberos та NTLM. Ключовою функцією Windows є можливість кешування останніх десяти входів у домен, щоб забезпечити можливість користувачам отримати доступ до своїх комп'ютерів навіть у випадку, якщо контролер домену вийшов з ладу—це велике плюс для користувачів ноутбуків, які часто перебувають поза мережею своєї компанії.

Кількість кешованих входів можна налаштувати за допомогою конкретного реєстрового ключа або політики групи. Для перегляду або зміни цього параметра використовується наступна команда:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT

Доступ до цих кешованих облікових даних суворо контролюється, лише обліковий запис SYSTEM має необхідні дозволи для їх перегляду. Адміністраторам, які потребують доступу до цієї інформації, слід це робити з привілеями користувача SYSTEM. Облікові дані зберігаються за адресою: HKEY_LOCAL_MACHINE\SECURITY\Cache

Mimikatz може бути використаний для вилучення цих кешованих облікових даних за допомогою команди lsadump::cache.

Для отримання додаткових відомостей, оригінальне джерело надає вичерпну інформацію.

Захищені користувачі

Членство в групі Захищені користувачі вводить кілька покращень з точки зору безпеки для користувачів, забезпечуючи вищий рівень захисту від крадіжки та зловживання обліковими даними:

• Делегування облікових даних (CredSSP): Навіть якщо параметр політики групи для Дозволити делегування облікових даних за замовчуванням увімкнено, облікові дані Захищених користувачів не будуть кешуватися у вигляді звичайного тексту.

• Windows Digest: Починаючи з Windows 8.1 та Windows Server 2012 R2, система не буде кешувати облікові дані Захищених користувачів у вигляді звичайного тексту, незалежно від статусу Windows Digest.

• NTLM: Система не буде кешувати облікові дані Захищених користувачів у вигляді звичайного тексту або NT односторонніх функцій (NTOWF).

• Kerberos: Для Захищених користувачів аутентифікація Kerberos не буде генерувати ключі DES або RC4, а також не буде кешувати облікові дані у вигляді звичайного тексту або довгострокові ключі поза початковим отриманням квитка для отримання квитка (TGT).

• Офлайн увімкнення: Для Захищених користувачів не буде створено кешованого перевірника при увімкненні або розблокуванні, що означає, що офлайн увімкнення не підтримується для цих облікових записів.

Ці заходи захисту активуються в момент, коли користувач, який є членом групи Захищені користувачі, увійшов до пристрою. Це забезпечує наявність критичних заходів безпеки для захисту від різних методів компрометації облікових даних.

Для отримання докладної інформації, перегляньте офіційну документацію.

Таблиця з документації.