È un noto rischio per la sicurezza che LSASS memorizza le password di testo non crittografato se un utente ha eseguito un accesso interattivo da tastiera su una macchina, sia che si tratti di accesso locale alla propria workstation o che utilizzi RDP su una workstation remota.
C'è anche una classica soluzione a questo - disabilitare wdigest e tspkg. Fin qui tutto bene, ma se Kerberos è supportato, apparentemente ha bisogno della password di testo chiaro per rinnovare il Ticket Granting Ticket (TGT) e quindi sei lasciato tra un rock e un luogo difficile - non supportare Kerberos e goderti tutto i rischi associati all'hash che passa o supporta Kerberos e accetta il rischio di password di testo di cleat. Il post collegato fornisce il seguente consiglio che ritengo inaccettabile:
Therefore, the most effective protection is to avoid interactive logons to any untrusted hosts.
Una grande azienda ha migliaia di server, come fai a sapere quale è compromessa e il login dovrebbe essere evitato?
La mia domanda: esistono misure pratiche oltre a quella di implementare un accesso 2FA (su questi problemi in un secondo momento) che consenta un accesso interattivo da tastiera sicuro?
P.S. Informazioni su 2FA. I metodi più comuni sono passcode + OTP e X.509 PKI su una smart-card. Non sono neanche impeccabili:
- se hai violato il processo di lsass, allora potresti tranquillamente usare il codice otp + passcode per accedere ad altri server mentre il passcode lo è valido. Usando l'auotmazione, questo potrebbe significare che hai effettuato l'accesso a decine di server o più durante la finestra di 60 secondi
- In base a questo articolo di TechNet l'utente invia il PIN al server e rende la smart card disponibile per il server RDP. Lo stesso processo del primo elemento può essere utilizzato per violare molti server mentre l'amministratore fa clic sul server compromesso.
°º¤ø,¸¸,ø¤º°'°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°'°º¤ø,¸°º¤ø,¸¸,ø¤º°'°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°'°º¤ø,¸
Aggiornamento 2018 : a partire da Windows Server 2012 R2 e Windows 8.1, LSASS può essere eseguito come processo protetto abilitando il RunAsPPL impostazione e blocco del dumping delle credenziali. A partire da Windows 10 e Server 2016, Windows Credential Guard è abilitato per impostazione predefinita e raggiunge risultati simili.
°º¤ø,¸¸,ø¤º°'°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°'°º¤ø,¸°º¤ø,¸¸,ø¤º°'°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°'°º¤ø,¸