Le password per gli account di Windows sono sempre archiviate in chiaro in memoria, mentre l'account è connesso?

4

Le password per gli account di Windows sono sempre archiviate in chiaro in memoria, mentre l'account è connesso?

Usando Mimikatz ho visto molti esempi in cui le password sono archiviate in memoria, sia per account di dominio / locali o account di servizio.

Quindi voglio sapere, se le password per gli account Windows registrati sono sempre memorizzate, o se c'è un'eccezione a quella regola?

È sufficiente che Windows memorizzi solo gli hash NT (account locali) e gli hash MsCacheV2 (account di dominio)?

    
posta Shuzheng 15.10.2018 - 11:52
fonte

1 risposta

1

Non sempre; come al solito ci sono alcune misure da prendere che forniscono una difesa approfondita contro Mimikatz.

In Win 2012 R2, è possibile (e dovrebbe) utilizzare il nuovo gruppo nello schema 2012R2 denominato "Utenti protetti", descritto in questo articolo di TechNet: link

Pratichi già il principio del privilegio minimo, un'altra difesa più generale.

Se sul tuo dominio sono presenti macchine Windows precedenti, installa KB2871997 che dovrebbe eseguire il backport del gruppo "Utenti protetti" nelle versioni di Windows ancora in supporto.

Infine, e questa potrebbe essere la più efficace e più facile da inviare tramite GP, c'è un'impostazione di registro che puoi impostare per impedire che le password vengano archiviate in formato testo nella RAM:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ WDigest, valore chiave 'UseLogonCredential' e impostato su '0'.

    
risposta data 13.11.2018 - 14:25
fonte

Leggi altre domande sui tag