Nel mio ambiente abbiamo il remotaggio di PowerShell fuori - Mi aggiro usando gli script di 2 hop, i pacchetti (exe -no i cred sono memorizzati solo in code-local privs) e iwmi. Non trasmetto mai credenziali all'endpoint, lo uso solo per l'autenticazione dell'endpoint. Uso account potenziati per analizzare i log, gestire le configurazioni, ecc. Sugli endpoint. Dal momento che il mio account registra tecnicamente ogni hit WMI reso (visibile nel registro eventi) questo significa anche che le credite passate con WMI e PowerShell sono memorizzate in lsass e potenzialmente visibili per procdump o mimikatz come module / framework?
Grazie mille per qualsiasi intuizione o pensiero su questo!