Powershell e credenziali memorizzate nella cache

3

Nel mio ambiente abbiamo il remotaggio di PowerShell fuori - Mi aggiro usando gli script di 2 hop, i pacchetti (exe -no i cred sono memorizzati solo in code-local privs) e iwmi. Non trasmetto mai credenziali all'endpoint, lo uso solo per l'autenticazione dell'endpoint. Uso account potenziati per analizzare i log, gestire le configurazioni, ecc. Sugli endpoint. Dal momento che il mio account registra tecnicamente ogni hit WMI reso (visibile nel registro eventi) questo significa anche che le credite passate con WMI e PowerShell sono memorizzate in lsass e potenzialmente visibili per procdump o mimikatz come module / framework?

Grazie mille per qualsiasi intuizione o pensiero su questo!

    
posta Charles 14.04.2016 - 04:38
fonte

1 risposta

1

La mia nuova comprensione trovata: Due tipi di accesso per questo: uno memorizza e uno no:

Accesso interattivo si verifica quando un utente inserisce i propri dati di accesso all'avvio, RDP o altra interfaccia sul computer locale. Questo tipo di accesso inietta le credenziali dell'utente in memoria quando Kerberos invia TGT, NTLM, LM o testo normale. Questo tipo di accesso è il principale problema di sicurezza quando si ha a che fare con attacchi mimikatz, TGT spoofing, procdump e PTH. In altre parole, gli accessi interattivi devono essere mantenuti nel MINIMO dei privilegi.

Le

accessi alla rete sono abilitate al sistema di destinazione per accedere o in remoto all'amministratore. Questi tipi di credenziali non vengono trasferiti al servizio / sistema e quindi non vengono memorizzati sul sistema remoto in memoria come uno dei tipi di stringhe sopra menzionati.

    
risposta data 25.04.2016 - 14:57
fonte

Leggi altre domande sui tag