如果用户在机器上执行了键盘交互式登录——无论是本地登录到他/她的工作站还是使用 RDP 到远程工作站, LSASS 都会存储明文密码,这是一个众所周知的安全风险。
还有一个经典的解决方法——禁用 wdigest 和 tspkg。到目前为止一切顺利,但如果支持 Kerberos,那么显然需要明文密码来更新 Ticket Granting Ticket (TGT),因此您处于两难境地 - 不支持 Kerberos 并享受一切与散列传递相关的风险或支持 Kerberos 并接受明文密码的风险。链接的帖子给出了以下我认为不可接受的建议:
因此,最有效的保护是避免交互式登录到任何不受信任的主机。
一个大企业有1000台服务器,你怎么知道哪台被入侵,应该避免登录?
我的问题:除了推出 2FA(稍后针对这些问题)之外,还有其他实际措施可以实现安全的键盘交互式登录吗?
PS关于2FA。最常见的方法是密码 + OTP 和智能卡上的 X.509 PKI。它们也不是完美无缺的:
- 如果您劫持了 lsass 进程,那么您可以使用 otp+passcode 在密码有效的情况下登录其他服务器。使用 autmation,这可能意味着您在 60 秒的窗口期间登录了数十台或更多服务器
- 根据这篇TechNet 文章,用户将 PIN 发送到服务器并使智能卡可用于 RDP 服务器。当管理员点击受感染的服务器时,可以使用与第一项相同的过程来破解许多服务器。
°º¤ø,¸¸,ø¤º°`°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°`°º¤ø,¸°º¤ø,¸¸,ø¤º°`°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°`°º¤ø,¸
2018 更新:从 Windows Server 2012 R2 和 Windows 8.1 开始,LSASS 可以通过启用RunAsPPL设置和禁止凭证转储作为受保护的进程运行。从 Windows 10 和 Server 2016 开始,Windows Credential Guard默认启用并实现类似的结果。
°º¤ø,¸¸,ø¤º°`°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°`°º¤ø,¸°º¤ø,¸¸,ø¤º°`°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°`°º¤ø,¸