hacktricks/windows-hardening/stealing-credentials/credentials-protections.md

12 KiB

Kinga za Kibali za Windows

Kinga za Kibali

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

WDigest

Itifaki ya WDigest, iliyoanzishwa na Windows XP, imeundwa kwa ajili ya uthibitisho kupitia Itifaki ya HTTP na imezimwa kwa chaguo-msingi kwenye Windows XP hadi Windows 8.0 na Windows Server 2003 hadi Windows Server 2012. Mipangilio ya msingi kama hii husababisha uhifadhi wa nywila za maandishi wazi kwenye LSASS (Local Security Authority Subsystem Service). Mshambuliaji anaweza kutumia Mimikatz kuchimba kibali hizi kwa kutekeleza:

sekurlsa::wdigest

Ili kuamsha au kulemaza kipengele hiki, funguo za usajili za UseLogonCredential na Negotiate ndani ya HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest lazima ziwekwe kuwa "1". Ikiwa funguo hizi ziko hazipo au zimewekwa kuwa "0", WDigest imelemazwa:

reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential

Ulindaji wa LSA

Kuanzia Windows 8.1, Microsoft iliimarisha usalama wa LSA ili kuzuia kusoma kwa kumbukumbu au uingizaji wa nambari usiohalali na michakato isiyosadikika. Kuboresha hii inazuia utendaji wa kawaida wa amri kama vile mimikatz.exe sekurlsa:logonpasswords. Ili kuwezesha ulinzi ulioimarishwa huu, thamani ya RunAsPPL katika HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA inapaswa kurekebishwa kuwa 1:

reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL

Kupita

Inawezekana kukiuka ulinzi huu kwa kutumia dereva wa Mimikatz mimidrv.sys:

Mlinzi wa Anwani

Mlinzi wa Anwani, kipengele pekee kwa Windows 10 (toleo la Enterprise na la Elimu), huzidisha usalama wa anwani za mashine kwa kutumia Hali Salama ya Kivitual (VSM) na Usalama Uliotokana na Kivitualizesheni (VBS). Inatumia nyongeza za kivitualizesheni za CPU kwa kufunga michakato muhimu ndani ya nafasi salama ya kumbukumbu, mbali na kufikia kwa mfumo wa uendeshaji wa kuu. Kufungwa huku kunahakikisha hata kernel haiwezi kufikia kumbukumbu katika VSM, ikilinda anwani za mashine kutokana na mashambulizi kama vile pita-neno-la-hash. Mamlaka ya Usalama wa Ndani (LSA) inafanya kazi ndani ya mazingira haya salama kama trustlet, wakati mchakato wa LSASS katika mfumo wa uendeshaji wa kuu unafanya kazi kama mawasiliano tu na LSA ya VSM.

Kwa chaguo-msingi, Mlinzi wa Anwani haujaamilishwa na inahitaji kuamilishwa kwa mikono ndani ya shirika. Ni muhimu kwa kuzidisha usalama dhidi ya zana kama Mimikatz, ambazo zinakwamishwa katika uwezo wao wa kutoa anwani za mashine. Hata hivyo, udhaifu unaweza bado kutumiwa kupitia kuongeza Watoa Msaada wa Usalama (SSP) za kibinafsi ili kukamata anwani za mashine kwa maandishi wazi wakati wa jaribio la kuingia.

Ili kuthibitisha hali ya uamilishaji wa Mlinzi wa Anwani, funguo ya usajili LsaCfgFlags chini ya HKLM\System\CurrentControlSet\Control\LSA inaweza kukaguliwa. Thamani ya "1" inaonyesha uamilishaji na ufunguo wa UEFI, "2" bila funguo, na "0" inaonyesha kuwa haijaamilishwa. Ukaguzi huu wa usajili, ingawa ni ishara imara, si hatua pekee ya kuamilisha Mlinzi wa Anwani. Miongozo kamili na script ya PowerShell kwa kuamilisha kipengele hiki zinapatikana mtandaoni.

reg query HKLM\System\CurrentControlSet\Control\LSA /v LsaCfgFlags

Kwa uelewa kamili na maagizo ya kuwezesha Guard ya Sifa kwenye Windows 10 na uanzishaji wake wa moja kwa moja kwenye mifumo inayoweza kufanya kazi ya Windows 11 Enterprise na Education (toleo 22H2), tembelea hati ya Microsoft.

Maelezo zaidi kuhusu utekelezaji wa SSPs za desturi kwa ajili ya kukamata sifa zinapatikana katika mwongozo huu.

Hali ya RDP ya RestrictedAdmin

Windows 8.1 na Windows Server 2012 R2 iliingiza vipengele vingi vipya vya usalama, ikiwa ni pamoja na Hali ya Msimamizi iliyozuiwa kwa RDP. Hali hii ililenga kuboresha usalama kwa kupunguza hatari zinazohusiana na mashambulizi ya pita hash.

Kawaida, unapojiunganisha kwenye kompyuta ya mbali kupitia RDP, sifa zako huhifadhiwa kwenye kompyuta ya lengo. Hii inaleta hatari kubwa ya usalama, hasa unapotumia akaunti zenye mamlaka ya juu. Hata hivyo, kwa kuanzishwa kwa Hali ya Msimamizi iliyozuiwa, hatari hii inapunguzwa sana.

Unapozindua uhusiano wa RDP kwa kutumia amri mstsc.exe /RestrictedAdmin, uthibitisho kwa kompyuta ya mbali hufanyika bila kuhifadhi sifa zako kwenye kompyuta hiyo. Hatua hii inahakikisha kwamba, katika tukio la maambukizi ya zisizo au ikiwa mtumiaji mhalifu anapata ufikiaji kwenye seva ya mbali, sifa zako hazitatishiwi, kwani hazihifadhiwi kwenye seva.

Ni muhimu kutambua kwamba katika Hali ya Msimamizi iliyozuiwa, jaribio la kupata rasilimali za mtandao kutoka kwenye kikao cha RDP halitatumia sifa zako binafsi; badala yake, kitambulisho cha mashine hutumiwa.

Kipengele hiki kinaashiria hatua kubwa mbele katika kusimamia uhusiano wa desktop za mbali na kulinda habari nyeti isifichuliwe katika kesi ya uvunjaji wa usalama.

Kwa maelezo zaidi tembelea rasilimali hii.

Sifa Zilizohifadhiwa

Windows inalinda sifa za uwanja kupitia Mamlaka ya Usalama wa Ndani (LSA), ikisaidia mchakato wa kuingia kwa itifaki za usalama kama Kerberos na NTLM. Kipengele muhimu cha Windows ni uwezo wake wa kuhifadhi kuingia kwa uwanja kumi uliopita ili kuhakikisha watumiaji wanaweza bado kupata kompyuta zao hata kama mudhibiti wa uwanja yuko nje ya mtandao - faida kwa watumiaji wa kompyuta za mkononi mara nyingi mbali na mtandao wa kampuni yao.

Idadi ya kuingia zilizohifadhiwa inaweza kubadilishwa kupitia funguo maalum za usajili au sera ya kikundi. Ili kuona au kubadilisha mipangilio hii, amri ifuatayo hutumiwa:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT

Upatikanaji wa siri za siri hizi umedhibitiwa kwa karibu, na akaunti ya SYSTEM pekee ina ruhusa muhimu ya kuziona. Waendeshaji wanaohitaji kupata habari hii lazima wafanye hivyo kwa ruhusa za mtumiaji wa SYSTEM. Siri hizi zimehifadhiwa kwenye: HKEY_LOCAL_MACHINE\SECURITY\Cache

Mimikatz inaweza kutumika kuchimbua siri za siri hizi zilizohifadhiwa kwa kutumia amri lsadump::cache.

Kwa maelezo zaidi, chanzo cha asili kinatoa habari kamili.

Watumiaji Waliohifadhiwa

Uanachama katika kikundi cha Watumiaji Waliohifadhiwa unaweka nyongeza kadhaa za usalama kwa watumiaji, ikihakikisha viwango vya juu vya ulinzi dhidi ya wizi na matumizi mabaya ya siri:

  • Utekelezaji wa Siri (CredSSP): Hata kama mipangilio ya Sera ya Kikundi kwa Kuruhusu kutekeleza siri za msingi imeanzishwa, siri za maandishi wazi za Watumiaji Waliohifadhiwa hazitahifadhiwa.
  • Windows Digest: Kuanzia Windows 8.1 na Windows Server 2012 R2, mfumo hautahifadhi siri za maandishi wazi za Watumiaji Waliohifadhiwa, bila kujali hali ya Windows Digest.
  • NTLM: Mfumo hautahifadhi siri za maandishi wazi za Watumiaji Waliohifadhiwa au kazi za NT one-way (NTOWF).
  • Kerberos: Kwa Watumiaji Waliohifadhiwa, uthibitisho wa Kerberos hautazalisha funguo za DES au RC4, wala hautahifadhi siri za maandishi wazi au funguo za muda mrefu zaidi ya kupata Tiketi ya Kutoa Tiketi ya Kuingia (TGT) ya awali.
  • Ingia Nje ya Mtandao: Watumiaji Waliohifadhiwa hawatapata uthibitishaji uliohifadhiwa ulioanzishwa wakati wa kuingia au kufungua, maana ingia nje ya mtandao haiungi mkono akaunti hizi.

Kinga hizi zinaanzishwa mara tu mtumiaji, ambaye ni mwanachama wa kikundi cha Watumiaji Waliohifadhiwa, anapoingia kwenye kifaa. Hii inahakikisha kuwa hatua muhimu za usalama zimewekwa kulinda dhidi ya njia mbalimbali za kudhoofisha siri.

Kwa maelezo zaidi, tafadhali angalia nyaraka rasmi.

Jedwali kutoka nyaraka.

Windows Server 2003 RTM Windows Server 2003 SP1+

Windows Server 2012,
Windows Server 2008 R2,
Windows Server 2008

Windows Server 2016
Account Operators Account Operators Account Operators Account Operators
Administrator Administrator Administrator Administrator
Administrators Administrators Administrators Administrators
Backup Operators Backup Operators Backup Operators Backup Operators
Cert Publishers
Domain Admins Domain Admins Domain Admins Domain Admins
Domain Controllers Domain Controllers Domain Controllers Domain Controllers
Enterprise Admins Enterprise Admins Enterprise Admins Enterprise Admins
Enterprise Key Admins
Key Admins
Krbtgt Krbtgt Krbtgt Krbtgt
Print Operators Print Operators Print Operators Print Operators
Read-only Domain Controllers Read-only Domain Controllers
Replicator Replicator Replicator Replicator
Schema Admins Schema Admins Schema Admins Schema Admins
Server Operators Server Operators Server Operators Server Operators