管理工具和登录类型
提供此参考信息旨在帮助识别与使用不同管理工具进行远程管理相关的凭据暴露风险。
在远程管理情形中,凭据始终在源计算机上公开,因此对于敏感或高影响帐户,建议使用可信赖的特许访问工作站 (PAW)。 凭据是否会公开给目标(远程)计算机上的潜在盗窃者,主要取决于连接方法所使用的 Windows 登录类型。
此表包含有关最常用管理工具和连接方法的指南:
| 连接方法 | 登录类型 | 目标上可重复使用的凭据 | 注释 |
|---|---|---|---|
| 在控制台上登录 | 交互 | v | 包括硬件远程访问/无人照看卡和网络 KVM。 |
| RUNAS | 交互 | v | |
| RUNAS/网络 | NewCredentials | v | 克隆当前 LSA 会话进行本地访问,但连接到网络资源时使用新的凭据。 |
| 远程桌面(成功) | RemoteInteractive | v | 如果远程桌面客户端配置为共享本地设备和资源,这些可能也会受到影响。 |
| 远程桌面(失败 - 登录类型被拒绝) | RemoteInteractive | - | 默认情况下,如果 RDP 登录失败,凭据只会存储很短的时间。 如果计算机受到破坏,则可能并非如此。 |
| Net use * \\SERVER | 网络 | - | |
| Net use * \\SERVER /u:user | 网络 | - | |
| MMC 管理单元到远程计算机 | 网络 | - | 示例:计算机管理、事件查看器、设备管理器、服务 |
| PowerShell WinRM | 网络 | - | 示例:Enter-pssession 服务器 |
| PowerShell WinRM(具有 CredSSP) | NetworkClearText | v | New-PSSession 服务器 -Authentication Credssp -Credential cred |
| PsExec(无显式凭据) | 网络 | - | 示例:PsExec \\server cmd |
| PsExec(有显式凭据) | 网络 + 交互 | v | PsExec \\server -u user -p pwd cmd 创建多个登录会话。 |
| 远程注册表 | 网络 | - | |
| 远程桌面网关 | 网络 | - | 对远程桌面网关进行身份验证。 |
| 计划任务 | Batch | v | 密码也将在磁盘上被另存为 LSA 机密。 |
| 将工具作为服务运行 | 服务 | v | 密码也将在磁盘上被另存为 LSA 机密。 |
| 漏洞扫描程序 | 网络 | - | 大多数扫描程序默认使用网络登录,但某些供应商可能会实施非网络登录并引入多个凭据被盗风险。 |
对于 Web 身份验证,请使用下表中的引用:
| 连接方法 | 登录类型 | 目标上可重复使用的凭据 | 注释 |
|---|---|---|---|
| IIS“基本身份验证” | NetworkCleartext (IIS 6.0+) 交互 |
v | |
| IIS“集成 Windows 身份验证” | 网络 | - | NTLM 和 Kerberos 提供程序。 |
列定义:
- 登录类型 - 标识连接启动的登录类型。
- 目标上可重复使用的凭据 - 指示以下凭据将存储在目标计算机(指定帐户在本地登录)的 LSASS 进程内存中:
- LM 和 NT 哈希
- Kerberos TGT
- 纯文本密码(如果适用)。
按以下方式定义此表中的符号:
- (-) 表示凭据未公开。
- (v) 表示凭据已公开。
对于未出现在此表中的管理应用程序,可以从审核登录事件的登录类型字段中确定登录类型。 有关详细信息,请参阅审核登录事件。
在基于 Windows 的计算机中,以多个登录类型之一处理所有身份验证,无论使用何种身份验证协议或身份验证程序。 此表包含最常见的登录类型以及相对于凭据被盗的属性:
| 登录类型 | # | 接受的身份验证程序 | LSA 会话中可重复使用的凭据 | 示例 |
|---|---|---|---|---|
| 交互式登录(也称为“本地登录”) | 2 | 密码、智能卡、 其他 |
是 | 控制台登录; RUNAS; 硬件远程控制解决方案(如网络 KVM 或远程访问/服务器中的无人照看卡) IIS 基本身份验证(低于 IIS 6.0) |
| 网络 | 3 | 密码、 NT 哈希、 Kerberos 票证 |
否(例外情况,如果已启用委派,则 Kerberos 票证存在) | NET USE; RPC 调用; 远程注册表; IIS 集成 Windows 身份验证; SQL Windows 身份验证; |
| Batch | 4 | 密码(存储为 LSA 机密) | 是 | 计划任务 |
| 服务 | 5 | 密码(存储为 LSA 机密) | 是 | Windows 服务 |
| NetworkCleartext | 8 | 密码 | 是 | IIS 基本身份验证(IIS 6.0 和更高版本); Windows PowerShell(具有 CredSSP) |
| NewCredentials | 9 | 密码 | 是 | RUNAS/网络 |
| RemoteInteractive | 10 | 密码、智能卡、 其他 |
是 | 远程桌面(以前称为“终端服务”) |
列定义:
- 登录类型 - 请求的登录类型。
- # - 安全事件日志的审核事件中报告的登录类型的数值标识符。
- 接受的身份验证程序 - 指示哪些类型的身份验证程序能够启动此类型登录。
- LSA 会话中的可重复使用的凭据 - 指示登录类型是否会导致 LSA 会话保存凭据,如可用于对其他网络资源进行身份验证的纯文本密码、NT 哈希或 Kerberos 票证。
- 示例 - 列出登录类型使用的常见情形。
注意
有关登录类型的详细信息,请参阅 SECURITY_LOGON_TYPE 枚举。
后续步骤