アカウントがログオンしている間、Windowsアカウントのパスワードは常にクリアテキストでメモリに保存されますか?
Mimikatzを使用して、ドメイン/ローカルアカウントまたはサービスアカウントのいずれかのパスワードがメモリに格納される多くの例を見てきました。
したがって、ログオンしているWindowsアカウントのパスワードが常にメモリに保存されているかどうか、またはその規則に例外があるかどうかを知りたいのですが。
WindowsがNTハッシュ(ローカルアカウント)とMsCacheV2ハッシュ(ドメインアカウント)のみを保存するだけで十分ですか?
常にではない;いつものように、ミミカッツに対して深い防御を提供するために取るいくつかの対策があります。
Win 2012 R2では、このTechNet記事で説明されている「保護されたユーザー」と呼ばれる2012R2スキーマの新しいグループを使用できます(使用する必要があります) https://docs.Microsoft.com/en-us/previous -versions/windows/it-pro/windows-server-2012-R2-and-2012/dn466518(v = ws.11)
あなたはすでに、最小特権の原則、別の、より一般的な防御を実践しています。
ドメイン内に古いWindowsマシンがある場合は、KB2871997をインストールします。これにより、「保護されたユーザー」グループがサポートされているWindowsバージョンにバックポートされます。
最後に、これがGPを介してプッシュするのが最も効果的で最も簡単な場合があります。RAMにプレーンテキストでパスワードが格納されないように設定できるレジストリ設定があります。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest、キー値「UseLogonCredential」、「0」に設定。