web-dev-qa-db-ja.com

Windows 10でパスワードをメモリに保持できないのはなぜですか?

私は read を持っていますが、Windows 10はmimikatzの作成者からのメモリにパスワードを保持しません。

8.xおよび10以降、デフォルトでは、メモリにパスワードはありません。

例外:

  • DCに到達できない/到達できない場合、kerberosプロバイダーは将来の交渉のためにパスワードを保持します。
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigestUseLogonCredential(DWORD)が1に設定されている場合、wdigestプロバイダーはパスワードを保持します。
  • Allow*の値がHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Credssp\PolicyDefaultsまたはHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegationの場合、tspkgs/CredSSPプロバイダーはパスワードを保持します。

もちろん、Credential Guardを使用する場合は使用できません。

そんなことがあるものか? Windowsはどのようにしてパスワードをメモリ外に保持できますか?

7
Peter11

クイック検索で以下のリンクが見つかりました。彼らは、CredentialGuardと呼ばれる新しいテクノロジーを作成しました。これは、以前のようにすべてをLSAに保存するのではなく、仮想化された安全な環境でシークレットを分離します。 Mimikatzは、もはやlsass.exeプロセスメモリをダンプして内容を解析することはできません。それらはまだ厳密に言えばいくつかのメモリにありますが、簡単にアクセスできるメモリにはありません。

詳細: https://technet.Microsoft.com/itpro/windows/keep-secure/credential-guard

9
0rigen

Windows 8.1以降、ユーザーのパスワードのplaintextは通常 メモリに保持されなくなりました です。 (Wdigestに精通していない場合は、はい、Windowsはこれを実際に実行していました。デフォルトでは、Windows 7でも実行されます。)したがって、Windows 8.1マシンで資格情報を正常にダンプできれば、ログインユーザーのNTLM v.2ハッシュまたはKerberosチケット情報。ただし、実際にはユーザーのパスワードのプレーンテキストは取得できません。それはあなたが引用したテキストが参照しているものだと私は信じています。もちろん、(少なくとも、多くのシナリオでは)とにかく実際にパスワードのプレーンテキストにアクセスする必要なく、単にハッシュまたはパスを渡すことができるため、この進歩の実際的な効果は地震よりも少なかった。そして、あなたがメモしたテキストのセクションが示すように、Windows 8.1でさえ、管理者が有効にできる認証設定がありますwill結果としてパスワードのプレーンテキストが残りますLSAで開催されています。ただし、ある程度の進歩は進歩なしよりも優れているため、これは歓迎すべき前進でした。

一方、Credential Guardは、新しくて異なるものです。 0rigienが簡単に説明し、上記のTechNetの優れた記事にリンクしました。したがって、ここでそれが有効な場所、つまりWindows 10にのみ存在し、エンタープライズにデプロイされたバージョンのOSにのみ存在し、適切に構成されていることで、ペンテスターまたは攻撃者がダンプできないようにすることができます。メモリからの信用。この機能は、Microsoftの用語 仮想化ベースのセキュリティ をWindows 10で使用して、LSA資格情報メモリストアを非常に小さく非常に無駄のない仮想マシン内に配置します(物事を単純化するため)。最近のIntelおよびAMDプロセッサーで標準となったテクノロジーのおかげで、管理者/システム特権で実行されているコードでさえアクセスできない仮想マシン。かなり気の利いた。

とにかく、それが理論です。これまでのところ、Windows 10の初期の歴史では、Credential Guardが配置されていて、推奨設定で動作することが許可されている場所で資格情報のダンプを可能にするバイパスまたは悪用された脆弱性が発見されていません。 (ただし、管理者がWdigestを再度有効にするか、CredSSP委任認証を有効にするかどうかは私の理解です。CredentialGuardは引き続き効果的に非アクティブ化されます。したがって、これらのいずれかを行う前に慎重に検討してください。)男たちは今後数年間で思い付きます。そして、マイクロソフトがカウンターカウンタームーブにもたらすものは何ですか。

3
mostlyinformed