it-swarm.com.de

Stellen Sie das Kennwort eines Windows-Dienstbenutzer-Anmeldekontos wieder her

Beim Einrichten eines Windows-Dienstes wird ein Benutzerkonto für die Authentifizierung sowie das Kennwort für diesen Benutzer angegeben. In ihren Richtlinien für die Auswahl von Benutzerkonten gibt Microsoft an, dass bei Verwendung eines Domänenbenutzerkontos

Beachten Sie, dass der Service Control Manager (SCM) das Kennwort zwar in einem sicheren Teil der Registrierung speichert, jedoch dennoch angegriffen werden kann.

Sie erwähnen nicht, wie ein solcher Angriff aussehen würde. Ich gehe davon aus, dass man Administratorrechte auf dem Betriebssystem haben möchte, auf dem der Dienst gehostet wird, und scheint dass das Kennwort nur verwendet wird, wenn der Dienst gestartet wird, so dass ein Neustart eine Rolle spielen könnte.

Die Frage ist also: Was bedeutet Microsoft, wenn das Kennwort eines Domänenbenutzers angegriffen wird? Und gibt es wesentliche Unterschiede zwischen den (neueren) Versionen des Betriebssystems?

7
fuglede

Eine Methode für den Zugriff auf LSA-Geheimnisse ist dokumentiert hier .

In einer Nussschale:

  • Rufen Sie die Funktion Enable-TSDuplicateToken auf.

  • Kopieren Sie die vorhandenen Registrierungsschlüssel in einen anderen temporären Schlüssel.

  • User Powershell oder ein anderes Framework zum Aufrufen der Funktionen zum Lesen der Geheimnisse.

Sie können auch das Tool NirSoft LSASecretsView verwenden.

Sie müssen in der Tat bereits über Administratorrechte auf dem System verfügen, und soweit ich weiß, gibt es in den letzten Windows-Versionen keine Unterschiede (abgesehen von den Abschwächungen, auf die McMatty bereits hingewiesen hat).

4
Royce Williams

Das erste ist, dass dieses Konto über ein Anmeldeinformationspaar verfügt, das beim Extrahieren zusätzlichen Zugriff auf das Netzwerk gewährt. Einige Ihrer Computer sind möglicherweise so eingerichtet, dass sich der Domänenbenutzer bei Computern anmelden kann, oder dieses Konto hat Zugriff auf einen Computer, den ein Angreifer erreichen möchte. Diese Dienstkontoidentität hat jetzt Zugriff auf andere Ressourcen.

Angriffe

Das Folgende sind nur Angriffe auf die Maschine und das Konto - Hashes können auch offline abgefangen und geknackt oder bei Pass-the-Hash-Angriffen verwendet werden

Die Anmeldeinformationen eines Benutzerkontos können auch von einer Person eingerichtet werden, die ein schwaches erratenes Kennwort auswählt. Abhängig von den Sperreinstellungen (sofern diese aktiviert sind) kann dies brutal erzwungen werden.

Mit gegebenen System- oder Administratorrechten kann ein Angreifer versuchen, mimikatz auszuführen, um die Anmeldeinformationen aus dem Dienstkonto zu extrahieren.

Milderungen

Für einen Dienst, für den Berechtigungen für andere Domänenressourcen erforderlich sind, wenn Sie ein verwaltetes Dienstkonto verwenden können, entfällt der Kennwortaspekt, da dieser jetzt vom Computer verwaltet und gedreht wird.

https://docs.Microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd560633 (v = ws.10) =

Credential Guard auf Windows 10 und Server 2016. Dadurch wird die Möglichkeit für Mimikatz- und andere speicherbasierte Angriffe zum Extrahieren von Anmeldeinformationen aus der lsa entfernt.

https://blog.nviso.be/2018/01/09/windows-credential-guard-mimikatz/

0
McMatty