Windows凭据保护保护凭据,但不保护具有相同凭据的远程访问?
我想知道,当恶意管理员获得缓存的凭据(即不受WCG保护的凭据)并请求WCG发出远程登录令牌,从而有效地访问某些关键的远程系统时,由Windows凭据保护(WCG)保护凭据的真正目的是什么?
虽然WCG保护凭据(用于PtH和类似的),但它并不保护可以使用这些凭证获得的访问(例如远程登录到某个系统)。
有人能澄清/解释这一点吗?谢谢
回答 1
Security用户
发布于 2018-12-12 22:02:38
凭据保护旨在保护可用于在设备之间横向移动的派生凭据。这对攻击产生了真正的实际影响,因为它增加了所需的复杂程度。这并不意味着它是完美的,但它确实让它变得很好。
为了保护凭据,它需要了解如何使用凭据。这将其限制为用于Windows auth的凭据。没有办法解释其他类型的通用凭证是用来做什么的,因此它无法知道如何使用它,因此也就无法保护它。证书保护可以简单地阻止密码的检索,但这样做往往会让那些听微软的话、做正确的事情而不滚动自己的证书缓存的应用程序开发人员(和用户)生气,因为这样做会破坏一些被认为相对安全的东西。
但是,在这种情况下,缓存的Windows凭据是受保护的。您不能访问原始凭据;您只能代表这些凭据获得远程服务的票证。你只能使用那一种服务--你不能拿着那张票,随便你想要什么。这破坏了横向运动。这也是为什么不受约束的委托不能工作的原因。
这是否可以接受取决于你是否认为单点登录是一件好事。如果用户无法请求到远程服务的票证,则无法获得SSO,并且无法区分作为某个帐户运行的真实用户还是作为某个帐户运行的邪恶用户。
为了完整起见,还有一个登录缓存,用于验证交互式登录,但它也不存储原始凭据。它所存储的只是一个用于验证传入密码的散列。
https://security.stackexchange.com/questions/198050
复制相似问题
腾讯云开发者
