December 18th, 2017

Вышел инструмент с исходным кодом для выявления утечек при использовании VPN

ВЫШЕЛ ИНСТРУМЕНТ С ИСХОДНЫМ КОДОМ ДЛЯ ВЫЯВЛЕНИЯ УТЕЧЕК ПРИ ИСПОЛЬЗОВАНИИ VPN



image

Набор инструментов позволяет выявить разные утечки и доступен для скачивания на Github.

На этой неделе вышел набор инструментов с открытым исходным кодом для обнаружения уязвимостей в VPN, угрожающих конфиденциальности и безопасности пользователей. Набор был выпущен компанией ExpressVPN под лицензией MIT и представляет собой первый публичный продукт для автоматизированного тестирования безопасности VPN.

Основное предназначение инструментов – автоматическое регрессионное тестирование ПО ExpressVPN, однако они также могут использоваться для тестирования VPN, не обеспечивающих должную защиту пользователей. Инструменты написаны в основном на Python и доступны для скачивания на Github.

Набор позволяет выявить самые разные утечки. К таковым относятся раскрытие IP-адресов при использовании WebRTC и раскрытие активности в интернете при переключении с беспроводного на проводной интернет. Кроме того, инструмент позволяет обнаруживать утечки незашифрованных данных при аварийном завершении работы ПО VPN или невозможности его подключения к серверу.

Согласно исследованию компании Propeller Insights, проведенному по заказу ExpressVPN в ноябре текущего года, треть опрошенных используют VPN для обеспечения собственной кибербезопасности. В частности, таким образом они пытаются обезопасить себя от перехвата данных при подключении к Wi-Fi. 25% респондентов VPN нужны для сокрытия от провайдеров своей активности в интернете. 15% используют VPN для защиты от правительственной слежки.

Лицензия MIT (MIT License) – лицензия открытого программного обеспечения, разработанная Массачусетским технологическим институтом (МТИ). Является разрешительной лицензией, то есть позволяет программистам использовать лицензируемый код в закрытом ПО при условии, что текст лицензии предоставляется вместе с этим ПО. По мнению Free Software Foundation, данная лицензия более точно называется X11 License, так как в прошлом MIT использовал много лицензий.

Подробнее: https://www.securitylab.ru/news/490278.php

NIST опубликовал проект новой версии руководства по защите от киберугроз

NIST ОПУБЛИКОВАЛ ПРОЕКТ НОВОЙ ВЕРСИИ РУКОВОДСТВА ПО ЗАЩИТЕ ОТ КИБЕРУГРОЗ





image



Все федеральные агентства и операторы критической инфраструктуры США обязаны придерживаться данных рекомендаций.

Национальный институт стандартов и технологий США (NIST) опубликовал вторую редакцию руководства по усилению кибербезопасности в критической инфраструктуре NIST Cybersecurity Framework.

Первый вариант рекомендаций, опубликованный в 2014 году, был призван помочь организациям, в частности в сфере критически важной инфраструктуры, лучше защищаться от киберугроз. Руководство было разработано по приказу бывшего президента США Барака Обамы. Все федеральные агентства и операторы критической инфраструктуры США обязаны придерживаться данных рекомендаций.

Спустя четыре года с момента выхода первого варианта Cybersecurity Framework, институт взялся за разработку обновленной версии. Первая редакция была опубликована в январе 2017 года, вторая - 5 декабря 2017 года.

Согласно заявлению NIST, вторая редакция версии 1.1 фокусируется на разъяснении, уточнении и расширении руководства, облегчая его использование, а также содержит обновленную «дорожную карту», в которой подробно описываются планы по дальнейшей разработке руководства.

Комментарии и отзывы по второй редакции могут быть отправлены в NIST до 19 января 2018 года. Изначально институт собирался опубликовать окончательный вариант руководства осенью текущего года, однако отстал от графика и теперь публикация запланирована на начало 2018 года.

Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) - подразделение Управления по технологиям, одного из агентств Министерства торговли США. Основной задачей института является продвижение инновационной и индустриальной конкурентоспособности США путем развития наук об измерениях, стандартизации и технологий с целью повышения экономической безопасности и улучшения качества жизни.

Подробнее: https://www.securitylab.ru/news/490200.php?R=1




По сути введено понятие инцидента кибербезопасности

Cybersecurity Incident - A cybersecurity event that has been determined to have an impact on the organization prompting the need for response and recovery.

вольный перевод:

Инцидент кибербезопасности - событие кибербезопасности, которое, как было установлено, оказывает влияние на организацию, и вызывающее необходимость реагирования и восстановления.

Appendix B: Glossary.

Table 3: Framework Glossary

Framework for Improving Critical Infrastructure Cybersecurity
https://www.nist.gov/sites/default/files/documents/2017/12/05/draft-2_framework-v1-1_with-markup.pdf

Version 1.01 Draft 2

National Institute of Standards and Technology

February 12, 2014

Revised December 5, 2017

Аудит паролей пользователей в Active Directory | Windows для системных администраторов

Оригинал: http://winitpro.ru/index.php/2016/09/20/audit-active-directory-password/



Аудит паролей пользователей в Active Directory

date

Сложность пароля пользователя домена Active Directory это один из важнейших элементов безопасности как данных пользователя, так и домена целиком. Как правило, пользователи, чтобы облегчить себе жизнь, предпочитают использовать простые, легко запоминаемые пароли. Но тем самым, они серьезно уменьшают уровень защиты своих аккаунтов от злоумышленников. В этой статье мы покажем, как провести аудит используемых паролей пользователей в Active Directory с помощью PowerShell.

Для тестирования устойчивости паролей пользователей к атакам мы воспользуемся сторонним PowerShell модулем — DSInternals. Данный модуль содержит ряд командлетов, которые позволяет выполнять различные операции с базой данных AD в онлайн или офлайн режиме (непосредственно с файлом ntds.dit). В частности нас интересует командлет Test-PasswordQuality, позволяющий выявить пользователей со слабыми, одинаковыми, стандартными или пустыми паролями.

Примечание. Пароли пользователей из базы AD, естественно, не получится получить в открытом виде, но путем сравнения хешей паролей пользователей AD с хешами слов из словаря можно определить (или сравнить) пароли пользователей.

Collapse )

Временное членство в группах Active Directory | Windows для системных администраторов

Оригинал: http://winitpro.ru/index.php/2016/10/19/vremennoe-chlenstvo-v-gruppax-active-directory/



Временное членство в группах Active Directory

date

В версии Active Directory, представленной в Windows Server 2016 появился ряд довольно интересных изменений. Сегодня мы рассмотрим возможность обеспечить временное членство пользователей в группах Active Directory. Этот функционал можно использовать, когда нужно предоставить пользователю на определенное время некие права, основанные на членстве в группе безопасности AD, а по истечению времени, автоматически (без привлечения администратора) этих прав его лишить.

Временное членство в группах AD (Temporary Group Membership) реализуется с помощью новой функции Windows Server 2016 под названием Privileged Access Management Feature. По аналогии с AD Recycle Bin после активации, отключить PAM нельзя.

Проверить, включен ли функционал PAM в текущем лесу, можно с помощью следующей команды  PowerShell:

Get-ADOptionalFeature -filter *

Get-ADOptionalFeature

Нас интересует значение параметра EnableScopes, в этом примере оно пустое. Это значит, что функционал Privileged Access Management Feature для домена не включен.

Collapse )

Как полностью удалить старые версии Microsoft Office в Windows | Windows для системных администратор

При проведении тест-пилота Azure information Protection столкнулись с очень странным поведением Office: старые версии каким-то образом оставались на компьютере пользователя. Мы использовали эти скрипты вручную на компьютерах тестовой группы. Поэтому эта статья, мне кажется, будет актуальной всегда.

Оригинал: http://winitpro.ru/index.php/2017/12/11/office-all-versions-removal-scripts/



Скрипты для полного удаления старых версий Office

date

В рамках задачи по массовому обновлению Office до последней версии на компьютерах всех пользователей (по схеме развертывания Office 2016 через SCCM), нам понадобилось разработать простое решение для корректного автоматического удаления любых других ранее установленных на компьютерах версий Microsoft Office. Предполагается использовать данные скрипты в задания по автоматическому удалению / установке Office через пакеты SCCM.

В большинстве случаев, перед установкой новой версии Office, желательно удалить любые ранее установленные на компьютере версии MS Office (одновременное использование разных версий Office на одном компьютере поддерживается, но не рекомендуется из-за потенциальных проблем). Поэтому возникла необходимость разработать  скрипты, которые бы корректно удаляли любую версию Office, ранее установленную на ПК.

VBS скрипты OffScrub

Рассмотрев несколько способов удаления ранее установленных версий Office, мы остановились на использовании скриптов OffScrub от службы Premier поддержки Microsoft. Скрипты OffScrub входят в состав пакетов официальных пакетов EasyFix (пакет принудительного удаления Office 2007 и 2010, если их не получается удалить стандартным способом из Панели Управления) Для удаления Office 2013 и 2016 используется другой инструмент – пакет O15CTRRemove.diagcab, в который также входят скрипты OffScrub (см. сноску чуть ниже)

Скрипты Offscrub — представляют собой vbs сценарии для автоматизации удаления продуктов из состава Office. Данные скрипты позволяют полностью очистить систему от следов ранее установленного Office, в независимости от его текущий работоспособности.  Перечислим основные преимущества в использования Offscrub для удаления Office:


  • Возможность удаления старой версии даже при отсутствии или повреждения исходных файлов установки или кэша Office

  • Куст пользователя в реестре не затрагивается

  • Обеспечивается полное удаление

  • Удаление устаревших настроек и всех продуктов (в т.ч. Project, Visio, Visio Viewer)

Скрипт Remove-PreviousOfficeInstalls.ps1 из пакета O15CTRRemove.diagcab позволяет определить установленную версию Office и вызвать скрипт Offscrub*.vbs для соответствующей версии Office.

В первую очередь, необходимо скачать с сайта Microsoft файл FixIt для тех версий Office и Windows, которые используются в вашей инфраструктуре.

Скачать пакет O15CTRRemove.diagcab для разных версий Office и Windows  можно со страницы (https://support.microsoft.com/en-us/kb/971179).

Важное примечание. Ранее на этой странице присутствовали ссылки как на пакет EasyFix, так и на O15CTRRemove.diagcab. На данный момент осталась ссылка только на универсальный пакет O15CTRRemove.diagcab, который можно использовать для удаления Office 2013 / 2016 на Window 7, Windows 8 и Windows 10.  Кроме того, еще в начале года в архиве O15CTRRemove.diagcab присутствовали скрипты Offscrub для новых версий Office, то теперь в нем остались только PowerShell скрипты. Эти (и другие) версии vbs Offscrub скриптов теперь можно получить только с официального репозитория разработчиков Office на GitHub (OfficeDev).

Collapse )

Уменьшение размера виртуального диска на ESXi 5.1

Оригинал: http://winitpro.ru/index.php/2014/03/13/umenshit-razmer-vhdx-vmware-esxi/

Уменьшение размера виртуального диска на ESXi

date

В отличии от процедуры расширения диска виртуальной машины VMWare, которую можно выполнить прямо «на-лету», процедура уменьшения размера vmdk файла на гипервизоре VMWare ESXi задача более сложная, и выполнить ее непосредственно через графический интерфейс vSphere Client в принципе невозможно — указать меньший размер просто не получится.

Примечание. Отметим, что в последней версии гипервизора Microsoft  — есть технология динамического изменения (как расширения, так и сжатия) виртуальных дисков под названием Hyper –V Online VHDX Resize.
Важно. Данная инструкция не является официально поддерживаемым решением по сжатию vmdk дисков, однако автором статьи в продуктивной среде применялась уже не раз. При написании этой статьи использовалась версия ESXi 5.1.

Изменение размера виртуального vmdk диска в vmware esxi
Перед осуществлением процедуры уменьшения размера виртуального диска на VMWare ESXi необходимо обязательно:


  • Удалить все снапшоты виртуальной машины, в противном случае вы можете повредить виртуальный диск

  • Создайте полную резервную копию виртуальной машины или же просто сделайте  копию уменьшаемого vmdk файла с помощью команд:
    cp vmname.vmdk backup_vmname.vmdk







    cp vmname-flat.vmdk backup_vmname-flat.vmdk


Процедура уменьшения размера виртуального диска состоит из двух этапов:


  • Уменьшение раздела внутри гостевой ОС

  • Уменьшение размера VMDK файла виртуальной машины VMware

Collapse )

Сжимаем тонкий (thin) диск в ESXi 5

Оригинал: http://winitpro.ru/index.php/2013/07/15/szhimaem-tonkij-thin-disk-v-esxi-5/


Сжимаем тонкий (thin) диск в ESXi 5

date

Тонкие (thin) диски VMWare позволяют существенно сэкономить место на файловой системе VMFS хранилища при создании виртуальной машине. Такие vmdk диски при создании практически не занимают место на файловой системе и постепенно разрастаются до максимального размера по мере накопления информации.  Однако основная проблема при использовании thin диски заключается в том, что они со временем разрастаются даже в том случае, если вы освободили место внутри гостевой операционной системы.

Примечание. При удалении данных в ОС Windows (и Linux это также касается) система не заполняет освоившееся место нулями, а просто помечает области как удаленные в метаданных раздела (их можно использовать для записи). Получается, что ESXi сервер не может самостоятельно определить какие из отданных ей блоков на самом деле свободны

Стандартного средства сжатия тонких дисков в ESXi нет, а сама система виртуализации ничего не знает об особенностях хранения данных внутри гостевой ОС.

В этой статье мы опишем простой способ сжатия тонкого vmdk диска в ESXi.


  1. На первом этапе необходимо помочь гипервизору, заполнив все свободное место на дисках внутри гостевой ОС нулями.Обнулить свободные блоки в Windows можно с помощью утилиты Марка Русиновича SDelete (на момент написания статьи последняя доступная версия SDelete v1.61, если вы используете более раннюю версии SDelete, имейте в виду, в ней могут использоваться немного другие параметры). Скачать SDelete можно тут: http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx.

    Распакуйте архив на диск, откройте командную строку (естественно, с правами администратора) и выполните следующую команду


    Sdelete –z c:

    В данном случае c: — это виртуальный тонкий vmdk диск, который мы планируем сжать.

    sdelete - очистка свободного места в windows


Collapse )



Установка и активация сервера лицензирования RDS на Windows Server 2016

Установка и активация сервера лицензирования RDS на Windows Server 2016

date

В это статье мы рассмотрим процесс установки, настройки и активации роли сервера терминальных лицензий (Remote Desktop Licensing) на базе Windows Server 2016, а также процедуру установки и активации клиентских терминальных (CAL).

Напомню, что после установки роли терминального сервера Remote Desktop Session Host, пользователи могут использовать его только в течении пробного периода 120 дней, после окончания которого возможность подключения к удаленному RDS серверу пропадает. Согласно схеме лицензирования Microsoft, все пользователи или устройства, использующие возможности RDS, должны быть лицензированы. Для учета и выдачи терминальных лицензий (RDS CAL) существует отдельная служба роли RDS под названием Remote Desktop License Server.

Установка роли Remote Desktop Licensing

Переда началом установки нужно добавить (или убедиться, что у вас есть право на добавление) нового сервера в доменную группу Terminal Server License Servers, иначе сервер не сможет выдать CAL типа RDS Per User пользователям домена.

Установить службу Remote Desktop Licensing можно через консоль Server Manager. Для этого в мастере Add Roles and Features выберите роль Remote Desktop Services.
windows server 2016 роль Remote Desktop Services

Collapse )

Защита административных учетных записей в сети Windows

Защита административных учетных записей в сети Windows

date

В этой статье я постарался собрать основные организационные и технические правила использования учетных записей администраторов в организации, направленные на повышение безопасности в домене Windows. Использование данных рекомендаций значительно повысит защиту компьютеров домена Active Directory от атак, аналогичных летнему инциденту с шифровальщиком Petya, одной из техник распространения которого между компьютерами домена (помимо уязвимости в SMBv1) был удаленный доступ с помощью полученных из памяти учетных данных администраторов (с помощью утилиты аналогичной Mimikatz). Возможно некоторые из рекомендаций спорные или неприменимые для конкретных случаев, но к ним все-таки нужно стремиться.

Итак, в предыдущей статье мы рассмотрели основные методики защиты от извлечения паролей из памяти с помощью Mimikatz. Однако все эти технические меры могут быть бесполезными, если в домене Windows не применяются базовые правила обеспечения безопасности административных учетных записей.

Основное правило, которым следует пользоваться – максимальное ограничение административных привилегий, как для пользователей, так и администраторов. Нужно стремится к тому, что предоставлять пользователям и группам поддержки только те права, которые необходимы для выполнения повседневных задач.

Базовый список правил:


  • Учетные записи администраторов домена/организации должны использоваться только для управления доменом и контроллерами домена. Нельзя использовать эти учетные записи для доступа и управления рабочими станциями. Аналогичное требование должно предъявляться для учетных записей администраторов серверов

  • Для учетных записей администраторов домена желательно использовать двухфакторную аутентификацию

  • На своих рабочих станциях администраторы должны работать под учетными записями с правами обычного пользователя

  • Для защиты привилегированных учетных записей (администраторы домена, Exchange, серверов) нужно рассмотреть возможность использования группы защищенных пользователей (Protected Users)

  • Запрет использования обезличенных общих административных аккаунтов. Все аккаунты администраторов должны быть персонифицированы

  • Нельзя запускать сервисы под учетными записями администраторов (а тем более администратора домена), желательно использовать выделенные учетные записи или Managed Service Accounts .

  • Запрет работы пользователей под правами локального администратора

Collapse )

Рекомендации по обеспечению безопасности Active Directory

Рекомендации по обеспечению безопасности Active Directory

31.05.2017
Область применения: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Это документе представлена точка зрения практикующего и даются практические указания, которые помогут директорам по ИТ защитить корпоративную среду Active Directory. Active Directory играет важную роль в ИТ-инфраструктуре и позволяет обеспечить согласованную и безопасности различных сетевых ресурсов в глобальной взаимосвязанной среде и. Рассматриваемые методы основываются главным образом на организации корпорация Майкрософт сведения о безопасности и управления рисками (ISRM), которая предназначена для защиты активов ИТ Майкрософт и других бизнес-подразделения Майкрософт, помимо оказания консультативной помощи выбранного количества клиентов Майкрософт из списка Global 500.
·         Предисловие
·         Подтверждения
·         Краткий обзор
·         Введение
·         Способы решения
·         Хороший учетные записи для кражи учетных данных
·         Снижение уязвимостей Active Directory
·         Реализация административных моделей с наименьшим количеством прав
·         Реализация безопасного администрирования узлов
·         Защита контроллеров домена от атак
·         Мониторинг Active Directory для обнаружения признаков компрометации
·         Рекомендации по политике аудита
·         Планирование при компрометации
·         Поддержка более безопасной среды
·         Приложения
·         Приложение б. привилегированные учетные записи и группы в Active Directory
·         Приложение в. защищенные учетные записи и группы в Active Directory
·         Приложение г. Защита встроенных учетных записей администраторов в Active Directory
·         Приложение д. Защита групп корпоративных администраторов в Active Directory
·         Приложение е. Защита групп администраторов домена в Active Directory
·         Приложение ж. Защита групп администраторов в Active Directory
·         Приложение з. Защита учетных записей локального администратора и групп
·        Приложение и создание учетных записей управления для защищенных учетных записей и групп в Active Directory
·         Приложение м. события для мониторинга
·         Приложение н. ссылки на документы и Рекомендуемая литература


Оптимизация Windows для работы в среде виртуализации

Оптимизация Windows для работы в среде виртуализации

date

При  использовании Windows в качестве терминального сервера или в качестве ОС виртуальных десктопов (VDI), несколько пользователей совместно используют ресурсы одного сервера. Чем меньше ресурсов потребляет каждая сессия пользователя, тем более высокую плотность терминальных и VDI сессий может поддерживать один хост. Аналогичное утверждение верно и при запуске нескольких копий Windows в качестве гостевой системы в среде виртуализации. В том случае, если в среде виртуализации запущено большое количество виртуальных машин с Windows, оптимизация настроек этих ВМ для запуска в виртуальной среде, позволит улучшить производительность гостевых ОС, существенно снизить нагрузку на хост и увеличить количество ВМ, которые смогут одновременно работать на сервере.

Для оптимизации  Windows для работы в терминальной среде, VDI инфраструктуре или в виртуальной машине можно воспользоваться бесплатной утилитой VMware OS Optimization Tool, доступной на сайте  VMware Labs (https://labs.vmware.com/flings/vmware-os-optimization-tool#summary). На момент написания статьи была доступна версия b1084 от 2 ноября 2016, а для запуска утилиты требуется.Net Framework 3.5.

Утилита позволяет произвести оптимизацию образа Windows 7, 8.x, 10 и Windows Server 2008, 2012, 2012 R2 для использования в инфраструктуре виртуальных десктопов  VMware Horizon View. Однако это не мешает использовать ее для оптимизации настроек Windows в любой среде виртуализации, будь то Citrix, Microsoft или VMware.

В утилите VMware OS Optimization Tool имеется несколько предопределенных шаблонов оптимизации для разных версий Windows. В каждом шаблоне определен ряд системных настроек, которые согласно рекомендациям VMware и бест практикам, стоит использовать при работе ОС в виртуальной машине.  В шаблонах предусматривается отключение неиспользуемых служб,  функций и заданий планировщика Windows; заставок,  скринсейверов, звуковых схем и визуальных эффектов и т.д, т.е. всего того функционала, которые зря расходует ресурсы хостовой системы.

В нашем случае в качестве гостевой ОС ВМ используется  Windows 10. Посмотрим, как оптимизировать образ Windows 10 для высокой производительности в VDI среде. Запустим утилиту VMware OS Optimization Tool и списке шаблонов выберем VMWare\Windows 10.

VMware OS Optimization Tool

В списке настроек шаблона имеется ряд модификаций, которые желательно использовать при работе Windows 10  в среде виртуализации VMware. В качестве примера приведем несколько рекомендованных настроек из шаблона:

Collapse )

Mimikatz: предлагает сдаться? Часть 1

За месяц до атаки Petya.A наши админы ИТ-инфраструктуры, как дети, бегали, кричали и смеялись, что нашли потрясающую уязвимость Windows...
Только админы информационной безопасности устало отмахивались и про себя думали "Боже, какие дети!!!" потому, что это не уязвимость...
"Получение debug-привилегии mimikatz – это не взлом Windows, не несанкционированный доступ – это использование default-настройки времён 1999 года, т.е. стартового релиза Windows 2000. Возможность проведения таких действий – это проблема не ОС, а квалификации администраторов и инженеров."

Хотел об этом написать, но пока я думал, толковые ребята уже написали почти то, что я хотел

Привожу без сокращений:
Оригинал: https://www.atraining.ru/mimikatz-lsa-protection/

Mimikatz предлагает сдаться

Разбираем очередное всёпропальческое-админское на тему утилиты mimikatz


В процессе недавней атаки вируса-вымогателя Пети достаточно много внимания было уделено новому, со времён WannaCry, payload’у этого вируса. Действительно, новый зловред оперировал для захвата власти на локальных хостах не одной, а целым набором уязвимостей – касающихся не только ОС Windows, но и, к примеру, пакета Microsoft Office.

Особое внимание привлёк один из компонентов – т.н. mimikatz.

Этому модулю приписываются воистину чудодейственные возможности, заставляющие вспомнить золотые времена линукссообществ для умственно одарённых старшеклассников, с экспертным мнением вида:

любую венду кароч одним пакетом кладёт прорубает любой файервол если только не под линем работает

Реакция админствующего Windows-сообщества, исповедующего религию всё по дефолту развернуть как в MS рассказывают и пусть работает, сидим да не паримся, а если что – так всё надо просто перенакатить с нуля, или ты самый умный что ли?, впрочем, благодаря околонулевому пониманию матчасти, тоже особо не отличалась:

Мимикац предлагает сдаться?

Посмотрим.

Collapse )

Mimikatz: предлагает сдаться? Часть 2

За месяц до атаки Petya.A наши админы ИТ-инфраструктуры, как дети, бегали, кричали и смеялись, что нашли потрясающую уязвимость Windows...
Только админы информационной безопасности устало отмахивались и про себя думали "Боже, какие дети!!!" потому, что это не уязвимость...
"Получение debug-привилегии mimikatz – это не взлом Windows, не несанкционированный доступ – это использование default-настройки времён 1999 года, т.е. стартового релиза Windows 2000. Возможность проведения таких действий – это проблема не ОС, а квалификации администраторов и инженеров."

Хотел об этом написать, но пока я думал, толковые ребята уже написали почти то, что я хотел

Привожу без сокращений:
Оригинал: https://www.atraining.ru/mimikatz-lsa-protection/

Часть 2. Назад к Части 1

Mimikatz – получаем доступ к различной аутентификационной информации

В ОС Windows в целях совместимости – притом не только со старыми версиями Windows, но и со сторонними технологиями (например, чтобы подключающиеся по PPP-протоколам могли использовать классический CHAP) может храниться несколько вариантов хэша пароля пользователя.

Этот список может включать в себя следующие пункты:


  • Plaintext – пароль в открытом виде.

  • WDigest – пароль после CHAP / MD5-преобразования.

  • LM-hash – хэш для старого LanManager.

  • NTLM-hash – хэш для NTLM и Kerberos.

Mimikatz выгружает хэши и учётные данные из работающего lsass командой lsadump::lsa /name:Administrator /inject:

Много выгрузил, да.

Collapse )