Windows 7, 8 und 10 absichern ohne Credential Guard

Chance für 7

Jürgen Fechter, Joachim Keltsch

Auch bei älteren Windows-Systemen lässt sich der Diebstahl von Klartext-Hashes erschweren. Ohne Hash wird ein Pass-the-Hash-Angriff unmöglich und damit die IT-Sicherheit deutlich erhöht.

Der Artikel „10 gewinnt“ (Seite 44) erläutert, wie die Sicherheitsumgebung Credential Guard verhindert, dass Angreifer Klartextgeheimnisse erbeuten und damit die Identität des Diebstahlopfers annehmen. Das funktioniert leider erst ab Windows 10 beziehungsweise Windows Server 2016. Aber auch auf älteren Systemen kann man das Stehlen von Passwörtern und Klartext-Hashes erschweren und generell das Sicherheitsniveau erhöhen.

Listing: Mimikatz-Ergebnis

C:\Software\mimikatz_trunk\x64>mimikatz.exe

  .#####.   mimikatz 2.1 (x64) built on Aug 22 2016 00:57:48
 .## ^ ##.  "A La Vie, A L'Amour"
 ## / \ ##  /* * *
 ## \ / ##   Benjamin DELPY ’gentilkiwi’ ( benjamin@gentilkiwi.com )
 '## v ##'   http://blog.gentilkiwi.com/mimikatz             (oe.eo)
  '#####'                                     with 20 modules * * */

mimikatz(commandline) # privilege::debug
Privilege '20' OK
mimikatz(commandline) # sekurlsa::logonpasswords

Authentication Id : 0 ; 518324 (00000000:0007e8b4)
Session           : RemoteInteractive from 2
User Name         : admin
Domain            : COMPANY
Logon Server      : DC1
Logon Time        : 20.08.2016 16:28:37
SID               : S-1-5-21-504569365-2122958605-3922303804-1108
        msv :
         [00000003] Primary
         * Username : admin
         * Domain   : COMPANY
         * NTLM     : 217e50203a5aba59cefa863c724bf61b
         * SHA1     : ba380c17a7b2e0233a89896e6b4d412ced541c40
         [00010000] CredentialKeys
         * NTLM     : 217e50203a5aba59cefa863c724bf61b
         * SHA1     : ba380c17a7b2e0233a89896e6b4d412ced541c40
        tspkg :
         * Username : admin
         * Domain   : COMPANY
         * Password : P@ssw0rd!
        wdigest :
         * Username : admin
         * Domain   : COMPANY
         * Password : P@ssw0rd!
        kerberos :
         * Username : admin
         * Domain   : COMPANY.ZZ
         * Password : (null)
        ssp :
        credman :

Mimikatz zeigt die Passwörter von WDigest und tspkg im Klartext an.

Naheliegend ist, alle unnötigen Komponenten abzuschalten, die Passwörter oder Klartext-Hashes zwischenspeichern. Der erste Kandidat dafür ist die mit Windows XP eingeführte WDigest-Authentifizierung. Sie speichert Passwörter im Klartext in der Local Security Authority (LSA), sprich im lokalen Arbeitsspeicher. IT-Verantwortliche müssen dazu das Sicherheitspaket KB2871997 (siehe „Alle Links“) installieren und folgenden Registry-Key setzen: