Practica 4 - Credential Guard
Practica 4 - Credential Guard
2018-6520
Grupo 2
Introducción
Server 2016 que esencialmente protege su máquina de ataques como pasar el hash y otras
virtualización para aislar secretos para que solo el software del sistema privilegiado pueda
acceder a ellos.
virtualización para aislar secretos, de modo que solo el software de sistema privilegiado pueda
acceder a ellos. El acceso no autorizado a estos secretos puede derivar en ataques de robo de
Defender impide estos ataques mediante la protección de los hash de contraseña NTLM, los
vales de concesión de vales de Kerberos y las credenciales que almacenan las aplicaciones como
credenciales de dominio.
características:
operativo se comunica con un nuevo componente denominado proceso LSA aislado que
almacena y protege estos secretos. Los datos almacenados mediante el proceso LSA aislado se
protegen con la seguridad basada en la virtualización y no son accesibles para el resto del sistema
operativo. LSA usa llamadas a procedimiento remoto para comunicarse con el proceso LSA
aislado.
dispositivo. En su lugar, solo hospeda un pequeño subconjunto de binarios del sistema operativo
que solo son necesarios para la seguridad. Todos estos binarios se firman con un certificado de
Algunas maneras de almacenar las credenciales no están protegidas por Credential Guard
Windows
2016.
Ataques físicos
No impide que un atacante con malware en el equipo use los privilegios asociados
con cualquier credencial. Se recomienda usar equipos dedicados para las cuentas
de gran valor, como los profesionales de TI y los usuarios con acceso a activos de
dominio, damos clic derecho, seleccionamos Crear Nueva GPO, y escribimos un nombre para
la misma y aceptamos.
Paso 2: Una vez creada, damos clic derecho sobre la misma, seleccionamos la opción
Editar.
Paso 3: Nos dirigimos a Computer Configuration -> Policies -> Administrative
Templates -> System -> Device Guard -> Turn On Virtualization Based Security.
Paso 4: Habilitamos la Seguridad Basada en Virtualización, seleccionamos el nivel de
Paso 6: Hacemos uso de las teclas Inicio + R, escribimos msinfo32.exe, para abrir
protege los hash de las contraseñas NTLM, los tickets de concesión de Kerberos y
ATAQUES PASS-THE-HASH
Los ataques PtH o Pass The Hash permiten utilizar el robo de credenciales, ya sea
mediante el uso de la contraseña obtenida o el hash robado. El proceso que es llevado a cabo se
realiza en dos etapas, la primera el atacante debe obtener un acceso administrativo local en al
menos un ordenador del ámbito empresarial, y en segundo lugar el atacante tratará de aumentar
el acceso a otros equipos de la red, pero ¿Cómo? Fácil, los pasos son:
El robo de una credencial o más del equipo comprometido. Es decir, una vez el
equipo comprometido.
Reutilizar las credenciales robadas para acceder a otros sistemas y/o servicios
usarla para entrar otra máquina que también tenga ese usuario con el mismo hash.
Este hecho es utilizado en una auditoría real de índole interno con el fin de aumentar
progresivamente el nivel de acceso que un atacante, que simule un rol de empleado sin
derivación matemática directa de la propia contraseña. Este hash proporciona al sistema una
prueba de que el usuario conoce la contraseña, ya que lo ideal es que una contraseña disponga de
una única representación en formato hash, cosa que no es real. Después de que el atacante haya
robado el usuario y el autenticador o hash, el atacante podría hacer efectivo el acceso a los
recursos locales o remotos de dicha cuenta, privilegios de ésta, etc. Si la cuenta comprometida es
una cuenta con privilegios, como un administrador de dominio, las ganancias por parte del
atacante son infinitas, ya que tendría acceso a todo el dominio y ser cualquier usuario del
dominio. Hay que tener muy en cuenta que cualquier credencial almacenadas en un equipo
pueden ser robadas con este tipo de ataques, incluyendo las cuentas locales de los usuarios
(SAM), cuentas de usuario de dominio, de servicio y de equipo. Las cuentas de dominio que no
se hayan utilizado para iniciar sesión en el equipo comprometido no podrán ser robadas, a no ser
Para que un atacante pueda utilizar un hash robada en otro equipo, éste debe cumplir unos
requisitos:
La cuenta del usuario debe tener un hash idéntico al que se robó en la máquina
usuario y contraseña.
equipo remoto.
Ataque: Descripción
a otro equipo del mismo valor para la organización. Por ejemplo, el atacante puede utilizar
para obtener acceso a otro equipo que disponga de la misma cuenta (mismo usuario, mismo
pass). ¿Se quedará ahí el atacante? Es obvio que no, el siguiente paso será la elevación de
comprometido para acceder a otro equipo de un mayor valor para la organización. El ejemplo
administrativo en un equipo puede incluir la posibilidad de ejecutar una aplicación o script con
una cuenta en el grupo de administradores locales, aunque este tipo de acceso también se puede
lograr mediante el uso de privilegios, tales como "la toma de posesión". Con acceso
administrativo un atacante puede robar credenciales de varios lugares en el equipo, como, por
ejemplo:
SAM, Security Account Manager. Fichero que se encuentra en %windir
%\system32\config.
Directory.