Los atacantes pueden robar credenciales de usuario habilitando el almacenamiento en caché de credenciales en el protocolo de autenticación de Windows WDigest. Aquí se explica cómo detenerlos.
Una vez que los atacantes ingresan a un sistema, a menudo quieren elevar los privilegios o cosechar credenciales. Una forma de hacerlo es encontrar un protocolo de autenticación heredado de WDigest olvidado y abierto en los servidores. En Windows Server anterior a Server 2012 R2, el almacenamiento en caché de credenciales WDigest está habilitado de forma predeterminada. Cuando está habilitado, Lsass.exe retiene una copia de la contraseña de texto sin formato del usuario en la memoria, donde puede estar en riesgo de robo. Microsoft recomienda deshabilitar la autenticación WDigest a menos que sea necesario.
Establecer el valor UseLogonCredential en 0 le dice a WDigest que no almacene las credenciales en la memoria. Este valor no está configurado de forma predeterminada en un sistema Server 2008 R2. Para agregarlo, desplácese hacia abajo hasta la máquina local HKEY hasta el valor indicado, haga clic con el botón derecho en "Nuevo", luego "Agregar un valor Dword de 32 bits" y agregue UseLogonCredential.
Agregar esta clave de registro borra las contraseñas de la memoria: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest\LogonCredential
Agregar un REG_DWORDde 0
Fecha actualización el 2021-09-18. Fecha publicación el 2019-09-18. Categoría: windows Autor: Oscar olg Mapa del sitio Fuente: csoonline. Version movil