Como detener el robo de credenciales con Windows WDigest
Los atacantes pueden robar credenciales de usuario habilitando el almacenamiento en caché de credenciales en el protocolo de autenticación de Windows WDigest. Aquí se explica cómo detenerlos.
Una vez que los atacantes ingresan a un sistema, a menudo quieren elevar los privilegios o cosechar credenciales. Una forma de hacerlo es encontrar un protocolo de autenticación heredado de WDigest olvidado y abierto en los servidores. En Windows Server anterior a Server 2012 R2, el almacenamiento en caché de credenciales WDigest está habilitado de forma predeterminada. Cuando está habilitado, Lsass.exe retiene una copia de la contraseña de texto sin formato del usuario en la memoria, donde puede estar en riesgo de robo. Microsoft recomienda deshabilitar la autenticación WDigest a menos que sea necesario.
Establecer el valor UseLogonCredential en 0 le dice a WDigest que no almacene las credenciales en la memoria. Este valor no está configurado de forma predeterminada en un sistema Server 2008 R2. Para agregarlo, desplácese hacia abajo hasta la máquina local HKEY hasta el valor indicado, haga clic con el botón derecho en "Nuevo", luego "Agregar un valor Dword de 32 bits" y agregue UseLogonCredential.
Agregar esta clave de registro borra las contraseñas de la memoria: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest\LogonCredential
Agregar un REG_DWORDde 0
¿Te es util este articulo?. ¿Tienes una opinion relacionada con este articulo?. ¿Te has entretenido con nosotros?.
Si la respuesta es afirmativa, dejanos un comentario :) y como no Gracias por vernos