横向运动: Windows的好处是什么？

Question

我是一名安全研究员，今晚我在我们的环境中实现了Windows Hello For Business，因为它被标榜为“未来的无密码方式”，我想看看它是否能兑现它的承诺。

该决定是在基于证书的认证(AD2016+ADFS+WindowsCA)的前提下进行的，然后从横向移动的角度对其进行测试。我注册了我的笔记本电脑，注册了面部识别和备用密码的WH4B。虽然安装本身是一个真正的皮塔(10+小时使它运行)，它现在工作良好，我可以看到脸解锁是一个很好的方便因素相比，键入一个密码。

但安全方面呢？运行mimikatz。锁密码..。我仍然得到所有的NTLM哈希，kerberos票和明文密码。横向运动:和以前一样。什么都没变。

我是实现了WH4B错误，还是这就是它的方式？我跟踪了此Microsoft指南。

Answer 1

公开:我在构建WHfB的团队工作。

Windows只是减少凭证盗窃和横向移动的一个垂直窗口。这个问题没有一刀切的解决办法，因为空间太大了。

Windows Hello旨在防止窃取长期机密，从而迫使攻击者将堆栈向上移动到短期或短暂的机密。这本身就使得它更容易被发现，限制攻击者的攻击窗口更短，并阻止机器和服务之间的移动。这是通过为用户创建每个设备的密钥，并使用生物识别或PIN来解锁这些密钥来实现的。密钥本身是通过TPM加密的设备绑定的。然后，通过PKInit将这些键用作Kerberos的客户端凭据。

这并不意味着您不能窃取派生的秘密，如Kerberos票证或NTLM散列。还有其他一些特性使得这更困难，比如凭证保护或LSA隔离。

Answer 2

请重新运行此练习，使用户成为受保护用户的成员，并为该用户启用标志:交互式登录需要智能卡。

更多信息：

https://techcommunity.microsoft.com/t5/security-compliance-and-identity/how-to-enabling-mfa-for-active-directory-domain-admins-with/m-p/2803878