Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > RDP restricted admin režim, (ne)vykrádání hesel a Kerberos ověření
červen 04
RDP restricted admin režim, (ne)vykrádání hesel a Kerberos ověření

Předevčírem jsem dostal komentář k článku o vykrádání hesel z paměti (neboli pass-the-hash a pass-the-password). Je to velmi zajímavá novinka, takže samostatný článeček k tomuto tématu. Komentář upozorňuje na novou, Windows 2012 R2 a Windows 8.1 funkci RDP klienta a RDP serveru, nazvanou Restricted Admin.

Nejprve bych chtěl říct, že to je zrovna krásná metoda, jak omezit přenos plain-textových hesel z MSTSC klienta do RDP serveru.

Celé to vyžaduje jen spustit MSTSC klienta s parametrem /RestrictedAdmin:

mstsc /restrictedadmin

Když to uděláte, objeví se vám normální okno klienta. Změna je ale vidět hned, jak zadáte jméno nějakého RDP serveru. Políčko User name zešedne a dole pod ním se objeví hláška Your Windows logon credentials will be used to connect. To je stejný projev, jako když máte zapnut RDP SSO (single-sign-on) pomocí Credentials Delegation - Allow Delegating Default Credentials.

Jak v případě credentials delegation, tak i v případě restricted admin režimu, to vyžaduje nejprve Kerberos vzájmené před-ověření (authentication) jak MSTSC klienta tak i vzdáleného RDP serveru. Po připojení se vám to projeví ikonkou zámečku v horní liště a nápisem The identity of the remote computer was verified by using Kerberos.

Jenže při credentials delegation tam klient posílá plaint-text heslo. Zatímco při restricted admin režimu tam neposílá v podstatě nic. Tedy posílá tam jen TGS tiket pro ten terminálový server (tedy SPN - service principal name - TERMSRV).

Jestliže tam posíláte jen TGS tiket, tak tam vlastně neposíláte nic jiného, než normálně předáváte na vzdálený server při přístupu do sdíleného adresáře (SMB), do SQL serveru, do Exchange serveru, nebo přes HTTP do SharePoint. Jen mu bezpečně (mutual authentication, AES) prokazujete svoji identitu.

Cílový server tak nebude mít nic v paměti, co by šlo vykrást. Na druhé straně tam taky nemá nic, s čím byste mohli chodit dále po síti. Znamená to, že pracovat můžete jen lokálně na tom RDP serveru, můžete lokálně přistupovat na jeho vlastní síťové služby, ale to je všechno. Do sítě se už dál nedostanete. To by musel mít ten RDP server povolenu Kerberos delegaci - a musím ještě vyzkoušet, jestli to s ní vůbec funguje.

Tedy dostanete, pokud se vás to zeptá na login a heslo.

Dobrý ne? Takže suprovní ochrana hesla. Pokud tedy nepoužíváte čipovou kartu. Stejně na tom vzdáleném počítači chcete jen něco upravit a do sítě nejspíš ani moc chodit nepotřebujete. Hlavně se tam neposílá plné heslo. Pokud nevíte, kdo je tam lokálním adminem, tak mu takhle nic nedáváte od ruky.

Comments

Re: RDP restricted admin režim, (ne)vykrádání hesel a Kerberos ověření

... je k tomu i nové Group Policy nastavení nazvané "Restrict delegation of credentials to remote servers", které zablokuje posílání toho plain-text hesla i v případě, že máte natvrdo povolenou tu SSO možnost pomocí "Allow delegating default credentials".
ondass on 4.6.2014 13:02

Re: RDP restricted admin režim, (ne)vykrádání hesel a Kerberos ověření

ke Kerberos delegaci - právě jsem ověřil, že jestli má ten RDP server povolenu Kerberos delegation (Trust this computer for delegation to any service v mém případě), tak z něho i nadále můžete v klidu chodit po síti.

Tuhle delegaci samozřejmě zapínat nechcete, protože to je skoro horší, než tam posílat to plain-text heslo, ale za pokus to stálo :-)
ondass on 4.6.2014 15:21

Re: RDP restricted admin režim, (ne)vykrádání hesel a Kerberos ověření

Dika za clanek. To ja mam v podstate opacny problem. Vynuceni politky "Restrict delegation of credentials to remote servers" efektivne killne moznost vyvolani RDC na jakykoliv server/stanici. A nebo mi nekde unika nejaky dalsi GPO nastaveni, coz nevylucuju :-).
mig on 4.6.2014 20:28

Re: RDP restricted admin režim, (ne)vykrádání hesel a Kerberos ověření

další související článeček zde: https://www.sevecek.com/Lists/Posts/Post.aspx?ID=595
ondass on 1.3.2017 6:54

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments