Windows 7, 8 und 10 absichern ohne Credential Guard
Chance für 7
Jürgen Fechter, Joachim Keltsch
Auch bei älteren Windows-Systemen lässt sich der Diebstahl von Klartext-Hashes erschweren. Ohne Hash wird ein Pass-the-Hash-Angriff unmöglich und damit die IT-Sicherheit deutlich erhöht.
Der Artikel „10 gewinnt“ (Seite 44) erläutert, wie die Sicherheitsumgebung Credential Guard verhindert, dass Angreifer Klartextgeheimnisse erbeuten und damit die Identität des Diebstahlopfers annehmen. Das funktioniert leider erst ab Windows 10 beziehungsweise Windows Server 2016. Aber auch auf älteren Systemen kann man das Stehlen von Passwörtern und Klartext-Hashes erschweren und generell das Sicherheitsniveau erhöhen.
Naheliegend ist, alle unnötigen Komponenten abzuschalten, die Passwörter oder Klartext-Hashes zwischenspeichern. Der erste Kandidat dafür ist die mit Windows XP eingeführte WDigest-Authentifizierung. Sie speichert Passwörter im Klartext in der Local Security Authority (LSA), sprich im lokalen Arbeitsspeicher. IT-Verantwortliche müssen dazu das Sicherheitspaket KB2871997 (siehe „Alle Links“) installieren und folgenden Registry-Key setzen: