Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Senhas em Texto Claro WDigest: Roubando Mais do que um Hash

Senhas em Texto Claro WDigest: Roubando Mais do que um Hash

Oct 11, 2022

O que é WDigest?

A Autenticação Digest é um protocolo de desafio/resposta que era principalmente utilizado no Windows Server 2003 para autenticação LDAP e baseada na web. Utiliza trocas do Protocolo de Transferência de Hipertexto (HTTP) e da Camada de Segurança de Autenticação Simples (SASL) para autenticar.

Em um nível alto, um cliente solicita acesso a algo, o servidor de autenticação desafia o cliente e o cliente responde ao desafio criptografando sua resposta com uma chave derivada da senha. A resposta criptografada é comparada com uma resposta armazenada no servidor de autenticação para determinar se o usuário possui a senha correta. A Microsoft fornece uma explicação muito mais in-depth explanation of WDigest.

Qual é o risco de segurança que o WDigest introduz?

WDigest armazena senhas em texto claro na memória. Portanto, se um adversário que tem acesso a um endpoint puder usar uma ferramenta como Mimikatz para obter não apenas os hashes armazenados na memória, mas também as senhas em texto claro. Como resultado, eles não estarão limitados a ataques como Pass-the-Hash; eles também poderão fazer login no Exchange, sites internos e outros recursos que exigem a entrada de um ID de usuário e senha.

Por exemplo, suponha que o usuário “TestA” usou a área de trabalho remota para acessar uma máquina, deixando sua senha na memória. A captura de tela abaixo ilustra o que um atacante veria ao extrair credenciais da memória dessa máquina usando Mimikatz. Como você pode ver, eles obtêm tanto o hash da senha NTLM da conta quanto a senha em texto claro “Password123”.

Image

O que pode ser feito para mitigar esse risco?

Felizmente, a Microsoft lançou uma atualização de segurança (KB2871997) que permite às organizações configurar uma definição de registro para impedir que o WDigest armazene senhas em texto claro na memória. No entanto, fazer isso fará com que o WDigest não funcione, então a Microsoft recomenda primeiro verificar se a autenticação Digest está sendo usada no seu ambiente. Verifique os logs de eventos nos seus servidores para o ID de evento 4624 e verifique os logs do controlador de domínio para o ID de evento 4776 para ver se algum usuário fez login com 'Pacote de Autenticação: WDigest'. Uma vez que tenha certeza de que não há tais eventos, você pode fazer a alteração no registro sem impactar seu ambiente.

Windows 7, Windows 8, Windows Server 2008 R2 e Windows Server 2012

Para Windows 7, Windows 8, Windows Server 2008 R2 e Windows Server 2012, instale a atualização KB2871997 e depois defina a seguinte chave de registro para 0:

Image

A maneira mais fácil de fazer isso é através da Group Policy, mas o seguinte script também funcionará:

      reg add
HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v
UseLogonCredential /t REG_DWORD /d 0

Versões mais recentes do Windows e Windows Server

Versões mais recentes do Windows e Windows Server não requerem a atualização de segurança, e o valor do registro é definido como 0 por padrão. No entanto, você deve verificar se o valor não foi alterado manualmente utilizando o seguinte script:

      reg query
HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v
UseLogonCredential

Resultados

Uma vez que este valor de registro tenha sido definido como 0, um atacante que esteja extraindo credenciais da memória não obterá a senha em texto claro; em vez disso, verá o seguinte:

Image

Tabela de Referência

Aqui está um gráfico para ajudá-lo a determinar se você precisa tomar medidas em seus endpoints:

Image

Resumo Rápido

WDigest armazena credenciais em texto claro na memória, onde um adversário poderia roubá-las. A atualização de segurança da Microsoft KB2871997 aborda o problema em versões mais antigas do Windows e Windows Server, permitindo que você defina um valor de registro, e as versões mais recentes possuem o valor adequado por padrão.

Verificar essa configuração de registro em todos os seus endpoints Windows deve ser uma prioridade, pois o roubo de credenciais pode levar à perda de informações sensíveis. Uma maneira de fazer isso é executar consultas de linha de comando em todos os seus hosts; uma opção mais rápida é automatizar o processo com uma solução de auditoria que fornece os resultados em um relatório de fácil compreensão.

Como a Netwrix pode ajudar?

Netwrix Access Analyzer pode ajudá-lo a aprimorar a segurança da sua infraestrutura Windows e minimizar o risco de uma violação de dados. Ele permite que você:

  • Identifique vulnerabilidades que possam ser exploradas por atacantes para comprometer sistemas Windows e acessar seus dados.
  • Garanta a segurança e as políticas operacionais por meio da análise de baseline configuration.
  • Audite e governe contas privilegiadas.
  • Comprove a conformidade mais facilmente com relatórios pré-construídos e total transparência do sistema.

Netwrix Access Analyzer

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Kevin Joyce

Diretor de Product Management

Diretor de Product Management na Netwrix. Kevin tem uma paixão por segurança cibernética, especificamente em compreender as táticas e técnicas que os atacantes usam para explorar os ambientes das organizações. Com oito anos de experiência em product management, focando em Active Directory e segurança do Windows, ele levou essa paixão para ajudar a construir soluções para organizações protegerem suas identidades, infraestrutura e dados.

Saiba mais sobre este assunto

Como criar, alterar e testar senhas usando PowerShell

Usando Windows Defender Credential Guard para Proteger Credenciais Privilegiadas

O que é Microsoft LAPS: Como Você Pode Melhorar a Segurança Dele?

Usando o grupo de usuários protegidos contra ameaças

O que é o Kerberos PAC?

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança