Mark Russinovich 的 Ps Tools 是非常方便的远程管理实用程序。但是,它们都带有一个很大的警告。
请注意,密码以明文形式传输到远程系统。
http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx
仅当向工具提供凭据时才会发生这种情况,例如当本地使用的帐户在远程系统上没有权限时?还是某种形式的身份验证器(密码、令牌或哈希)总是以明文形式发送?如果我使用在远程系统上具有必要权限的帐户在本地登录(因此,不必向 Ps Tool 提供我的密码),我的凭据是否仍然存在风险?
我如何向自己或其他人展示这一点,比如使用 Wireshark?我可以使用哪些过滤器来隔离关键数据包,以及应该显示哪些属性?
我相信您寻求的大部分答案都来自于 Mike Pilkington 在 SANS 取证和 IR 峰会(2011 年 6 月)上所做的分析:
博客文章: http ://www.dshield.org/diary.html?storyid=11173和 http://computer-forensics.sans.org/blog/2010/06/01/protecting-admin-passwords-remote-response -取证/
演示幻灯片的 PDF: http: //securityscaper.com/Protecting%20Privileged%20Domain%20Accounts%20during%20Live%20Response%20-%20June%202011.pdf
博客文章和演示文稿详细讨论了这些技术,解释了他的调查方法,并推荐了使用这些工具的更安全的方法。
总体主题是使用替代身份验证方法来避免将密码暴露给网络,但要小心谨慎,以免这些帐户受到可疑系统上的恶意软件的破坏。
在上面的 DFIR 博客文章中,Mike 说:“首先,您可以使用 PsExec 使用一种简单的解决方法来避免以明文形式发送密码。诀窍是首先安装远程计算机的 IPC$ 共享,然后使用 PsExec。 Jean-Baptiste Marchand 写了一篇关于这种技术的优秀文章,以及其他一些远程管理技巧。” 链接到 JBM 从 2005 年开始的详细文章: http ://www.governmentsecurity.org/forum/topic/28152-windows-built-in-remote-administration-tools/
hth,亚德里克
2014 年 5 月发布的 PSExec 版本 - 2.1 版 - 通过加密所有通信来弥补这一安全漏洞:
http://batchpatch.com/psexec-v2-1-all-network-communication-is-now-encrypted
您可以在此处获取安全版本:http: //msdn.microsoft.com/en-us/library/bb897553.aspx
数据包捕获软件上的过滤器将轻松对您需要的数据进行排序。
过滤:
从那里您将能够找到信息是否以明文形式发送。