LSASSがKerberos環境にクリアテキストのパスワードを保存しないようにする

LSASSがユーザーがマシンでキーボードインタラクティブログオンを実行した場合、クリアテキストのパスワード を保存することはよく知られたセキュリティリスクです。リモートワークステーションへのRDPの使用。

これに対する古典的な修正もあります-wdigestとtspkgを無効にします。これまでのところ良好ですが、Kerberosがサポートされている場合は、チケット許可チケット（TGT）を更新するためにクリアテキストのパスワードが必要となるため、岩と困難な場所の間に残ります-Kerberosをサポートせずにすべてを楽しんでくださいハッシュの受け渡しに関連するリスク、またはKerberosをサポートし、クリートテキストパスワードのリスクを受け入れます。リンクされた投稿は、私が受け入れられないと思う以下のアドバイスを提供します：

したがって、最も効果的な保護は、信頼できないホストへの対話型ログオンを回避することです。

大企業には数千のサーバーがありますが、どのサーバーが危険にさらされており、ログインを回避すべきかをどのようにして知っていますか

私の質問：安全なキーボードインタラクティブログオンを許可する2FAを（後でこれらの問題に）展開する以外の実用的な方法はありますか？

追伸2FAについて。最も一般的な方法は、パスコード+ OTPおよびスマートカード上のX.509 PKIです。それらは完璧でもありません：

1. lsassプロセスをハイジャックした場合、パスコードが有効な間は、間違いなくotp + passcodeを使用して他のサーバーにログオンできます。自動化を使用すると、これは60秒間に数十以上のサーバーにログオンしたことを意味します
2. この TechNet記事 に従って、ユーザーはPINをサーバーに送信し、スマートカードをRDPサーバーで使用できるようにします。同じプロセス最初の項目は、管理者が侵入先のサーバーをクリックして離れている間に、多くのサーバーをハッキングするために使用できます。

°º¤ø,¸¸,ø¤º°`°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°`°º¤ø,¸°º¤ø,¸¸,ø¤º°`°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°`°º¤ø,¸

2018 Update：Windows Server 2012 R2およびWindows 8.1以降、LSASSは を有効にすることで保護されたプロセスとして実行できますRunAsPPL の設定と資格情報のダンプの禁止。 Windows 10およびServer 2016以降、 Windows Credential Guard がデフォルトで有効になり、同様の結果が得られます。

°º¤ø,¸¸,ø¤º°`°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°`°º¤ø,¸°º¤ø,¸¸,ø¤º°`°º¤ø,¸,ø¤°º¤ø,¸¸,ø¤º°`°º¤ø,¸