דילוג לתוכן
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
כיווץ
תחומים

תחומים - פורום חרדי מקצועי
💡 רוצה לזכור קריאת שמע בזמן? לחץ כאן!
  1. דף הבית
  2. רשתות
  3. התחברות לRDP באמצעות windows hello

התחברות לRDP באמצעות windows hello

מתוזמן נעוץ נעול הועבר רשתות
9 פוסטים 3 כותבים 354 צפיות
  • מהישן לחדש
  • מהחדש לישן
  • הכי הרבה הצבעות
התחברו כדי לפרסם תגובה
נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
  • ח מנותק
    ח מנותק
    חוקר
    כתב ב נערך לאחרונה על ידי
    #1

    האם ניתן להתחבר לRDP באמצעות windows hello היינו הPIN במקום הסיסמא האמיתית של החשבון?
    ובאם ניתן להתחבר, האם ניתן להשבית את זה?
    מה שאני חותר.
    שאוכל לפתוח את המחשב להתחברות מרחוק דרך האינטרנט, היינו מהעולם החיצוני, לא רק ברשת הפנימית.
    להגדיר סיסמא חזקה לחשבון, לצורכי אבטחה..
    אך כשאני על יד המחשב עצמו שלא אצטרך להקיש את הסיסמא האמיתית הארוכה אלא קוד PIN מקוצר בלבד.

    yossizY 2 תגובות תגובה אחרונה
    0
    • yossizY מנותק
      yossizY מנותק
      yossiz
      השיב לחוקר ב נערך לאחרונה על ידי
      #2

      @חוקר אני לא יודע את התשובה לשאלה שלך, רק רציתי להעיר שחשוב מאוד לעדכן את ווינדוס תמיד אם יש לך RDP פתוח. מפעם לפעם הם סוגרים חורים די מפחידים.

      📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

      תגובה 1 תגובה אחרונה
      2
      • yossizY מנותק
        yossizY מנותק
        yossiz
        השיב לחוקר ב נערך לאחרונה על ידי yossiz
        #3

        @חוקר בנוגע לעצם השאלה שלך,

        בינתיים מאז שיצא ווינדוס 10 עם האופציה של Windows Hello לא הספקתי לחפור מספיק בנושא למרות שזה די מעניין אותי, ועוד חזון למועד...
        אבל ממה שאני מצליח להבין בינתיים:
        אין שום בעיה לאפשר התחברות באמצעות PIN גם דרך RDP, כי ה-PIN בעצמו לא עושה את האימות אלא זה המפתח עבור טוקן ששמור במחשב ב-TPM. והטוקן הזה אי אפשר לקבל אלא באמצעות סיסמה, ולא מספיק לזה PIN. לכן אין מצב שמישהו שאין בידו את הPINמחשב
        יצליח ליכנס לחשבון שלך ממחשב מרוחק.

        📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

        A0533057932A ח 2 תגובות תגובה אחרונה
        3
        • A0533057932A מנותק
          A0533057932A מנותק
          A0533057932
          השיב לyossiz ב נערך לאחרונה על ידי
          #4

          @yossiz אמר בהתחברות לRDP באמצעות windows hello:

          לכן אין מצב שמישהו שאין בידו את ה-PIN יצליח ליכנס לחשבון שלך ממחשב מרוחק

          ומי שיש בידו את הPIN?

          תגובה 1 תגובה אחרונה
          1
          • ח מנותק
            ח מנותק
            חוקר
            השיב לyossiz ב נערך לאחרונה על ידי
            #5

            @yossiz אמר בהתחברות לRDP באמצעות windows hello:

            ולא מספיק לזה PIN. לכן אין מצב שמישהו שאין בידו את ה-PIN יצליח ליכנס לחשבון שלך ממחשב מרוחק.

            הא גופא, היות והפין הוא קצר 4 תווים, והסיסמא ארוכה ומפותלת, אם היית אומר שלא ניתן להתחבר באמצעות הPIN הייתי רגוע..
            לפרוץ את הפין לא אמור להיות קשה היות והוא קצר, ולכן אני לא רגוע.

            yossizY תגובה 1 תגובה אחרונה
            1
            • yossizY מנותק
              yossizY מנותק
              yossiz
              השיב לחוקר ב נערך לאחרונה על ידי
              #6

              @חוקר @A0533057932 ערכתי ההודעה, כתבתי בטעות

              מי שאין בידו את ה-PIN

              התכוונתי שגם מי שיש בידו את ה-PIN זה לא יעזור לו אם אין לו את המחשב הפיזי שבו שמור מפתח הגישה שמוגן באמצעות אותו PIN, דהיינו המחשב האישי של ידידינו @חוקר.

              📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

              תגובה 1 תגובה אחרונה
              2
              • yossizY מנותק
                yossizY מנותק
                yossiz
                כתב ב נערך לאחרונה על ידי
                #7

                אחרי עוד קצת מחקר בנושא, אני מבין שיש שני מוצרים שונים שעונים לשם Windows Hello.
                יש את ה-hello הביתי ואת ה-hello for business.
                מה שתיארתי למעלה (שה-PIN מגן על טוקן קריפטוגרפי שנשמר ב-TPM) תואם לגירסה העסקית. בגירסה הביתית זה פחות משוכלל, ועדיין לא ברור לי בדיוק מה התהליך, אבל נראה לי שה-PIN מגן ישירות על הסיסמה המקורית (ז.א. שמעתה לא צריך לפרוץ את ההאש של הסיסמה רק את ה-PIN? לא יודע, וצריך עיון...).
                אבל בכל מקרה ה-PIN אמור לעבוד רק על מחשב שבו כבר נכנסת עם סיסמה מלאה.

                📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

                תגובה 1 תגובה אחרונה
                3
                • yossizY מנותק
                  yossizY מנותק
                  yossiz
                  כתב ב נערך לאחרונה על ידי yossiz
                  #8

                  טוב, אם זה מעניין למישהו, נסיתי לחקור עד כמה שידי מגעת בנושא של Windows Hello וזה מה שיצא:

                  • משום מה, אין הרבה מידע בנושא באינטרנט 😞
                  • יש שני מוצרים (כנ"ל)
                    • Windows Hello הביתי
                    • ו-Windows Hello for Business
                  • הגירסה הביתית עובד ככה:
                    • (הקדמה: הסיסמה של חשבון המשתמש בווינדוס לא שמורה בשום צורה שהיא במחשב. מה שנשמר הוא האש של הסיסמה. קשה מאוד עד בלתי אפשרי לפצח האש חזקה של סיסמה חזקה)
                    • בעת הגדרת ה-PIN אתה מזין את הסיסמה המקורית של החשבון!
                    • ווינדוס מצפינה את הסיסמה הזאת באמצעות הצפנה מתקדמת. כדי לפצח את ההצפנה חייבים או PIN או מידע ביומטרי. בעת הזנת ה-PIN/טביעת האצבע/מידע ביומטרי אחר - ווינדוס משתמשת במידע כדי לפענח את הסיסמה המקורית, הכניסה לחשבון נעשית על ידי אימות הסיסמה המקורית מול ההאש ששמורה ברג'יסטרי כמו בעת כניסה רגילה על ידי סיסמה. (מנגנון זו ידועה בתיעוד של מייקרוסופט כ-Convenience PIN)
                    • במחשבים שיש להם TPM, הפיענוח חייב לעבור דרך ה-TPM. זה מגן מפני התקפות Brute Force על ה-PIN.
                    • הסיסמה המוצפנת שמורה ב-Windows Vault באמצעות DPAPI CNG
                    • אפשר לשלוף את המידע משם באמצעות כלי זה של ניר סופר, אך זה עדיין מוצפן.
                    • אפשר לפענח את ההצפנה באמצעות תוכנת WPR. גם בגירסה הנסיון התכונה הזאת עובדת. אם קיים במאגר DPAPI מידע ביומטרי של המשתמש הם יכולים לפענח את הההצפנה על ידו, אם לא, צריך להזין את ה-PIN.
                  • הגירסה העסקית של Hello לעומת זאת עובדת בצורה אחרת לגמרי:
                    • האימות הסופי נעשה על ידי מפתח ציבורי/פרטי. לא על ידי סיסמה בכלל.
                    • לכל מכשיר יש מפתח פרטי משלו שאגוד רק למכשיר ההוא. המפתח מוגנת על ידי ה-TPM. והגישה למפתח מוגנת על ידי PIN/מידע ביומטרי.

                  בכל מקרה, מה שכתבתי למעלה קיים וישר,
                  אין שום אפשרות להיכנס באמצעות PIN של ווינדוס הלו, בלי גישה למחשב האישי של המשתמש, או לסיסמה המקורית. לכן אין בעיה אם ווינדוס Hello עובדת גם דרך RDP.
                  עם כל זה, אין לי מושג אם זה באמת מופעל גם ב-RDP או לא... לכן אין לי תשובה ישירה על שאלת @חוקר ... אבל השאלה לא במקום כי אין נפק"מ.

                  (עדיין לא ברור לי משהו, כי עד היום חשבתי ש-DPAPI מצפין דאטה על ידי סיסמת המשתמש. אם כן איך תהליך הכניסה לחשבון מפענח את הדאטה כדי לקבל את הסיסמה, בלי שניתן לו את הסיסמה? זה בעית הביצה והתרנגולת? אשמח אם מישהו יכול ליישב את זה.)

                  📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

                  תגובה 1 תגובה אחרונה
                  7
                  • yossizY מנותק
                    yossizY מנותק
                    yossiz
                    כתב ב נערך לאחרונה על ידי
                    #9

                    הנה לכל ההאקרים או אלה ששואפים להיות... יש כאן הדגמה של תהליך פענוח הסיסמה המקורית מתוך מאגר ה-DPAPI CNG באמצעות ה-PIN על ידי הכלי המפורסם במעגלי ההאקרים mimikatz. הסרטון מאת כותב הכלי. הכלי מזוהה כמזיק על ידי כל האנטי וירוסים למרות שאינו מזיק כלל. אבל האקרים משתמשים בזה הרבה לקבל סיסמאות וכדו' אז אם אתה רוצה לנסות תשבית את האנטי וירוס:

                    EgJujS8X0AAnCBr.mp4

                    📧 יוסי@מייל.קום | 🌎 בלוג | ☕ קפה

                    תגובה 1 תגובה אחרונה
                    6

                    בא תתחבר לדף היומי!
                    • התחברות
                    • אין לך חשבון עדיין? הרשמה
                    • התחברו או הירשמו כדי לחפש.
                    • פוסט ראשון
                      פוסט אחרון
                    0
                    • דף הבית
                    • קטגוריות
                    • פוסטים אחרונים
                    • משתמשים
                    • חיפוש
                    • חוקי הפורום