Durante um PenTest o MimiKatz é uma excelente ferramenta para extrair as Senhas dos Usuários, mas como Profissionais de Segurança da Informação temos que garantir que o uso MimiKatz ou de qualquer outra ferramenta de extração de senhas na memória não seja efetiva.
Por isso é importante manter sempre atualizados o Sistema Operacional e o Antivírus de todos os Computadores e Servidores que você administra, e vale destacar a importância de se aplicar um Hardening em todo o ambiente.
Artigo : MimiKatz
Para evitar que esta extração de senha ocorra é necessário realizar a instalação do KB2871997.
Abra o Command Prompt e execute a linha abaixo para criar uma Chave no Regedit.
// Este procedimento é para um servidor pontual, mas você pode aplicar o mesmo processo via GPO para todos os Computadores e Servidores.
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0
Em seguida Reinicie o Servidor.
Caso queira validar a inserção da nova Chave, abra o Regedit e Navegue :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest] "UseLogonCredential"=dword:00000000
Ao tentar executar o MimiKatz observe que a linha Password está com o valor null dificultando a extração da senha pelo atacante.