SeDebugPrivilege
Was ist SeDebugPrivilege?
SeDebugPrivilegeSehr machtiges Windows-Privileg, das den Halter beliebige Prozesse — auch LSASS — offnen, lesen und manipulieren lasst und damit ein bevorzugtes Ziel von Credential-Dieben ist.
SeDebugPrivilege ist ein in der Local Security Authority definiertes Windows-Privileg. Tragt es ein Prozess-Token, kann dieser jeden Prozess oder Thread (auch unter SYSTEM) mit PROCESS_ALL_ACCESS offnen. Standardmassig wird es nur der lokalen Administrators-Gruppe und SYSTEM-Prozessen erteilt; Microsoft dokumentiert es als praktisch aequivalent zu Adminrechten auf dem Host. Mimikatz, ProcDump (zum LSASS-Dump) und EDR-Produkte benoetigen dieses Privileg zur Speicher-Introspektion. Angreifer schaetzen es: Mit SeDebugPrivilege lassen sich LSASS dumpen, Tokens kapern, in geschuetzte Prozesse injizieren und Security-Tools deaktivieren. Verteidiger uberwachen die Events 4673/4703 im Windows-Security-Log, setzen Credential Guard ein und entziehen das Recht via GPO.
● Beispiele
- 01
Ein Angreifer aktiviert SeDebugPrivilege im Mimikatz-Prozess und fuhrt sekurlsa::logonpasswords aus, um LSASS zu dumpen.
- 02
ProcDump -ma erstellt einen LSASS-Memory-Dump fur die Offline-Credential-Extraktion.
● Häufige Fragen
Was ist SeDebugPrivilege?
Sehr machtiges Windows-Privileg, das den Halter beliebige Prozesse — auch LSASS — offnen, lesen und manipulieren lasst und damit ein bevorzugtes Ziel von Credential-Dieben ist. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet SeDebugPrivilege?
Sehr machtiges Windows-Privileg, das den Halter beliebige Prozesse — auch LSASS — offnen, lesen und manipulieren lasst und damit ein bevorzugtes Ziel von Credential-Dieben ist.
Wie funktioniert SeDebugPrivilege?
SeDebugPrivilege ist ein in der Local Security Authority definiertes Windows-Privileg. Tragt es ein Prozess-Token, kann dieser jeden Prozess oder Thread (auch unter SYSTEM) mit PROCESS_ALL_ACCESS offnen. Standardmassig wird es nur der lokalen Administrators-Gruppe und SYSTEM-Prozessen erteilt; Microsoft dokumentiert es als praktisch aequivalent zu Adminrechten auf dem Host. Mimikatz, ProcDump (zum LSASS-Dump) und EDR-Produkte benoetigen dieses Privileg zur Speicher-Introspektion. Angreifer schaetzen es: Mit SeDebugPrivilege lassen sich LSASS dumpen, Tokens kapern, in geschuetzte Prozesse injizieren und Security-Tools deaktivieren. Verteidiger uberwachen die Events 4673/4703 im Windows-Security-Log, setzen Credential Guard ein und entziehen das Recht via GPO.
Wie schützt man sich gegen SeDebugPrivilege?
Schutzmaßnahmen gegen SeDebugPrivilege kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SeDebugPrivilege?
Übliche alternative Bezeichnungen: SeDebug, Programme debuggen-Recht.
● Verwandte Begriffe
- identity-access№ 1162
Token-Impersonation
Windows-Privilegienerweiterungstechnik (MITRE ATT&CK T1134), bei der ein Angreifer ein vorhandenes Access-Token dupliziert und in Code im Kontext eines anderen Benutzers ausfuhrt.
- identity-access№ 1194
User Account Control (UAC)
Windows-Sicherheitsfunktion seit Vista, die interaktive Sitzungen mit eingeschranktem Token betreibt und vor jeder administrativen Aktion Zustimmung oder Anmeldedaten anfordert.
- vulnerabilities№ 860
Privilegieneskalation
Eine Klasse von Schwachstellen, die einem Angreifer höhere Rechte verschafft als ursprünglich vergeben — etwa vom normalen Benutzer zum Administrator.
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.