Менеджер аккаунта безопасности

Эта статья поднимает множество проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалить эти сообщения-шаблоны )

Эта статья может быть слишком технической для понимания большинства читателей . Пожалуйста, помогите улучшить его, чтобы он был понятен неспециалистам , не удаляя технических деталей. ( Март 2012 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален.
Источники поиска: «Менеджер по безопасности» - новости · газеты · книги · ученый · JSTOR ( сентябрь 2014 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

( Узнайте, как и когда удалить этот шаблон сообщения )

Менеджер учетных записей безопасности ( SAM ) представляет собой файл базы данных ^[1] в Windows XP, Windows Vista, Windows 7, 8.1 и 10 , что пароли пользователей магазинах. Его можно использовать для аутентификации локальных и удаленных пользователей. Начиная с Windows 2000 SP4, Active Directory аутентифицирует удаленных пользователей. SAM использует криптографические меры для предотвращения доступа к системе неаутентифицированных пользователей.

Пароли пользователей хранятся в хешированном формате в кусте реестра либо в виде хеша LM, либо в виде хеша NTLM . Этот файл можно найти в %SystemRoot%/system32/config/SAMи установлен на HKLM/SAM.

Пытаясь повысить безопасность базы данных SAM от взлома программного обеспечения в автономном режиме, Microsoft представила функцию SYSKEY в Windows NT 4.0. Когда SYSKEY включен, копия файла SAM на диске частично зашифрована, так что хеш-значения паролей для всех локальных учетных записей, хранящихся в SAM, зашифровываются с помощью ключа (обычно также называемого «SYSKEY»). Его можно включить, запустив syskeyпрограмму. ^[2]

Криптоанализ [ править ]

В 2012 году было продемонстрировано, что каждую возможную перестановку хэша пароля NTLM из 8 символов можно взломать менее чем за 6 часов. ^[3] В 2019 году это время было сокращено примерно до 2,5 часов за счет использования более современного оборудования. ^[4]^[5]

В случае онлайн-атак просто скопировать файл SAM в другое место невозможно. Файл SAM нельзя переместить или скопировать во время работы Windows, поскольку ядро Windows получает и сохраняет исключительную блокировку файловой системы для файла SAM и не снимает эту блокировку до тех пор, пока операционная система не выключится или не появится « синий экран смерти ». выброшено исключение. Тем не менее, хранящаяся в памяти копия содержимого SAM может быть выгружена с помощью различных методов (включая pwdump ), что делает хэши паролей доступными для автономной атаки грубой силой .

Удаление хэша LM [ править ]

LM-хеш - это скомпрометированный протокол, который был заменен NTLM-хешем. В большинстве версий Windows можно настроить отключение создания и хранения действительных хэшей LM, когда пользователь меняет свой пароль. В Windows Vista и более поздних версиях Windows хеш LM по умолчанию отключен. Примечание: включение этого параметра не приводит к немедленному удалению хеш-значений LM из SAM, а скорее включает дополнительную проверку во время операций смены пароля, которая вместо этого сохраняет «фиктивное» значение в том месте в базе данных SAM, где в противном случае хранится хеш-код LM. . (Это фиктивное значение не имеет отношения к паролю пользователя - это то же значение, которое используется для всех учетных записей пользователей.)

Связанные атаки [ править ]

В Windows NT 3.51, NT 4.0 и 2000 была разработана атака для обхода локальной системы аутентификации. Если файл SAM будет удален с жесткого диска (например, при установке тома ОС Windows в альтернативную операционную систему), злоумышленник может войти в систему под любой учетной записью без пароля. Этот недостаток был исправлен в Windows XP, которая выводит сообщение об ошибке и выключает компьютер. Однако существуют программные утилиты ^[6], которые в соответствии с вышеупомянутой методологией использования либо эмулируемого виртуального диска, либо загрузочного диска (обычно Unix / Linux или другой копии Windows, такой как Windows Preinstallation Environment)) на основе среды для монтирования локального диска, содержащего активный раздел NTFS, и использования запрограммированных программных процедур и вызовов функций из назначенных стеков памяти для изоляции файла SAM от структуры каталога установки системы Windows NT (по умолчанию:) %SystemRoot%/system32/config/SAMи, в зависимости от конкретного используемая программная утилита удаляет хэши паролей, хранящиеся для учетных записей пользователей, или, в некоторых случаях, изменяет пароли учетных записей пользователей непосредственно из этой среды.

Это программное обеспечение имеет как весьма прагматичное, так и полезное использование в качестве утилиты для очистки паролей или восстановления учетной записи для лиц, которые потеряли или забыли пароли своих учетных записей Windows, а также в качестве возможной утилиты обхода безопасности вредоносного программного обеспечения. По сути, предоставление пользователю с достаточными способностями, опытом и знакомством как со служебным программным обеспечением для взлома, так и с процедурами безопасности ядра Windows NT (а также автономным и немедленным локальным доступом к целевому компьютеру), возможность полностью обойти или удалить Windows пароли учетной записи от потенциального целевого компьютера. Совсем недавно Microsoft выпустила утилиту LockSmith, которая является частью MSDart. Однако MSDart не является бесплатным для конечных пользователей.

См. Также [ править ]

Ссылки [ править ]

^ «Менеджер учетных записей безопасности (SAM)» . TechNet . Microsoft . Проверено 11 апреля 2014 года .
^ «Как использовать служебную программу SysKey для защиты базы данных диспетчера учетных записей безопасности Windows» . Поддержка . Корпорация Microsoft . Проверено 12 апреля 2014 года .
^ Гудин, Дэн (2012-12-10). «Кластер на 25 GPU взламывает каждый стандартный пароль Windows менее чем за 6 часов» . Ars Technica . Проверено 23 ноября 2020 .
^ Claburn, Томас (14 февраля 2019). «Использовать 8-значный пароль Windows NTLM? Не надо. Каждый из них можно взломать менее чем за 2,5 часа» . www.theregister.co.uk . Проверено 26 ноября 2020 .
^ hashcat (13 февраля 2019). «настроенный вручную hashcat 6.0.0 beta и 2080Ti (стандартные часы) преодолевает отметку скорости взлома NTLM в 100 ГГц / с на одном вычислительном устройстве» . @hashcat . Проверено 26 февраля 2019 .
^ Пример оффлайн утилиты для атаки паролей NT: http://cdslow.org.ru/en/ntpwedit/index.html

Эта статья основана на материалах, взятых из Free On-line Dictionary of Computing до 1 ноября 2008 г. и включенных в соответствии с условиями «перелицензирования» GFDL версии 1.3 или новее.

[1] «Менеджер учетных записей безопасности (SAM)» . TechNet . Microsoft . Проверено 11 апреля 2014 года .

[2] «Как использовать служебную программу SysKey для защиты базы данных диспетчера учетных записей безопасности Windows» . Поддержка . Корпорация Microsoft . Проверено 12 апреля 2014 года .

[3] Гудин, Дэн (2012-12-10). «Кластер на 25 GPU взламывает каждый стандартный пароль Windows менее чем за 6 часов» . Ars Technica . Проверено 23 ноября 2020 .

[4] Claburn, Томас (14 февраля 2019). «Использовать 8-значный пароль Windows NTLM? Не надо. Каждый из них можно взломать менее чем за 2,5 часа» . www.theregister.co.uk . Проверено 26 ноября 2020 .

[5] shcat (13 февраля 2019). «настроенный вручную hashcat 6.0.0 beta и 2080Ti (стандартные часы) преодолевает отметку скорости взлома NTLM в 100 ГГц / с на одном вычислительном устройстве» . @hashcat . Проверено 26 февраля 2019 .

[6] Пример оффлайн утилиты для атаки паролей NT: http://cdslow.org.ru/en/ntpwedit/index.html

[1]