Менеджер учетных записей безопасности ( SAM ) представляет собой файл базы данных [1] в Windows XP, Windows Vista, Windows 7, 8.1 и 10 , что пароли пользователей магазинах. Его можно использовать для аутентификации локальных и удаленных пользователей. Начиная с Windows 2000 SP4, Active Directory аутентифицирует удаленных пользователей. SAM использует криптографические меры для предотвращения доступа к системе неаутентифицированных пользователей.
Пароли пользователей хранятся в хешированном формате в кусте реестра либо в виде хеша LM, либо в виде хеша NTLM . Этот файл можно найти в %SystemRoot%/system32/config/SAM
и установлен на HKLM/SAM
.
Пытаясь повысить безопасность базы данных SAM от взлома программного обеспечения в автономном режиме, Microsoft представила функцию SYSKEY в Windows NT 4.0. Когда SYSKEY включен, копия файла SAM на диске частично зашифрована, так что хеш-значения паролей для всех локальных учетных записей, хранящихся в SAM, зашифрованы с помощью ключа (обычно также называемого «SYSKEY»). Его можно включить, запустив syskey
программу. [2]
Криптоанализ
В 2012 году было продемонстрировано, что каждая возможная перестановка хэша пароля NTLM из 8 символов может быть взломана менее чем за 6 часов. [3] В 2019 году это время было сокращено примерно до 2,5 часов за счет использования более современного оборудования. [4] [5]
В случае онлайн-атак невозможно просто скопировать файл SAM в другое место. Файл SAM нельзя переместить или скопировать во время работы Windows, поскольку ядро Windows получает и сохраняет исключительную блокировку файловой системы для файла SAM и не снимает эту блокировку до тех пор, пока операционная система не выключится или не появится « синий экран смерти ». выброшено исключение. Тем не менее, хранящаяся в памяти копия содержимого SAM может быть выгружена с использованием различных методов (включая pwdump ), что делает хэши паролей доступными для автономной атаки грубой силой .
Удаление LM-хеша
LM-хеш - это скомпрометированный протокол, который был заменен NTLM-хешем. В большинстве версий Windows можно настроить отключение создания и хранения действительных хэшей LM, когда пользователь меняет свой пароль. В Windows Vista и более поздних версиях Windows хеш LM по умолчанию отключен. Примечание: включение этого параметра не приводит к немедленному удалению значений хэша LM из SAM, а скорее включает дополнительную проверку во время операций смены пароля, которая вместо этого сохраняет «фиктивное» значение в том месте в базе данных SAM, где в противном случае хранится хэш LM. . (Это фиктивное значение не имеет отношения к паролю пользователя - это то же значение, которое используется для всех учетных записей пользователей.)
Связанные атаки
В Windows NT 3.51, NT 4.0 и 2000 была разработана атака для обхода локальной системы аутентификации. Если файл SAM будет удален с жесткого диска (например, установка тома ОС Windows в альтернативную операционную систему), злоумышленник может войти в систему с любой учетной записью без пароля. Этот недостаток был исправлен в Windows XP, которая выводит сообщение об ошибке и выключает компьютер. Однако существуют программные утилиты [6], которые, используя вышеупомянутую методологию использования либо эмулируемого виртуального диска, либо загрузочного диска (обычно Unix / Linux или другой копии Windows, такой как среда предустановки Windows ), для монтирования локального диска размещение активного раздела NTFS и использование запрограммированных программных процедур и вызовов функций из назначенных стеков памяти для изоляции файла SAM от структуры каталога установки системы Windows NT (по умолчанию:) %SystemRoot%/system32/config/SAM
и, в зависимости от конкретной используемой программной утилиты, удаляет пароль хэши, хранящиеся для учетных записей пользователей полностью, или, в некоторых случаях, изменяют пароли учетных записей пользователей непосредственно из этой среды.
Это программное обеспечение имеет как весьма прагматичное, так и полезное использование в качестве утилиты для очистки паролей или восстановления учетной записи для лиц, которые потеряли или забыли пароли своих учетных записей Windows, а также в качестве возможного использования в качестве утилиты обхода безопасности вредоносного программного обеспечения. По сути, предоставление пользователю с достаточными способностями, опытом и знакомством как со служебным программным обеспечением для взлома, так и с процедурами безопасности ядра Windows NT (а также автономным и немедленным локальным доступом к целевому компьютеру), возможность полностью обойти или удалить Windows пароли учетной записи от потенциального целевого компьютера. Совсем недавно Microsoft выпустила утилиту LockSmith, которая является частью MSDart. Однако MSDart не является бесплатным для конечных пользователей.
Смотрите также
Рекомендации
- ^ «Менеджер учетных записей безопасности (SAM)» . TechNet . Microsoft . Проверено 11 апреля 2014 года .
- ^ «Как использовать служебную программу SysKey для защиты базы данных диспетчера учетных записей безопасности Windows» . Поддержка . Корпорация Microsoft . Проверено 12 апреля 2014 года .
- ^ Гудин, Дэн (2012-12-10). «Кластер на 25 GPU взламывает каждый стандартный пароль Windows менее чем за 6 часов» . Ars Technica . Проверено 23 ноября 2020 .
- ^ Клэберн, Томас (14 февраля 2019 г.). «Использовать 8-значный пароль Windows NTLM? Не надо. Каждый из них может быть взломан менее чем за 2,5 часа» . www.theregister.co.uk . Проверено 26 ноября 2020 .
- ^ hashcat (13 февраля 2019 г.). «настроенный вручную hashcat 6.0.0 beta и 2080Ti (стандартные тактовые частоты) преодолевает отметку скорости взлома NTLM в 100 ГГц / с на одном вычислительном устройстве» . @hashcat . Проверено 26 февраля 2019 .
- ^ Пример оффлайн утилиты для атаки паролей NT: http://cdslow.org.ru/en/ntpwedit/index.html
Эта статья основана на материалах, взятых из Free On-line Dictionary of Computing до 1 ноября 2008 г. и включенных в соответствии с условиями «перелицензирования» GFDL версии 1.3 или новее.