Менеджер учетных записей безопасности

Диспетчер учетных записей безопасности ( SAM ) — это файл базы данных. ^[1] в Windows XP, Windows Vista, Windows 7, 8.1, 10 и 11, хранящий пароли пользователей. Его можно использовать для аутентификации локальных и удаленных пользователей. Начиная с Windows 2000 SP4, Active Directory проверяет подлинность удаленных пользователей. SAM использует криптографические меры для предотвращения доступа к системе неаутентифицированных пользователей.

Пароли пользователей хранятся в хешированном формате в кусте реестра либо в виде LM-хеша , либо в виде NTLM-хеша . Этот файл можно найти в %SystemRoot%/system32/config/SAM и монтируется на HKLM/SAM и SYSTEM для просмотра необходимы привилегии.

Пытаясь улучшить безопасность базы данных SAM от взлома программного обеспечения в автономном режиме, Microsoft представила функцию SYSKEY в Windows NT 4.0. Когда SYSKEY включен, копия файла SAM на диске частично шифруется, поэтому значения хеш-паролей для всех локальных учетных записей, хранящихся в SAM, шифруются с помощью ключа (обычно также называемого «SYSKEY»). Его можно включить, запустив команду syskey программа. ^[2] Начиная с Windows 10 версии 1709, syskey было удалено из-за сочетания небезопасной безопасности ^[3] и неправомерное использование злоумышленниками для блокировки доступа пользователей к системам.

Криптоанализ

В 2012 году было продемонстрировано, что любую возможную перестановку хэша 8-значного пароля NTLM можно взломать менее чем за 6 часов. ^[4] В 2019 году это время сократилось примерно до 2,5 часов за счет использования более современного оборудования. ^[5]^[6]

В случае онлайн-атак невозможно просто скопировать файл SAM в другое место. Файл SAM нельзя перемещать или копировать во время работы Windows, поскольку ядро Windows получает и сохраняет исключительную блокировку файловой системы файла SAM и не снимает эту блокировку до тех пор, пока операционная система не выключится или не появится « синий экран смерти ». было выбрано исключение. Однако копия содержимого SAM в памяти может быть сброшена с использованием различных методов (включая pwdump ), что делает хэши паролей доступными для автономной атаки методом перебора .

Удаление LM-хеша

Хэш LM — это скомпрометированный протокол, который был заменен хешем NTLM. Большинство версий Windows можно настроить на отключение создания и хранения действительных хешей LM, когда пользователь меняет свой пароль. Windows Vista и более поздние версии Windows по умолчанию отключают хэш LM. Примечание. Включение этого параметра не приводит к немедленному удалению хеш-значений LM из SAM, а скорее включает дополнительную проверку во время операций смены пароля, которая вместо этого будет сохранять «фиктивное» значение в том месте в базе данных SAM, где в противном случае хранится хэш LM. . (Это фиктивное значение не имеет никакого отношения к паролю пользователя — это одно и то же значение, используемое для всех учетных записей пользователей.)

Связанные атаки

В Windows NT 3.51, NT 4.0 и 2000 была разработана атака для обхода локальной системы аутентификации. Если файл SAM будет удален с жесткого диска (например, при монтировании тома ОС Windows в альтернативную операционную систему), злоумышленник сможет войти в систему под любой учетной записью без пароля. Этот недостаток был исправлен в Windows XP, которая выдавала сообщение об ошибке и выключала компьютер. Однако существуют программные утилиты, ^[7] который, используя вышеупомянутую методологию использования эмулируемого виртуального диска или загрузочного диска (обычно Unix/Linux или другой копии Windows, такой как среда предустановки Windows ), для монтирования локального диска, на котором находится активный раздел NTFS, и использования программного обеспечения подпрограммы и вызовы функций из выделенных стеков памяти для изоляции файла SAM от структуры каталогов установки системы Windows NT (по умолчанию: %SystemRoot%/system32/config/SAM) и, в зависимости от конкретной используемой программной утилиты, полностью удаляет хэши паролей, хранящиеся для учетных записей пользователей, или, в некоторых случаях, изменяет пароли учетных записей пользователей непосредственно из этой среды.

Это программное обеспечение имеет как весьма прагматичное, так и выгодное использование в качестве утилиты для очистки паролей или восстановления учетных записей для людей, которые потеряли или забыли пароли своих учетных записей Windows, а также возможное использование в качестве утилиты для обхода безопасности вредоносного программного обеспечения. По сути, предоставление пользователю, обладающему достаточными способностями, опытом и знанием как утилиты для взлома, так и процедур безопасности ядра Windows NT (а также автономного и немедленного локального доступа к целевому компьютеру), возможность полностью обойти или удалить Windows. пароли учетных записей с потенциального целевого компьютера. Лишь недавно Microsoft выпустила утилиту под названием LockSmith, которая является частью MSDart . Однако MSDart не доступен конечным пользователям бесплатно. ^[8]

В июле 2021 года было обнаружено, что в Windows 10 и Windows 11 существует уязвимость, которая позволяет пользователям с низким уровнем привилегий получить доступ к конфиденциальным файлам базы данных реестра, включая файл SAM. ^[9]

См. также

Ссылки

^ «Менеджер учетной записи безопасности (SAM)» . ТехНет . Майкрософт . Проверено 11 апреля 2014 г.
^ «Как использовать утилиту SysKey для защиты базы данных диспетчера учетных записей безопасности Windows» . Поддерживать . Корпорация Майкрософт . Проверено 12 апреля 2014 г.
^ Деланд-Хан. «Утилита Syskey.exe больше не поддерживается — Windows Server» . Learn.microsoft.com . Проверено 17 января 2023 г.
^ Гудин, Дэн (10 декабря 2012 г.). «Кластер из 25 графических процессоров взламывает любой стандартный пароль Windows менее чем за 6 часов» . Арс Техника . Проверено 23 ноября 2020 г.
^ Клэберн, Томас (14 февраля 2019 г.). «Используете 8-значный пароль Windows NTLM? Не делайте этого. Любой пароль можно взломать менее чем за 2,5 часа» . www.theregister.co.uk . Проверено 26 ноября 2020 г.
^ hashcat (13 февраля 2019 г.). «Настроенная вручную бета-версия hashcat 6.0.0 и 2080Ti (штатные тактовые частоты) превосходят отметку скорости взлома NTLM в 100 ГГц/с на одном вычислительном устройстве» . @хэшкэт . Проверено 26 февраля 2019 г.
^ Пример автономной утилиты для атаки паролей NT: http://cdslow.org.ru/en/ntpwedit/index.html.
^ Уязвимые (nd). «Уязвимости — База данных уязвимостей» . База данных уязвимостей . Проверено 12 декабря 2023 г.
^ «Новая уязвимость Windows 10 позволяет любому получить права администратора» . Мигающий компьютер . Проверено 20 июля 2021 г.

[1] «Менеджер учетной записи безопасности (SAM)» . ТехНет . Майкрософт . Проверено 11 апреля 2014 г.

[2] «Как использовать утилиту SysKey для защиты базы данных диспетчера учетных записей безопасности Windows» . Поддерживать . Корпорация Майкрософт . Проверено 12 апреля 2014 г.

[3] Деланд-Хан. «Утилита Syskey.exe больше не поддерживается — Windows Server» . Learn.microsoft.com . Проверено 17 января 2023 г.

[4] Гудин, Дэн (10 декабря 2012 г.). «Кластер из 25 графических процессоров взламывает любой стандартный пароль Windows менее чем за 6 часов» . Арс Техника . Проверено 23 ноября 2020 г.

[5] Клэберн, Томас (14 февраля 2019 г.). «Используете 8-значный пароль Windows NTLM? Не делайте этого. Любой пароль можно взломать менее чем за 2,5 часа» . www.theregister.co.uk . Проверено 26 ноября 2020 г.

[6] shcat (13 февраля 2019 г.). «Настроенная вручную бета-версия hashcat 6.0.0 и 2080Ti (штатные тактовые частоты) превосходят отметку скорости взлома NTLM в 100 ГГц/с на одном вычислительном устройстве» . @хэшкэт . Проверено 26 февраля 2019 г.

[7] Пример автономной утилиты для атаки паролей NT: http://cdslow.org.ru/en/ntpwedit/index.html.

[8] Уязвимые (nd). «Уязвимости — База данных уязвимостей» . База данных уязвимостей . Проверено 12 декабря 2023 г.

[9] «Новая уязвимость Windows 10 позволяет любому получить права администратора» . Мигающий компьютер . Проверено 20 июля 2021 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]