it-swarm.com.de

Wie werden Windows 10-Hashes gespeichert, wenn das Konto mit einem Microsoft-Konto eingerichtet wird?

Ich habe die Integrität meiner Passwörter getestet und festgestellt, dass es nach dem Ablegen der Hashes nur ein Konto gab, in dem der NTLM-Hash kein "Standard-Hash" war. Ich weiß auch, dass dieses Konto zufällig mein Sicherungsbenutzer ist, sodass es nicht für die Anmeldung bei einem Microsoft-Konto konfiguriert ist. Es ist einfach ein lokaler Benutzer.

Andererseits ist mein Hauptkonto als Microsoft-Konto konfiguriert und sein Hash ist der Standardwert 31d6cfe0d16ae931b73c59d7e0c089c0, bei dem es sich tatsächlich um ein leeres Kennwort handelt. Dies ist jedoch nicht mein echtes Passwort für das Konto.

Meine Frage ist also, ob der Hash, wenn ich mich mit einem Microsoft-Konto anmelde, eine Anfrage an die Microsoft-Server für den Hash/die Validierung stellt oder ob der Hash irgendwo anders gespeichert ist.

Wäre es nicht sicherer, wenn eine Person gezwungen wäre, ein Microsoft-Konto zu verwenden, da ein Hacker niemals den physischen Zugriff auf einen Computer nutzen oder den Benutzer dazu verleiten könnte, auf etwas zu klicken, das ihm Zugriff auf das Konto gewährt SAM/SYSTEM-Dateien?

22
yasgur99

Windows-Hashes werden in der Datei SAM (verschlüsselt mit SYSTEM ) auf Ihrem Computer gespeichert, unabhängig davon, ob Sie - verwenden. Microsoft-Konto . Dies muss auf diese Weise erfolgen, damit Sie sich bei Ihrem Computer anmelden können, auch wenn Sie nicht mit dem Internet verbunden sind. Wenn Sie Ihr Kennwort mit account.Microsoft.com ändern, können Sie sich weiterhin mit Ihrem alten Kennwort bei Ihrem Computer anmelden (auch wenn Sie Microsoft-Konto verwenden). . Nachdem Sie sich beim System angemeldet haben, werden Sie aufgefordert, ein neues Kennwort einzugeben. Solange Sie jedoch kein neues Kennwort eingeben, können Sie sich mit einem alten Kennwort bei Ihrem Computer anmelden. Nachdem Sie ein neues Passwort eingegeben haben, wird die Datei SAM (und möglicherweise SYSTEM ) aktualisiert.

Sie erhalten (fälschlicherweise) 31d6cfe0d16ae931b73c59d7e0c089c0 Hash Ihres Passworts, weil das Format SAM und/oder SYSTEM Dateien hat geändert seit Windows 10 Anniversary Update (siehe: - ähnliches Problem ), also Werkzeuge wie chntpw , bkhive , pwdump , samdump2 Hash des leeren Passworts drucken (ich habe es auf meinem Windows 10 überprüft). Seit diesem Update verwendet Windows verwendetAES128 , um den MD4 Hash des Kennworts zu verschlüsseln. Aus diesem Grund waren fast alle Tutorials bezüglichWindows-PasswortWiederherstellung veraltet.

Glücklicherweise gibt es ein Tool namens mimikatz (nur Windows, kann aber unter Linux mit Wine ) erstellt werden, das von erstellt wurde BenjaminDelpy , der Passwörter 'Hashes lesen kann, die im neuen Windows-Format gespeichert sind. Beachten Sie, dass Windows Defender und Symantec Antivirus behandelt es als 'Hack Tool' und entfernt es, daher müssen Sie sie deaktivieren, bevor Sie mimikatz (als Administrator ausführen) ausführen.

mimikatz besteht aus vielen Modulen , aber Sie sollten das Modul lsadump untersuchen, insbesondere lsadump::sam Funktion.

Auszug aus docs :

Wenn Sie nicht SYSTEM sind oder ein imitiertes SYSTEM Token verwenden, wird Ihnen der Fehler "Zugriff verweigert" angezeigt:

mimikatz # lsadump::sam
Domain : VM-W7-ULT-X
SysKey : 74c159e4408119a0ba39a7872e9d9a56
ERROR kuhl_m_lsadump_getUsersAndSamKey ; kull_m_registry_RegOpenKeyEx SAM Accounts (0x00000005)

In diesem Fall können Sie psexec verwenden, um SYSTEM (oder andere Tools) zu beginnen, oder mit dem Befehl token::elevate Erhöhen, um sich als SYSTEM-Token auszugeben:

mimikatz # privilege::debug
Privilege '20' OK

mimikatz # token::whoami
 * Process Token : 623884       vm-w7-ult-x\Gentil Kiwi S-1-5-21-1982681256-1210654043-1600862990-1000  (14g,24p)       Primary
 * Thread Token  : no token

mimikatz # token::elevate
Token Id  : 0
User name :
SID name  : AUTORITE NT\Système

228     24215           AUTORITE NT\Système     S-1-5-18        (04g,30p)       Primary
 -> Impersonated !
 * Process Token : 623884       vm-w7-ult-x\Gentil Kiwi S-1-5-21-1982681256-1210654043-1600862990-1000  (14g,24p)       Primary
 * Thread Token  : 624196       AUTORITE NT\Système     S-1-5-18        (04g,30p)       Impersonation (Delegation)

mimikatz # lsadump::sam
Domain : VM-W7-ULT-X
SysKey : 74c159e4408119a0ba39a7872e9d9a56

SAMKey : e44dd440fd77ebfe800edf60c11d4abd

RID  : 000001f4 (500)
User : Administrateur
LM   :
NTLM : 31d6cfe0d16ae931b73c59d7e0c089c0

RID  : 000001f5 (501)
User : Invité
LM   :
NTLM :

RID  : 000003e8 (1000)
User : Gentil Kiwi
LM   :
NTLM : cc36cf7a8514893efccd332446158b1a

Sie können x86 und AMD64 Binärdateien der mimikatzhier .

Als Randnotiz: Wenn Sie sicherstellen möchten, dass der Hash des Passworts ein Hash Ihres Passworts ist, können Sie ihn einfach do mit Python :

[email protected]:~$  python3
Python 3.5.3 (default, Jan 19 2017, 14:11:04) 
[GCC 6.3.0 20170118] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> import hashlib, binascii
>>> passwd = "password"
>>> hash = hashlib.new('md4', passwd.encode('utf-16le')).digest()
>>> print(binascii.hexlify(hash))
b'8846f7eaee8fb117ad06bdd830b7586c'
28
patryk.beza

Zum Hinzufügen zu patryk.beza's gute Antwort:

Wäre es nicht sicherer, wenn eine Person gezwungen wäre, ein Microsoft-Konto zu verwenden, da ein Hacker niemals den physischen Zugriff auf einen Computer nutzen oder den Benutzer dazu verleiten könnte, auf etwas zu klicken, das ihm Zugriff auf das Konto gewährt SAM/SYSTEM-Dateien?

Nein, das Passwort muss irgendwo auf Ihrem Computer gespeichert sein. Wenn Sie beim Anmelden aus irgendeinem Grund nicht auf die MS-Server zugreifen können, können Sie sich über das Betriebssystem weiterhin mit Ihren Anmeldeinformationen anmelden. Und obwohl der Benutzer auf nichts geklickt hat, ist es dennoch möglich, dass ein potenzieller Fehler im Betriebssystem einem Bedrohungsakteur Zugriff auf die Datei SAM gewährt. Eines der Hauptprobleme, das ich mit den MS-Konten habe, ist Folgendes: Wenn Sie Ihr MS-Konto mit Ihrem Computer verknüpfen, wird für alle das gleiche Kennwort verwendet. Dies kann sehr schlimm sein, da ein Bedrohungsakteur Ihr Passwort ändern kann, wenn er Zugriff auf die Datei SAM erhält und das Hashing unterbricht. Wenn ein Bedrohungsakteur Ihr Passwort hat, kann er alle Ihre Passwörter ändern, um Sie vollständig von allem auszuschließen. Es ist ein großes Risiko, von dem MS Ihnen nichts erzählt, da sie Sie gerne ausspionieren können. Und es ist nur eine Frage der Zeit, bis weitere Rainbow-Tabellen herauskommen, um Windows 10-Kennwörter zu knacken. Wenn es um Sicherheit geht, geht es nie um [~ # ~] if [~ # ~] ; es ist [~ # ~] wenn [~ # ~] .

1
Blerg