it-swarm.com.de

Wie werden zwischengespeicherte Windows-Anmeldeinformationen auf dem lokalen Computer gespeichert?

Wie werden zwischengespeicherte Active Directory-Domänenanmeldeinformationen auf einem Windows-Client gespeichert? Werden sie in der lokalen SAM-Datenbank gespeichert, sodass sie für dieselben Rainbow-Tabellenangriffe anfällig sind, für die lokale Benutzerkonten anfällig sind, oder werden sie unterschiedlich gespeichert? Beachten Sie, dass mir klar ist, dass sie gesalzen und gehasht sind, um nicht im Klartext gespeichert zu werden. Sind sie jedoch genauso gehasht wie lokale Konten und werden sie am selben Ort gespeichert?

Mir ist klar, dass sie zumindest anfällig für Brute-Force-Angriffe sind, aber das ist eine viel bessere Situation, als im Falle einer gestohlenen Maschine für Regenbogentische anfällig zu sein.

27
MDMarra

"Zwischengespeicherte Anmeldeinformationen"

Zwischengespeicherte Anmeldeinformationen für eine AD-Domäne sind gesalzene doppelte Hashes des Kennworts und werden im HKLM\Security Hive gespeichert. Der Dateispeicherort des Hive ist: %systemroot%\System32\config\SECURITY

Nur der Benutzer "System" hat Zugriff auf die Registrierungsschlüssel:
HKLM\Security\Cache\NL$n wobei n ein Index 1 für die maximale Anzahl zwischengespeicherter Anmeldeinformationen ist.

Anfälligkeit für Angriffe

WinNT to WinXP verwendete "Lan Manager" -Hashes für lokale Konten, die auf moderner Hardware leicht beschädigt werden können. Das Knacken dauert normalerweise einige Minuten (ich habe kürzlich 3 Passwörter in 00:08:06 erstellt) mit nur einem "normalen" Desktop-Computer. Lan Manager-Hashes sind nicht gesalzen, daher gibt es auch öffentlich verfügbare Rainbow-Tabellen.

Vista und höher verwenden NT-Hashes für lokale Konten. Windows 2000 und höher verwenden NT-Hashes auch für Domäne Konten. NT-Hashes sind gesalzene Doppel-MD4-Hashes. Das Salz pro Eintrag verhindert die Verwendung von Rainbow-Tabellen, aber MD4 kann auf moderner Hardware sehr schnell ausgeführt werden: etwa 6 Rechenjahre für ein 60-Bit-Passwort. Mit etwas Glück und einem 6-GPU-Cluster kann ein Cracker diese Art von Passwort in ~ 6 Monaten brechen. Wenn Sie das in die Cloud bringen, etwa 35.000 US-Dollar für die Amazon EC2-GPU - je nach Verfügbarkeit können es Stunden sein.

18
Chris S

Die Anmeldeinformationen werden auf dem lokalen Computer nicht zwischengespeichert. Siehe diesen Auszug aus MS:

Sicherheit der zwischengespeicherten Domain-Anmeldeinformationen

Der Begriff zwischengespeicherte Anmeldeinformationen beschreibt nicht genau, wie Windows Anmeldeinformationen für Domänenanmeldungen zwischenspeichert. In Windows 2000 und späteren Versionen von Windows werden Benutzername und Kennwort nicht zwischengespeichert. Stattdessen speichert das System eine verschlüsselte Überprüfung des Kennworts. Dieser Verifizierer ist ein gesalzener MD4-Hash, der zweimal berechnet wird. Die doppelte Berechnung macht den Verifizierer effektiv zu einem Hash des Hash des Benutzerkennworts. Dieses Verhalten unterscheidet sich vom Verhalten von Microsoft Windows NT 4.0 und früheren Versionen von Windows NT.

http://support.Microsoft.com/kb/913485

4
joeqwerty

Sie werden vom Credential Manager verwaltet, für den es eine Credential Manager-API gibt. Die gesalzenen Hashes werden auf etwas sichere Weise auf der Festplatte gespeichert und über HKLM\Security abgerufen. (Auf die standardmäßig nur von LocalSystem zugegriffen werden kann, die jedoch leicht umgangen werden kann, z. B. von psexec -i -s regedit.exe.)

Auf einem laufenden Windows-System ist die Situation jedoch schlimmer, da kürzlich verwendete Anmeldeinformationen abgerufen und einfach in Klartext umgewandelt werden können, indem ein DLL in Lsass. (Siehe Mimikatz.)

Also ja, Sie finden eine Art Hash (oder Hash eines Hashs oder 'Verifizierers' oder wie auch immer Sie es nennen möchten) unter HKLM\Security\Cache auf dem Client. Aber ich glaube nicht, dass es eine Möglichkeit gibt, den Hash auf der Festplatte anzugreifen. Es ist nicht dieselbe alte Art von NTLM-Hash, die angegriffen werden kann.

4
Ryan Ries