Önbelleğe alınan Windows kimlik bilgileri yerel makinede nasıl depolanır?


26

Önbelleğe alınmış Active Directory etki alanı kimlik bilgileri bir Windows istemcisinde nasıl depolanır? Yerel SAM veritabanında saklanıyorlar, bu yüzden onları yerel kullanıcı hesaplarının duyarlı olduğu aynı gökkuşağı tablo saldırılarına karşı duyarlı kılıyorlar mı yoksa farklı depolanıyor mu? Unutmayın ki, düz metin olarak saklanmamak için tuzlu ve karma olduklarını, ancak yerel hesaplarla aynı şekilde karmaştıklarını ve aynı konumda depolandıklarını fark ettim.

En azından kaba kuvvet saldırısına karşı duyarlı olduklarını fark ettim, ancak bu, çalınan bir makine durumunda gökkuşağı masalarına karşı savunmasız olmaktan çok daha iyi bir durum.

Yanıtlar:


17

"Önbelleğe alınmış kimlik bilgileri"

Bir AD etki alanı için önbelleğe alınmış kimlik bilgileri, aslında şifrenin çift karma değerleridir ve HKLM \ Security kovanında saklanır. Kovanın dosya konumu: %systemroot%\System32\config\SECURITY

Yalnızca "sistem" kullanıcısı kayıt defteri anahtarlarına erişebilir:
HKLM\Security\Cache\NL$nburada n, en fazla önbelleğe alınmış kimlik numarası 1 olan bir dizindir.

Saldırılara Duyarlılık

WinNT'den WinXP'ye yerel hesaplar için "Lan Manager" sağlamalarını kullanarak modern donanımdan kolayca kurtuldu. Cracking genellikle birkaç dakika sürer (kısa süre önce 00:08:06 da 3 şifre yaptım) sadece "normal" bir masaüstü bilgisayarla. Lan Manager karmaları tuzlanmadığından, halka açık gökkuşağı tabloları da vardır.

Vista ve daha sonra yerel hesaplar için NT karmaları kullanır . Windows 2000 ve sonraki sürümlerinde, etki alanı hesapları için de NT karmaları kullanılır . NT karma, çift MD4 karma tuzludur. Giriş başına tuz, gökkuşağı tablolarının kullanılmasını önler, ancak MD4, modern donanımda çok hızlı bir şekilde çalıştırılabilir: 60 bitlik bir parola için yaklaşık 6 hesaplama yılı. Şans ve 6 GPU kümesi ile bir kraker bu tür şifreleri ~ 6 ay içinde kırabilir. Bunu bulutlara ekleyerek, Amazon EC2 GPU’da yaklaşık 35 bin dolara satın alınabilir.


Sanırım sorumun büyük kısmı, depolanan bu kimlik bilgilerinin, yerel hesaplarla aynı gökkuşağı tablosu tabanlı saldırılara duyarlı olup olmadıklarıydı
saklanmış olmaları

Güncelleniyor ... Vista + hepsi aynı. Eski versiyonlar farklıydı.
Chris S,

"Parolanın NT karması, tuzsuz bir MD4 karma algoritması kullanılarak hesaplanır." - Düz TechNet dan: technet.microsoft.com/en-us/library/hh994565(v=ws.10).aspx
thepip3r

Bu sayfa yanlış, NT karmaları tuzlu. Bir KB bağlantısı için Joe’nun cevabını aşağıda bulabilirsiniz.
Chris S,

4

Kimlik bilgileri aslında yerel makinede önbelleğe alınmadı. MS'ten bu alıntıya bakınız:

Önbellek etki alanı kimlik bilgilerinin güvenliği

Önbelleğe alınmış kimlik bilgileri terimi, Windows'un etki alanı oturum açma işlemleri için oturum açma bilgilerini nasıl önbelleğe aldığını tam olarak tanımlamaz. Windows 2000'de ve Windows'un sonraki sürümlerinde, kullanıcı adı ve parola önbelleğe alınmaz. Bunun yerine, sistem şifrenin şifreli bir doğrulayıcısını saklar. Bu doğrulayıcı, iki kez hesaplanan tuzlu bir MD4 hash. İkili hesaplama etkili bir şekilde doğrulayıcıyı kullanıcı şifresinin karma değerini yapar. Bu davranış, Microsoft Windows NT 4.0 ve Windows NT'nin önceki sürümlerinde davranışının aksine.

http://support.microsoft.com/kb/913485


Doğru, kimlik bilgilerinin kendilerinin gerçekten önbelleğe alınmadığını anlıyorum, ancak sorum daha fazla "yerel SAM veritabanında yerel hesaplarda olduğu gibi saklanan sonuç kargaşası, dolayısıyla onları aynı saldırılara karşı savunmasız bırakıyor. " Biraz daha net olması için bunu bir dakika içinde düzenleyeceğim.
MDMarra

1
meh .. bana bu kıyma kelimeleri. "karma" doğası, kriptografik olarak güvenli bir algoritma kullanarak temelde şifrenin gizlenmiş bir değerini oluşturan tek yönlü bir işlemdir. Sorun, MD4'ün 10-15 yıl önce kriptografik olarak güvenli olduğu, ancak daha da yakın olmadığıdır (kriptografın bakış açısından da MD5 veya SHA1 değildir). Yani, o zaman karma gelen şifreyi kuvvet algoritması veya bir çarpışma ortaya çıkarmaya anahtar uzay hızla kaba türetmek kolayca can günümüz donanım ... varsa
thepip3r

Kimlik bilgileri çevrimdışı modda doğrulanabilmeleri için herhangi bir şekilde veya biçimde saklanırsa - o zaman önbellekteki veriler nasıl görünüyorsa
baksın

4

Bunlar, bir Kimlik Bilgisi Yöneticisi API'sinin bulunduğu Kimlik Bilgisi Yöneticisi tarafından yönetilir. Tuzlanmış karmalar disk üzerinde bir şekilde güvenli bir şekilde saklanır ve HKLM \ Security aracılığıyla erişilir. (Yalnızca LocalSystem tarafından varsayılan olarak erişilebilir, ancak örneğin, psexec -i -s regedit.exe tarafından atlanması kolaydır.)

Ancak çalışan bir Windows sisteminde, durum daha korkunç, çünkü son zamanlarda kullanılan kimlik bilgileri bir DLL dosyasını Lsass'a asılarak kolayca okunabilir ve düz metne çevrilebilir. (Bkz. Mimikatz.)

Bu yüzden evet, istemcideki HKLM \ Security \ Cache'de bir tür karma (veya karma veya karma 'veya' doğrulamak istediğiniz veya ne istersen) bulacaksınız. Ancak karma diske saldırmak için uygun bir yol olduğunu sanmıyorum. Saldırıya uğrayan aynı eski NTLM hash çeşidi değil.


SAM’daki çevrimdışı şifre kırma, LSASS’de Mimikatz ve WCE’nin yaptığı gibi bellekte bulunmaktan tamamen farklıdır. Şifre karmaşıklığına bağlı olarak, SAM'ın çevrimdışı şifre kırılması da ÇOK kolay olabilir (bkz. Samdump2)
thepip3r
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.