Önbelleğe alınan Windows kimlik bilgileri yerel makinede nasıl depolanır?

Önbelleğe alınmış Active Directory etki alanı kimlik bilgileri bir Windows istemcisinde nasıl depolanır? Yerel SAM veritabanında saklanıyorlar, bu yüzden onları yerel kullanıcı hesaplarının duyarlı olduğu aynı gökkuşağı tablo saldırılarına karşı duyarlı kılıyorlar mı yoksa farklı depolanıyor mu? Unutmayın ki, düz metin olarak saklanmamak için tuzlu ve karma olduklarını, ancak yerel hesaplarla aynı şekilde karmaştıklarını ve aynı konumda depolandıklarını fark ettim.

En azından kaba kuvvet saldırısına karşı duyarlı olduklarını fark ettim, ancak bu, çalınan bir makine durumunda gökkuşağı masalarına karşı savunmasız olmaktan çok daha iyi bir durum.

"Önbelleğe alınmış kimlik bilgileri"

Bir AD etki alanı için önbelleğe alınmış kimlik bilgileri, aslında şifrenin çift karma değerleridir ve HKLM \ Security kovanında saklanır. Kovanın dosya konumu: %systemroot%\System32\config\SECURITY

Yalnızca "sistem" kullanıcısı kayıt defteri anahtarlarına erişebilir:
HKLM\Security\Cache\NL$nburada n, en fazla önbelleğe alınmış kimlik numarası 1 olan bir dizindir.

Saldırılara Duyarlılık

WinNT'den WinXP'ye yerel hesaplar için "Lan Manager" sağlamalarını kullanarak modern donanımdan kolayca kurtuldu. Cracking genellikle birkaç dakika sürer (kısa süre önce 00:08:06 da 3 şifre yaptım) sadece "normal" bir masaüstü bilgisayarla. Lan Manager karmaları tuzlanmadığından, halka açık gökkuşağı tabloları da vardır.

Vista ve daha sonra yerel hesaplar için NT karmaları kullanır . Windows 2000 ve sonraki sürümlerinde, etki alanı hesapları için de NT karmaları kullanılır . NT karma, çift MD4 karma tuzludur. Giriş başına tuz, gökkuşağı tablolarının kullanılmasını önler, ancak MD4, modern donanımda çok hızlı bir şekilde çalıştırılabilir: 60 bitlik bir parola için yaklaşık 6 hesaplama yılı. Şans ve 6 GPU kümesi ile bir kraker bu tür şifreleri ~ 6 ay içinde kırabilir. Bunu bulutlara ekleyerek, Amazon EC2 GPU’da yaklaşık 35 bin dolara satın alınabilir.

Kimlik bilgileri aslında yerel makinede önbelleğe alınmadı. MS'ten bu alıntıya bakınız:

Önbellek etki alanı kimlik bilgilerinin güvenliği

Önbelleğe alınmış kimlik bilgileri terimi, Windows'un etki alanı oturum açma işlemleri için oturum açma bilgilerini nasıl önbelleğe aldığını tam olarak tanımlamaz. Windows 2000'de ve Windows'un sonraki sürümlerinde, kullanıcı adı ve parola önbelleğe alınmaz. Bunun yerine, sistem şifrenin şifreli bir doğrulayıcısını saklar. Bu doğrulayıcı, iki kez hesaplanan tuzlu bir MD4 hash. İkili hesaplama etkili bir şekilde doğrulayıcıyı kullanıcı şifresinin karma değerini yapar. Bu davranış, Microsoft Windows NT 4.0 ve Windows NT'nin önceki sürümlerinde davranışının aksine.

http://support.microsoft.com/kb/913485

Bunlar, bir Kimlik Bilgisi Yöneticisi API'sinin bulunduğu Kimlik Bilgisi Yöneticisi tarafından yönetilir. Tuzlanmış karmalar disk üzerinde bir şekilde güvenli bir şekilde saklanır ve HKLM \ Security aracılığıyla erişilir. (Yalnızca LocalSystem tarafından varsayılan olarak erişilebilir, ancak örneğin, psexec -i -s regedit.exe tarafından atlanması kolaydır.)

Ancak çalışan bir Windows sisteminde, durum daha korkunç, çünkü son zamanlarda kullanılan kimlik bilgileri bir DLL dosyasını Lsass'a asılarak kolayca okunabilir ve düz metne çevrilebilir. (Bkz. Mimikatz.)

Bu yüzden evet, istemcideki HKLM \ Security \ Cache'de bir tür karma (veya karma veya karma 'veya' doğrulamak istediğiniz veya ne istersen) bulacaksınız. Ancak karma diske saldırmak için uygun bir yol olduğunu sanmıyorum. Saldırıya uğrayan aynı eski NTLM hash çeşidi değil.