ข้อมูลประจำตัวของแคชของ Windows จัดเก็บไว้ในเครื่องท้องถิ่นอย่างไร

ข้อมูลประจำตัวของโดเมน Active Directory ที่แคชไว้ถูกเก็บไว้ในไคลเอนต์ Windows เป็นอย่างไร พวกเขาเก็บอยู่ในฐานข้อมูล SAM ท้องถิ่นหรือไม่ซึ่งทำให้พวกเขามีความอ่อนไหวต่อการโจมตีแบบเรนโบว์เทเบิลเดียวกันกับที่บัญชีผู้ใช้ในท้องถิ่นนั้นมีความอ่อนไหวหรือพวกเขาเก็บไว้ต่างกันหรือไม่? โปรดทราบว่าฉันทราบดีว่าพวกเขาถูกใส่เกลือและแฮชเพื่อไม่ให้ถูกจัดเก็บในรูปแบบข้อความธรรมดา แต่จะถูกแฮชในลักษณะเดียวกับบัญชีท้องถิ่นและเก็บไว้ในที่เดียวกันหรือไม่

ฉันรู้ว่าอย่างน้อยพวกเขาก็มีความอ่อนไหวต่อการโจมตีด้วยกำลังดุร้าย แต่นั่นเป็นสถานการณ์ที่ดีกว่าการเสี่ยงต่อตารางสายรุ้งในกรณีที่เครื่องถูกขโมย

"ข้อมูลรับรองแคช"

ข้อมูลประจำตัวที่ถูกแคชสำหรับโดเมนโฆษณานั้นจะถูกแฮชสองครั้งของรหัสผ่านและเก็บไว้ในกลุ่ม HKLM \ Security ตำแหน่งไฟล์ของไฮฟ์คือ: %systemroot%\System32\config\SECURITY

เฉพาะผู้ใช้ "ระบบ" เท่านั้นที่สามารถเข้าถึงรีจิสตรีคีย์ได้
HKLM\Security\Cache\NL$nโดยที่nดัชนี 1 ถึงจำนวนแคชข้อมูลรับรองสูงสุด

ความไวต่อการโจมตี

WinNT to WinXP ใช้แฮช "ผู้จัดการ Lan" สำหรับบัญชีภายในซึ่งแตกง่ายในฮาร์ดแวร์ที่ทันสมัย การแคร็กมักใช้เวลาหลายนาที (ฉันเพิ่งทำรหัสผ่าน 3 รหัสในเวลา 00:08:06) ด้วยคอมพิวเตอร์เดสก์ท็อป "ปกติ" แฮช Manager ของ Lan ไม่ได้ใส่เกลือดังนั้นจึงมีโต๊ะรุ้งให้บริการแบบสาธารณะเช่นกัน

Vista และใหม่กว่าใช้ NT แฮชสำหรับบัญชีท้องถิ่น Windows 2000 และใหม่กว่าใช้แฮช NT สำหรับบัญชีโดเมนเช่นกัน แฮช NT จะทำการแฮชแบบ double-MD4 เกลือต่อรายการป้องกันการใช้ตารางสายรุ้ง แต่ MD4 สามารถดำเนินการได้อย่างรวดเร็วมากบนฮาร์ดแวร์ที่ทันสมัย: ประมาณ 6 ปีคำนวณสำหรับรหัสผ่าน 60 บิต ด้วยโชคและคลัสเตอร์ GPU 6 ตัวแครกเกอร์สามารถทำลายรหัสผ่านประเภทนี้ได้ใน ~ 6 เดือน เมื่อนำไปไว้บนคลาวด์ประมาณ $ 35k บน GPU Amazon EC2 - ขึ้นอยู่กับความพร้อมใช้งานอาจเป็นชั่วโมง

ข้อมูลประจำตัวไม่ได้ถูกแคชจริงในเครื่องท้องถิ่น ดูข้อความที่ตัดตอนมาจาก MS:

ความปลอดภัยของข้อมูลรับรองโดเมนที่แคช

คำว่าข้อมูลประจำตัวที่แคชไม่ถูกต้องอธิบายวิธี Windows แคชข้อมูลการเข้าสู่ระบบสำหรับการเข้าสู่ระบบโดเมน ใน Windows 2000 และ Windows รุ่นใหม่กว่าชื่อผู้ใช้และรหัสผ่านจะไม่ถูกแคช ระบบจะจัดเก็บตัวตรวจสอบการเข้ารหัสของรหัสผ่านไว้แทน ตัวตรวจสอบนี้เป็นแฮช MD4 ที่ผ่านการคำนวณแล้วซึ่งคำนวณได้สองครั้ง การคำนวณสองครั้งอย่างมีประสิทธิภาพทำให้ตัวตรวจสอบการแฮชของแฮชของรหัสผ่านผู้ใช้ ลักษณะการทำงานนี้ไม่เหมือนกับพฤติกรรมของ Microsoft Windows NT 4.0 และ Windows NT รุ่นก่อนหน้า

http://support.microsoft.com/kb/913485

จัดการโดย Credential Manager ซึ่งมี Credential Manager API แฮ็คเค็มจะถูกเก็บไว้ในรูปแบบที่ค่อนข้างปลอดภัยบนดิสก์และเข้าถึงได้ผ่าน HKLM \ Security (ซึ่งสามารถเข้าถึงได้โดย LocalSystem โดยค่าเริ่มต้น แต่ง่ายต่อการข้ามเช่นโดย psexec -i -s regedit.exe)

อย่างไรก็ตามในระบบ Windows ที่ใช้งานอยู่สถานการณ์ยิ่งเลวร้ายลงเนื่องจากข้อมูลประจำตัวที่ใช้ล่าสุดสามารถรับและย้อนกลับเป็นข้อความธรรมดาได้อย่างง่ายดายด้วยการเชื่อมต่อ DLL เข้ากับ Lsass (ดู Mimikatz)

ดังนั้นใช่คุณจะพบแฮช (หรือแฮชของแฮ็ชหรือ 'เครื่องยืนยัน' หรืออะไรก็ตามที่คุณต้องการเรียก) ที่ HKLM \ Security \ Cache บนไคลเอนต์ แต่ฉันไม่คิดว่าจะมีวิธีที่เป็นไปได้ที่จะโจมตีแฮชบนดิสก์ มันไม่เหมือนกับแฮช NTLM แบบเดิมที่สามารถโจมตีได้