कैश्ड विंडोज क्रेडेंशियल्स को स्थानीय मशीन पर कैसे संग्रहीत किया जाता है?

कैसे सक्रिय निर्देशिका डोमेन क्रेडेंशियल Windows क्लाइंट पर संग्रहीत हैं? क्या वे स्थानीय एसएएम डेटाबेस में संग्रहीत होते हैं, इस प्रकार उन्हें एक ही इंद्रधनुष तालिका हमलों के लिए अतिसंवेदनशील बनाते हैं कि स्थानीय उपयोगकर्ता खाते अतिसंवेदनशील होते हैं, या क्या वे अलग तरीके से संग्रहीत होते हैं? ध्यान दें, मुझे एहसास है कि वे नमकीन और हैशेड हैं, ताकि सादे-पाठ में संग्रहीत न हों, लेकिन क्या वे उसी तरह से स्थानीय खातों के समान हैंशेड हैं और क्या वे उसी स्थान पर संग्रहीत हैं?

मुझे लगता है कि कम से कम वे एक क्रूर बल के हमले के लिए अतिसंवेदनशील हो सकते हैं, लेकिन चोरी की मशीन की स्थिति में इंद्रधनुष तालिकाओं की चपेट में आने से बेहतर स्थिति है।

"कैश्ड क्रेडेंशियल्स"

एक AD डोमेन के लिए कैश्ड क्रेडेंशियल्स वास्तव में पासवर्ड के डबल हैश को नमकीन और HKLM \ Security हाइव में संग्रहीत होते हैं। हाइव का फ़ाइल स्थान है: %systemroot%\System32\config\SECURITY

केवल "सिस्टम" उपयोगकर्ता के पास रजिस्ट्री कुंजियों तक पहुंच है:
HKLM\Security\Cache\NL$nजहां nकैश की गई क्रेडेंशियल्स की अधिकतम संख्या के लिए एक इंडेक्स 1 है।

हमलों के लिए संवेदनशीलता

WinNT से WinXP ने स्थानीय खातों के लिए "लैन मैनेजर" हैश का उपयोग किया , जो आधुनिक हार्डवेयर पर आसानी से टूट जाते हैं। क्रैकिंग में आमतौर पर सिर्फ एक "सामान्य" डेस्कटॉप कंप्यूटर के साथ कई मिनट लगते हैं (मैंने हाल ही में 00:08:06 में 3 पासवर्ड किए)। लैन मैनेजर हैश को नमकीन नहीं किया जाता है, इसलिए सार्वजनिक रूप से उपलब्ध इंद्रधनुष टेबल भी हैं।

विस्टा और बाद में स्थानीय खातों के लिए NT हैश का उपयोग करें। Windows 2000 और बाद में डोमेन खातों के लिए NT हैश का उपयोग करें । NT हैश डबल-एमडी 4 हैश को नमकीन किया जाता है। प्रति-प्रवेश नमक इंद्रधनुष तालिकाओं के उपयोग को रोकता है, लेकिन आधुनिक हार्डवेयर पर एमडी 4 को बहुत तेजी से निष्पादित किया जा सकता है: 60-बिट पासवर्ड के लिए लगभग 6 गणना-वर्ष। भाग्य और 6 जीपीयू क्लस्टर के साथ एक पटाखा ~ 6 महीने में इस तरह के पासवर्ड को तोड़ सकता है। क्लाउड पर ले जाना, अमेज़न ईसी 2 जीपीयू पर लगभग $ 35k - उपलब्धता के आधार पर, यह घंटे हो सकते हैं।

क्रेडेंशियल्स वास्तव में स्थानीय मशीन पर कैश नहीं किए जाते हैं। देखें MS का यह अंश:

कैश्ड डोमेन क्रेडेंशियल्स की सुरक्षा

कैश्ड क्रेडेंशियल्स शब्द का सही वर्णन नहीं है कि डोमेन लॉगऑन के लिए Windows कैश लॉगऑन जानकारी कैसे देता है। Windows 2000 और Windows के बाद के संस्करणों में, उपयोगकर्ता नाम और पासवर्ड कैश नहीं है। इसके बजाय, सिस्टम पासवर्ड का एक एन्क्रिप्टेड वेरिफायर स्टोर करता है। यह सत्यापनकर्ता एक नमकीन MD4 हैश है जो दो बार गणना की जाती है। डबल कम्प्यूटेशन प्रभावी रूप से सत्यापनकर्ता को उपयोगकर्ता पासवर्ड के हैश का हैश बनाता है। यह व्यवहार Microsoft Windows NT 4.0 और Windows NT के पुराने संस्करणों के व्यवहार के विपरीत है।

http://support.microsoft.com/kb/913485

उन्हें क्रेडेंशियल मैनेजर द्वारा नियंत्रित किया जाता है, जिसके लिए क्रेडेंशियल मैनेजर एपीआई है। नमकीन हैश को डिस्क पर कुछ हद तक सुरक्षित तरीके से संग्रहीत किया जाता है और HKLM \ Security के माध्यम से एक्सेस किया जाता है। (जिसे केवल स्थानीय सिस्टम द्वारा डिफ़ॉल्ट रूप से एक्सेस किया जा सकता है, लेकिन बाईपास के लिए आसान है, उदाहरण के लिए, psexec -i -s regedit.exe द्वारा।)

हालाँकि, चल रहे विंडोज सिस्टम पर, स्थिति अधिक विकट है, क्योंकि हाल ही में उपयोग किए गए क्रेडेंशियल्स को प्राप्त किया जा सकता है और आसानी से एलएसएल में डीएलएल को हुक करके सादे-पाठ में उलट दिया जा सकता है। (देखें मिमिकज़ैट।)

तो हाँ, आपको ग्राहक पर HKLM \ Security \ Cache में कुछ प्रकार के हैश (या हैश के हैश, या 'वेरिफ़ायर' या जो भी आप इसे कॉल करना चाहते हैं) मिलेगा। लेकिन मुझे नहीं लगता कि डिस्क पर हैश पर हमला करने का कोई व्यावहारिक तरीका है। यह NTLM हैश का वही पुराना प्रकार नहीं है जो हमला करने योग्य हो।