Manager de cont de securitate

Versiunea actuală a paginii nu a fost încă revizuită de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită la 28 decembrie 2015; verificările necesită 2 modificări .

SAM ( Engleză Security Account Manager ) Security Accounts Manager - Server Windows RPC care operează baza de date de conturi.

SAM îndeplinește următoarele sarcini:

Identificarea subiecților (traducerea numelor în identificatori (SID) și invers);
Verificarea parolei, autorizarea (participă la procesul de conectare a utilizatorului la sistem);
Stochează statistici (ultima autentificare, numărul de autentificări, numărul de intrări incorecte de parolă);
Stochează și aplică setările politicii contului (politica privind parolele și politica de blocare a contului);
Stochează structura logică a grupării conturilor (pe grupuri, domenii, aliasuri);
Controlează accesul la baza de date de conturi;
Oferă o interfață de programare pentru gestionarea bazei de date a contului.

Baza de date SAM este stocată în registry (în cheia HKEY_LOCAL_MACHINE\SAM\SAM), la care accesul este interzis implicit chiar și administratorilor.

Serverul SAM este implementat ca un DLL numit samsrv.dll încărcat de lsass.exe. Interfața de programare pentru accesul clientului la server este implementată ca funcții conținute în DLL samlib.dll.

Istorie

Windows NT 4 nu a folosit criptarea pentru hash - urile parolei NTLM stocate în SAM . De asemenea, pentru compatibilitatea cu versiunile anterioare de Windows , a fost lăsat suportul pentru protocolul LM . Criptarea folosită atunci în baza de date SAM era atât de slabă încât parolele erau extrase din sistem cu cele mai simple instrumente de hacking .

Situația sa îmbunătățit odată cu lansarea Service Pack 3 pentru Windows NT 4 . Începând cu această versiune, criptarea puternică Syskey de 128 de biți a început să fie utilizată în baza de date SAM pentru a proteja hash-urile parolei. Dacă în NT4 SP3 utilizatorul trebuia să activeze Syskey pe cont propriu (folosind comanda syskey din consolă), atunci deja în Windows 2000 / XP această criptare este activată implicit.

Mecanismul Syskey face dificilă spargerea bazei de date SAM care conține hash-urile LM și hash -urile NTLM ale parolelor utilizatorului, deoarece acestea sunt acum stocate în formă criptată. Și fără o cheie de criptare, hacking-ul va necesita o mulțime de resurse de calcul.

Din păcate, în mod implicit, cheia de criptare Syskey este stocată în ramura SYSTEM a registrului și este furnizată automat la pornire. Prin urmare, pentru a sparge hash-urile, este necesar nu numai fișierul SAM, ci și fișierul SYSTEM, care stochează cheia de criptare.

În plus, sunt posibile și alte moduri de funcționare ale mecanismului Syskey :

Modul 1. Cheia este stocată în registry și furnizată automat la momentul pornirii.

Modul 2. Cheia este stocată în registry, dar blocată cu o parolă care trebuie introdusă la pornire.

Modul 3. Cheia este stocată pe un disc amovibil, care trebuie furnizat în momentul pornirii.

Utilizarea modurilor 2 și 3 face sistemul Windows mai sigur. împiedică un hacker să extragă hash-uri de parole prin obținerea accesului fizic la un computer oprit.

Vezi și

pwdump

Literatură

Alex Atsctoy. Tutorialul hackerului: un ghid ilustrat detaliat. - M .: Cele mai bune cărți, 2005. ISBN 5-93673-036-0