暗码是计较机安然的根基元素,但研究人员发现他们卷进了大年夜量的安然缝隙。但是,你值得体味Windows是若何经由过程安然帐户治理器或SAM治理和履行暗码利用的。
Windows安然帐号治理器和暗码十分有益于任何治理企业桌面,这里是你不知道的五件事:
1、 安然帐户治理器多年来一向是微软把持系统的核心部门,此刻也是Windows 8.1的一部门。SAM的功能固定于lsass.exe中。lsass.exe是一个位于c:\Windows\system32的Windows办事。
Windows SAM治理本地Windows账户暗码并治理登录过程中的暗码验证。
2、本地安然帐户治理器文件(手艺上来讲是Windows注册表的一部门)称为SAM,位于c:\windows\system32\config\。在域节制器上,SAM文件相当于勾当目次数据库文件ntds.dit。
图1
3、SAM文件被锁定,不克不及拜候加载的把持系统,如图1所示。
但是,假定计较机是从一个动态恢复磁盘如ophcrack中启动的,该计较机是完全可拜候的。这是为甚么需要加密企业笔记本和台式机硬盘的首要启事之一。虽然如斯,假定存在其他弱点,Windows暗码可能会透露,所以你不克不及完全依托于加密。
4、SAM的备份文件位于c:\windows\system32\repair\。假定暗码被按期更改,过时暗码会包含在这个文件中,但完全可拜候登录到计较机的任何人。只需要在机械上成立一个帐户,为或人供给不良意图的未授权(和不负责任的)拜候。
图2
5、利用新老LAN Manager(LM)散列或更安然的NTLM散列将暗码存储在SAM文件中。Windows 7及今后版本默觉得NTLM散列。这两种类型的散列可利用被彩虹表(Rainbow Table)破解。彩虹表是一种破解哈希算法的手艺,在10年前由瑞士联邦理工学院的Philippe Oechslin发现。Oechslin的ophcrack东西和Elcomsoft System Recovery是两款闻名的利用预先计较的暗码散列来破解Windows暗码的东西。图2中显示了Elcomsoft System Recovery中的可用选项。
从SAM文件中提取Windows暗码散列的另外一个很好的东西是pwdump。寄望,虽然Windows syskey法度可以用来在SAM文件中成立更多的安然,一些东西如Elcomsoft的Proactive System Password Recovery可以粉碎这些控件。
Windows安然帐户治理器很少呈现标题问题。本地账户多是也可能不是你的治理范围。但是,体味甚么时辰、何地和若何工作的相干细节是值得的。
鉴于所有这一切,我可以必定的说,只要跟Windows暗码相干的,都不是真正安然的。没有甚么像贵重的资产——用户暗码——如斯脆弱的。尽你所能,确保风险最小化。