Biztonsági fiókkezelő

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2015. december 28-án áttekintett verziótól ; az ellenőrzések 2 szerkesztést igényelnek .

SAM ( angolul Security Account Manager ) Security Accounts Manager – Windows RPC - kiszolgáló, amely a fiókok adatbázisát üzemelteti.

A SAM a következő feladatokat látja el:

Alanyok azonosítása ( nevek lefordítása azonosítókká (SID) és fordítva);
Jelszó ellenőrzés, hitelesítés (részt vesz a felhasználó rendszerbe való bejelentkezés folyamatában);
Statisztikák tárolása (utolsó bejelentkezési idő, bejelentkezések száma, hibás jelszóbevitelek száma);
Tárolja és kényszeríti a fiókházirend-beállításokat (jelszóházirend és fiókzárolási szabályzat);
Tárolja a fiókcsoportosítás logikai szerkezetét (csoportok, tartományok, álnevek szerint);
Szabályozza a hozzáférést a számlák adatbázisához;
Programozási felületet biztosít a számlaadatbázis kezeléséhez.

A SAM-adatbázis a rendszerleíró adatbázisban tárolódik (a HKEY_LOCAL_MACHINE \SAM\SAM kulcsban), amelyhez alapértelmezés szerint még a rendszergazdák sem férhetnek hozzá.

A SAM-kiszolgáló samsrv.dll nevű DLL -ként valósul meg, amelyet az lsass.exe tölt be. A kiszolgálóhoz való kliens elérésére szolgáló programozási felület a samlib.dll DLL-ben található funkciókként valósul meg.

Történelem

A Windows NT 4 nem használt titkosítást a SAM -ben tárolt NTLM jelszókivonatokhoz . Ezenkívül a Windows korábbi verzióival való kompatibilitás érdekében az LM protokoll támogatása megmaradt . A SAM adatbázisban akkor használt titkosítás olyan gyenge volt, hogy a jelszavakat a legegyszerűbb hackereszközökkel kinyerték a rendszerből .

A helyzet javult a Service Pack 3 Windows NT 4 rendszerhez készült kiadásával . Ettől a verziótól kezdődően erős, 128 bites Syskey titkosítást kezdtek használni a SAM-adatbázisban a jelszókivonatok védelmére. Ha az NT4 SP3-ban a felhasználónak önállóan kellett engedélyeznie a Syskey- t (a konzol syskey parancsával), akkor már a Windows 2000 / XP rendszerben ez a titkosítás alapértelmezés szerint engedélyezve van.

A Syskey mechanizmus megnehezíti a felhasználói jelszavak LM -kivonatait és NTLM -kivonatait tartalmazó SAM-adatbázis feltörését , mivel ezek mostantól titkosított formában vannak tárolva. Titkosítókulcs nélkül pedig a hackelés sok számítási erőforrást igényel.

Sajnos alapértelmezés szerint a Syskey titkosítási kulcs a rendszerleíró adatbázis SYSTEM ágában tárolódik, és rendszerindításkor automatikusan rendelkezésre áll. Ezért a hashek feltöréséhez nem csak a SAM fájlra van szükség, hanem a titkosítási kulcsot tároló SYSTEM fájlra is.

Ezenkívül a Syskey mechanizmus egyéb működési módjai is lehetségesek :

1. mód. A kulcs a rendszerleíró adatbázisban tárolódik, és rendszerindításkor automatikusan rendelkezésre áll.

2. mód. A kulcs a rendszerleíró adatbázisban van tárolva, de jelszóval zárva van, amelyet rendszerindításkor kell megadni.

3. mód. A kulcs egy cserélhető lemezen van tárolva, amelyet rendszerindításkor meg kell adni.

A 2. és 3. mód használata biztonságosabbá teszi a Windows rendszert. megakadályozza, hogy a hacker kivonatolja a jelszókivonatokat azáltal, hogy fizikailag hozzáfér egy kikapcsolt számítógéphez.

Lásd még

pwdump

Irodalom

Alex Atsctoy. A hacker bemutatója: részletes, illusztrált útmutató. - M .: A legjobb könyvek, 2005. ISBN 5-93673-036-0