Wie werden zwischengespeicherte Windows-Anmeldeinformationen auf dem lokalen Computer gespeichert?

Wie werden zwischengespeicherte Active Directory-Domänenanmeldeinformationen auf einem Windows-Client gespeichert? Werden sie in der lokalen SAM-Datenbank gespeichert, sodass sie für dieselben Rainbow-Table-Angriffe anfällig sind, für die lokale Benutzerkonten anfällig sind, oder werden sie anders gespeichert? Beachten Sie, dass mir klar ist, dass sie gesalzen und gehasht sind, um nicht im Klartext gespeichert zu werden. Sind sie jedoch genauso gehasht wie lokale Konten und werden sie am selben Ort gespeichert?

Mir ist klar, dass sie zumindest für Brute-Force-Angriffe anfällig sind, aber das ist eine viel bessere Situation, als im Falle eines gestohlenen Computers für Regenbogentische anfällig zu sein.

"Im Cache gespeicherte Anmeldeinformationen"

Bei zwischengespeicherten Anmeldeinformationen für eine AD-Domäne handelt es sich tatsächlich um gesalzene Doppel-Hashes des Kennworts, die in der Struktur HKLM \ Security gespeichert werden. Der Dateispeicherort des Bienenstocks ist: %systemroot%\System32\config\SECURITY

Nur der "System" -Benutzer hat Zugriff auf die Registrierungsschlüssel:
HKLM\Security\Cache\NL$nDabei nsteht ein Index 1 für die maximale Anzahl zwischengespeicherter Anmeldeinformationen.

Anfälligkeit für Angriffe

WinNT to WinXP verwendete "Lan Manager" -Hashes für lokale Accounts, die auf moderner Hardware leicht kaputt gehen. Das Knacken dauert normalerweise einige Minuten (ich habe vor kurzem 3 Passwörter in 00.08.06 gemacht) mit nur einem "normalen" Desktop-Computer. Lan Manager-Hashes werden nicht gesalzen, daher gibt es auch öffentlich zugängliche Regenbogentabellen.

Vista und höher verwenden NT-Hashes für lokale Konten. Windows 2000 und höher verwenden NT-Hashes auch für Domänenkonten . NT-Hashes sind gesalzene Doppel-MD4-Hashes. Das Pro-Eintrag-Salt verhindert die Verwendung von Regenbogentabellen, aber MD4 kann auf moderner Hardware sehr schnell ausgeführt werden: ca. 6 Rechenjahre für ein 60-Bit-Passwort. Mit etwas Glück und einem 6-GPU-Cluster kann ein Cracker diese Art von Passwort in ~ 6 Monaten knacken. Wenn Sie das in die Cloud bringen, etwa 35.000 US-Dollar für eine Amazon EC2-GPU - je nach Verfügbarkeit können es Stunden sein.

Die Anmeldeinformationen werden nicht tatsächlich auf dem lokalen Computer zwischengespeichert. Siehe diesen Auszug aus MS:

Sicherheit der zwischengespeicherten Domänenanmeldeinformationen

Der Begriff zwischengespeicherte Anmeldeinformationen beschreibt nicht genau, wie Windows Anmeldeinformationen für Domänenanmeldungen zwischenspeichert. In Windows 2000 und späteren Versionen von Windows werden Benutzername und Kennwort nicht zwischengespeichert. Stattdessen speichert das System eine verschlüsselte Überprüfung des Kennworts. Dieser Verifizierer ist ein gesalzener MD4-Hash, der zweimal berechnet wird. Die Doppelberechnung macht den Prüfer effektiv zu einem Hash des Hash des Benutzerkennworts. Dieses Verhalten unterscheidet sich von dem Verhalten von Microsoft Windows NT 4.0 und früheren Versionen von Windows NT.

http://support.microsoft.com/kb/913485

Sie werden vom Anmeldeinformations-Manager verwaltet, für den es eine Anmeldeinformations-Manager-API gibt. Die gesalzenen Hashes werden in gewisser Weise sicher auf der Festplatte gespeichert und über HKLM \ Security abgerufen. (Auf die standardmäßig nur von LocalSystem zugegriffen werden kann, die jedoch einfach umgangen werden kann, z. B. psexec -i -s regedit.exe.)

Auf einem laufenden Windows-System ist die Situation jedoch schlimmer, da kürzlich verwendete Anmeldeinformationen abgerufen und einfach in Klartext umgewandelt werden können, indem eine DLL in Lsass eingebunden wird. (Siehe Mimikatz.)

Also ja, Sie finden eine Art Hash (oder Hash eines Hashs oder 'Verifier' oder wie auch immer Sie es nennen möchten) unter HKLM \ Security \ Cache auf dem Client. Aber ich glaube nicht, dass es eine praktikable Möglichkeit gibt, den Hash auf der Festplatte anzugreifen. Es ist nicht dieselbe alte Art von NTLM-Hash, die angreifbar ist.