Як кешовані облікові дані Windows зберігаються на локальній машині?

Як кешовані облікові дані домену Active Directory зберігаються на клієнті Windows? Чи вони зберігаються в локальній базі даних SAM, тим самим роблячи їх сприйнятливими до тих самих атак на райдужну таблицю, до яких сприйнятливі облікові записи місцевих користувачів, або вони зберігаються по-іншому? Зауважте, що я розумію, що вони солоні та хешовані, щоб не зберігатись у простому тексті, але чи вони хешировані так само, як локальні акаунти та чи зберігаються вони в одному місці?

Я розумію, що як мінімум вони піддаються грубій атаці, але це набагато краща ситуація, ніж бути вразливими до веселкових столів у випадку викраденого автомата.

"Кешовані дані"

Кешовані облікові дані для домену AD - насправді сольові подвійні хеши пароля та зберігаються в вулику HKLM \ Security. Розташування файлу вулика: %systemroot%\System32\config\SECURITY

Лише "системний" користувач має доступ до ключів реєстру:
HKLM\Security\Cache\NL$nде nіндекс 1 до максимальної кількості кешованих даних.

Сприйнятливість до нападів

WinNT до WinXP використовував хеши "Lan Manager" для локальних акаунтів, які легко розбиваються на сучасне обладнання. Зламування зазвичай займає декілька хвилин (я нещодавно зробив 3 паролі о 00:08:06) із просто "звичайним" настільним комп'ютером. Хеші Lan Manager не засолені, тому існують і загальнодоступні веселкові столи.

Vista та пізніше використовують хеш-файли NT для локальних облікових записів. Windows 2000 та новіші версії також використовують хеши NT для облікових записів доменів . Хеши NT - солоні хеші з подвійним MD4. Сіль за вхід не дозволяє використовувати таблиці веселки, але MD4 можна виконати дуже швидко на сучасному обладнанні: близько 6 обчислювальних років для 60-бітного пароля. При удачі та кластері 6 GPU, зломщик може зламати такий тип пароля за ~ 6 місяців. Якщо взяти це до хмари, приблизно 35 000 доларів на графічному процесорі Amazon EC2 - залежно від наявності, це може зайняти години.

Реєстраційні дані фактично не кешовані на локальній машині. Дивіться цей уривок з MS:

Захист даних кешованих даних

Термін кешованих облікових даних не точно описує, як Windows кешує інформацію про вхід для входу в домен. У Windows 2000 та пізніших версіях Windows ім'я користувача та пароль не кешуються. Натомість система зберігає зашифрований перевіряючий пароль. Цей верифікатор - це солоний хеш MD4, який обчислюється два рази. Подвійне обчислення ефективно робить верифікатор хеш хеша пароля користувача. Така поведінка на відміну від поведінки Microsoft Windows NT 4.0 та більш ранніх версій Windows NT.

http://support.microsoft.com/kb/913485

З ними обробляється менеджер довірених даних, для якого існує API менеджера даних. Солоні хеші зберігаються дещо безпечним способом на диску і доступ до них здійснюється через HKLM \ Security. (До якого LocalSystem може отримати доступ лише за замовчуванням, але його легко обійти, наприклад, за допомогою psexec -i -s regedit.exe.)

Однак у запущеній системі Windows ситуація є більш жахливою, оскільки нещодавно використані облікові дані можна отримати та легко повернути у звичайний текст, підключивши DLL до Lsass. (Див. Мімікац.)

Так що так, ви знайдете якийсь хеш (або хеш хеша, або "перевіряючий" або все, що ви хочете його назвати) в HKLM \ Security \ Cache на клієнті. Але я не думаю, що існує якийсь можливий спосіб атакувати хеш на диску. Це не той самий старий вид хешу NTLM, який можна приєднати.