Αντ 'αυτού, τα Windows χρησιμοποιούν έναν ασφαλή μηχανισμό για την αποθήκευση και τη διαχείριση των πληροφοριών λογαριασμού χρήστη και των σχετικών διαπιστευτηρίων τους. Ακολουθεί μια ανάλυση του τρόπου με τον οποίο λειτουργεί:
* SAM (Διευθυντής Λογαριασμού Ασφαλείας) Βάση Δεδομένων: Η βάση δεδομένων SAM είναι η κύρια τοποθεσία όπου αποθηκεύεται πληροφορίες για το λογαριασμό χρήστη, συμπεριλαμβανομένων των hashes κωδικού πρόσβασης. Αυτή η βάση δεδομένων είναι ένα αρχείο, όχι ένα κλειδί μητρώου. Βρίσκεται στο:
`` `
%Systemroot%\ System32 \ config \ sam
`` `
Το αρχείο SAM είναι προστατευμένο σε μεγάλο βαθμό και απρόσιτο για τους περισσότερους χρήστες και διαδικασίες. Είναι ευθύνη του λειτουργικού συστήματος να διαχειρίζεται την πρόσβαση σε αυτό.
* Κωδικός πρόσβασης: Τα Windows δεν αποθηκεύουν κωδικούς πρόσβασης σε απλό κείμενο. Αντ 'αυτού, χρησιμοποιεί σύνθετους αλγόριθμους κατακερματισμού (π.χ. NTLM, Kerberos) για να μετατρέψει τους κωδικούς πρόσβασης σε μη αναστρέψιμες τιμές κατακερματισμού. Αυτές οι τιμές κατακερματισμού είναι αυτές που αποθηκεύονται στη βάση δεδομένων SAM, μαζί με άλλα δεδομένα που σχετίζονται με το λογαριασμό.
* μυστικά LSA: Η Τοπική Αρχή Ασφαλείας (LSA) Διαχειρίζεται τοπικές πολιτικές ασφαλείας και αποθηκεύει ευαίσθητες πληροφορίες που ονομάζονται LSA Secrets . Αυτά τα μυστικά μπορούν να περιλαμβάνουν κωδικούς πρόσβασης λογαριασμού υπηρεσιών, διαπιστευτήρια εντοπισμού τομέα και άλλα δεδομένα που σχετίζονται με την κρίσιμη ασφάλεια. Τα μυστικά LSA αποθηκεύονται (κρυπτογραφημένα) στο μητρώο, ειδικά κάτω από:
`` `
Hkey_local_machine \ security \ policy \ secrets
`` `
Ωστόσο, η πρόσβαση και η αποκρυπτογράφηση των μυστικών LSA απαιτεί πολύ υψηλά προνόμια και γενικά γίνεται μόνο από το ίδιο το λειτουργικό σύστημα. Ενώ μπορεί να περιέχουν διαπιστευτήρια, δεν είναι το κύριο κατάστημα κωδικών πρόσβασης.
* Προτιμήσεις πολιτικής ομάδας (GPP): Οι προτιμήσεις της πολιτικής της ομάδας, εάν είναι εσφαλμένες, * μπορούν να αποθηκεύουν μερικές φορές τους κωδικούς πρόσβασης σε μια κρυπτογραφημένη (αλλά συχνά εύκολα αποκρυπτογραφήσιμη) μορφή μέσα στο μητρώο. Αυτό θεωρείται σημαντική ευπάθεια ασφαλείας και πρέπει να αποφεύγεται. Η τοποθεσία ποικίλλει ανάλογα με το GPP που χρησιμοποιείται.
Σημαντικές εκτιμήσεις ασφαλείας:
* Η άμεση πρόσβαση είναι περιορισμένη: Η βάση δεδομένων SAM και τα μυστικά LSA προστατεύονται από ισχυρά στοιχεία ελέγχου πρόσβασης. Η άμεση πρόσβαση ή η τροποποίηση τους μπορεί να οδηγήσει σε αστάθεια του συστήματος ή παραβιάσεις ασφαλείας.
* Το hashing είναι κρίσιμο: Η χρήση αλγορίθμων κατακερματισμού είναι θεμελιώδης για την ασφάλεια του κωδικού πρόσβασης. Ακόμη και αν κάποιος είχε πρόσβαση στη βάση δεδομένων SAM, θα χρειαζόταν να σπάσουν τα hashes του κωδικού πρόσβασης, το οποίο είναι ένα υπολογιστικό εντατικό έργο.
* Η διαχείριση κωδικού πρόσβασης είναι κρίσιμη: Οι κατάλληλες πολιτικές κωδικού πρόσβασης (πολυπλοκότητα, μήκος, περιστροφή) είναι απαραίτητες για την ελαχιστοποίηση του κινδύνου ρωγμών κωδικού πρόσβασης.
* Αποφύγετε την αποθήκευση κωδικών πρόσβασης σε απλό κείμενο: Ποτέ μην αποθηκεύετε κωδικούς πρόσβασης σε απλό κείμενο σε οποιαδήποτε ρύθμιση αρχείου ή μητρώου. Χρησιμοποιείτε πάντα μεθόδους ασφαλούς κατακερματισμού ή κρυπτογράφησης.
* Να γνωρίζετε τα τρωτά σημεία του GPP: Εάν χρησιμοποιείτε προτιμήσεις πολιτικής ομάδας, βεβαιωθείτε ότι δεν αποθηκεύετε ακούσια τους κωδικούς πρόσβασης με τρόπο που να τις καθιστά εύκολα προσβάσιμες.
Συνοπτικά, ενώ το μητρώο (ειδικά η κυψέλη "ασφαλείας" διατηρεί * μερικές * ευαίσθητες πληροφορίες που σχετίζονται με την ασφάλεια, η βάση δεδομένων Core Password (το SAM) είναι ένα ξεχωριστό αρχείο και οι ίδιοι οι κωδικοί πρόσβασης αποθηκεύονται ως μη αναστρέψιμες hashes, όχι ως αρχικοί κωδικοί πρόσβασης σε απλό κείμενο.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα