W jaki sposób poświadczenia systemu Windows w pamięci podręcznej są przechowywane na komputerze lokalnym?

Jak przechowywane w pamięci podręcznej poświadczenia domeny Active Directory są przechowywane na kliencie Windows? Czy są przechowywane w lokalnej bazie danych SAM, przez co są podatne na te same ataki tabeli tęczy, na które są narażeni konta użytkowników lokalnych, czy też są przechowywane inaczej? Zauważ, że zdaję sobie sprawę, że są one solone i mieszane, aby nie były przechowywane jako zwykły tekst, ale czy są one mieszane w taki sam sposób jak konta lokalne i czy są przechowywane w tej samej lokalizacji?

Zdaję sobie sprawę, że przynajmniej są podatni na atak brutalnej siły, ale jest to o wiele lepsza sytuacja niż narażenie na tęczowe stoły w przypadku skradzionej maszyny.

„Pamięci podręczne”

Pamięci podręczne dla domeny AD są w rzeczywistości solonymi podwójnymi skrótami hasła i są przechowywane w gałęzi HKLM \ Security. Lokalizacja pliku gałęzi to: %systemroot%\System32\config\SECURITY

Tylko użytkownik „systemowy” ma dostęp do kluczy rejestru:
HKLM\Security\Cache\NL$ngdzie njest indeks 1 do maksymalnej liczby buforowanych poświadczeń.

Podatność na ataki

WinNT do WinXP używał skrótów „Lan Manager” dla kont lokalnych , które łatwo można złamać na nowoczesnym sprzęcie. Pękanie zwykle zajmuje kilka minut (ostatnio zrobiłem 3 hasła w 00:08:06) na zwykłym komputerze stacjonarnym. Skróty Lan Managera nie są solone, więc są też dostępne publicznie tabele tęczy.

Vista i nowsze używają skrótów NT dla kont lokalnych . Windows 2000 i nowsze wersje używają również skrótów NT dla kont domeny . Skróty NT są solonymi podwójnymi skrótami MD4. Sól na wejście zapobiega użyciu tęczowych tabel, ale MD4 można wykonać bardzo szybko na nowoczesnym sprzęcie: około 6 lat obliczeniowych dla hasła 60-bitowego. Przy odrobinie szczęścia i klastrze 6 GPU cracker może złamać tego rodzaju hasło w ciągu ~ 6 miesięcy. Biorąc to do chmury, około 35 000 $ na GPU Amazon EC2 - w zależności od dostępności, może to potrwać kilka godzin.

Poświadczenia nie są buforowane na komputerze lokalnym. Zobacz ten fragment z MS:

Bezpieczeństwo poświadczeń domeny z pamięci podręcznej

Termin poświadczenia w pamięci podręcznej nie opisuje dokładnie, w jaki sposób system Windows buforuje informacje logowania do logowania do domeny. W systemie Windows 2000 i nowszych wersjach systemu Windows nazwa użytkownika i hasło nie są buforowane. Zamiast tego system przechowuje zaszyfrowany weryfikator hasła. Ten weryfikator to solony skrót MD4, który jest obliczany dwa razy. Podwójne obliczenia skutecznie sprawiają, że weryfikator jest skrótem skrótu hasła użytkownika. To zachowanie jest inne niż zachowanie systemu Microsoft Windows NT 4.0 i wcześniejszych wersji systemu Windows NT.

http://support.microsoft.com/kb/913485

Są one obsługiwane przez Credential Manager, dla którego istnieje API Credential Manager. Solone skróty są przechowywane w dość bezpieczny sposób na dysku i dostępne za pośrednictwem HKLM \ Security. (Do którego domyślnie można uzyskać dostęp tylko z LocalSystem, ale łatwo go ominąć, na przykład za pomocą psexec -i -s regedit.exe.)

W działającym systemie Windows sytuacja jest jednak bardziej tragiczna, ponieważ ostatnio używane poświadczenia można uzyskać i łatwo zamienić na zwykły tekst, podpinając bibliotekę DLL w Lsass. (Zobacz Mimikatz.)

Tak, tak, w HKLM \ Security \ Cache na kliencie znajdziesz jakiś skrót (lub skrót hash, lub „weryfikator” lub jakkolwiek chcesz to nazwać). Ale nie sądzę, że istnieje jakiś możliwy sposób na atak hasha na dysku. Nie jest to ten sam stary typ skrótu NTLM, który można zaatakować.