วิกิพีเดียภาษาไทย
กลับไปหน้าบทความ

อ่าน 3 นาที

ผู้จัดการบัญชีความปลอดภัย

ตัว จัดการบัญชีความปลอดภัย หรือ ตัวจัดการบัญชีระบบ [ 1 ] ( SAM ) เป็นไฟล์ฐานข้อมูล [ 2 ] ใน Windows NT, Windows 2000, Windows XP, Windows Vista, Windows 7, 8.

ผู้จัดการบัญชีความปลอดภัย

( เรียนรู้วิธีและเวลาในการลบข้อความนี้ )

ตัวจัดการบัญชีความปลอดภัยหรือตัวจัดการบัญชีระบบ[ 1 ] ( SAM ) เป็นไฟล์ฐานข้อมูล[ 2 ]ใน Windows NT, Windows 2000, Windows XP, Windows Vista, Windows 7, 8.1, 10 และ 11 ที่จัดเก็บรหัสผ่านของผู้ใช้ สามารถใช้ในการตรวจสอบสิทธิ์ผู้ใช้ภายในและระยะไกล ตั้งแต่ Windows 2000 SP4 เป็นต้นไป Active Directory จะตรวจสอบสิทธิ์ผู้ใช้ระยะไกล SAM ใช้มาตรการเข้ารหัสเพื่อป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับการตรวจสอบสิทธิ์เข้าถึงระบบ

รหัสผ่านของผู้ใช้จะถูกจัดเก็บในรูปแบบแฮชในรีจิสทรีฮิฟโดยอาจเป็นแฮช LMหรือแฮช NTLMไฟล์นี้สามารถพบได้ใน%SystemRoot%/System32/config/SAMและถูกเมานต์อยู่ที่HKLM/SAMและSYSTEMจำเป็นต้องมีสิทธิ์ในการดูไฟล์นี้

เพื่อปรับปรุงความปลอดภัยของฐานข้อมูล SAM จากการถอดรหัสซอฟต์แวร์แบบออฟไลน์ ไมโครซอฟต์ได้แนะนำฟังก์ชัน SYSKEY ใน Windows NT 4.0 เมื่อเปิดใช้งาน SYSKEY สำเนาไฟล์ SAM บนดิสก์จะถูกเข้ารหัสบางส่วน เพื่อให้ค่าแฮชรหัสผ่านสำหรับบัญชีภายในเครื่องทั้งหมดที่จัดเก็บไว้ใน SAM ถูกเข้ารหัสด้วยคีย์ (โดยปกติจะเรียกว่า "SYSKEY") สามารถเปิดใช้งานได้โดยการเรียกใช้syskeyโปรแกรม[ 3 ]ตั้งแต่ Windows 10 เวอร์ชัน 1709 ฟังก์ชันนี้ syskeyถูกลบออกเนื่องจากความปลอดภัยที่ไม่มั่นคง[ 4 ]และการนำไปใช้ในทางที่ผิดโดยผู้ไม่ประสงค์ดีเพื่อล็อกผู้ใช้ออกจากระบบ

การวิเคราะห์รหัส

ในปี 2012 ได้มีการสาธิตให้เห็นว่าการเรียงสับเปลี่ยนแฮชรหัสผ่าน NTLM 8 ตัวอักษรที่เป็นไปได้ทั้งหมดสามารถถอดรหัสได้ภายในเวลาไม่ถึง 6 ชั่วโมง[ 5 ] ในปี 2019 เวลาดังกล่าวลดลงเหลือประมาณ 2.5 ชั่วโมงโดยใช้ฮาร์ดแวร์ที่ทันสมัยกว่า[ 6 ] [ 7 ]

ในกรณีของการโจมตีทางออนไลน์ การคัดลอกไฟล์ SAM ไปยังตำแหน่งอื่นโดยตรงนั้นเป็นไปไม่ได้ ไฟล์ SAM ไม่สามารถเคลื่อนย้ายหรือคัดลอกได้ในขณะที่ Windows กำลังทำงานอยู่ เนื่องจากเคอร์เนลของ Windows จะได้รับและรักษาการล็อกระบบไฟล์แบบพิเศษบนไฟล์ SAM และจะไม่ปล่อยการล็อกนั้นจนกว่าระบบปฏิบัติการจะปิดตัวลงหรือเกิดข้อผิดพลาด " Blue Screen of Death " ขึ้น อย่างไรก็ตาม สามารถดัมพ์สำเนาในหน่วยความจำของเนื้อหาในไฟล์ SAM ได้โดยใช้เทคนิคต่างๆ (รวมถึงpwdump ) ทำให้แฮชรหัสผ่านพร้อมใช้งานสำหรับการโจมตีแบบ Brute-force แบบออฟ ไลน์

การลบแฮช LM

LM hash เป็นโปรโตคอลที่ถูกบุกรุกและถูกแทนที่ด้วย NTLM hash แล้ว ระบบปฏิบัติการ Windows ส่วนใหญ่สามารถตั้งค่าให้ปิดใช้งานการสร้างและการจัดเก็บ LM hash ที่ถูกต้องเมื่อผู้ใช้เปลี่ยนรหัสผ่านได้ Windows Vista และ Windows เวอร์ชันที่ใหม่กว่าจะปิดใช้งาน LM hash โดยค่าเริ่มต้น หมายเหตุ: การเปิดใช้งานการตั้งค่านี้ไม่ได้ล้างค่า LM hash จาก SAM ทันที แต่จะเปิดใช้งานการตรวจสอบเพิ่มเติมระหว่างการเปลี่ยนรหัสผ่าน ซึ่งจะจัดเก็บค่า "จำลอง" ในตำแหน่งในฐานข้อมูล SAM ที่ปกติจะจัดเก็บ LM hash (ค่าจำลองนี้ไม่มีความสัมพันธ์กับรหัสผ่านของผู้ใช้ - เป็นค่าเดียวกันที่ใช้สำหรับบัญชีผู้ใช้ทั้งหมด)

ใน Windows NT 3.51, NT 4.0 และ 2000 มีช่องโหว่ที่คิดค้นขึ้นเพื่อหลีกเลี่ยงระบบการตรวจสอบสิทธิ์ในเครื่อง หากไฟล์ SAM ถูกลบออกจากฮาร์ดไดรฟ์ (เช่น การเชื่อมต่อไดรฟ์ระบบปฏิบัติการ Windows เข้ากับระบบปฏิบัติการอื่น) ผู้โจมตีสามารถล็อกอินด้วยบัญชีใดก็ได้โดยไม่ต้องใช้รหัสผ่าน ช่องโหว่นี้ได้รับการแก้ไขแล้วใน Windows XP ซึ่งจะแสดงข้อความแสดงข้อผิดพลาดและปิดเครื่องคอมพิวเตอร์ อย่างไรก็ตาม มีโปรแกรมยูทิลิตี้[ 8 ]ซึ่งใช้วิธีการดังกล่าวข้างต้นในการใช้ไดรฟ์เสมือนจำลองหรือดิสก์บูต (โดยปกติคือ Unix/Linux หรือ Windows เวอร์ชันอื่น เช่นWindows Preinstallation Environment ) เพื่อติดตั้งไดรฟ์ภายในเครื่องที่มีพาร์ติชัน NTFS ที่ใช้งานอยู่ และใช้รูทีนซอฟต์แวร์ที่ตั้งโปรแกรมไว้และการเรียกฟังก์ชันจากภายในสแต็กหน่วยความจำที่กำหนดเพื่อแยกไฟล์ SAM ออกจากโครงสร้างไดเร็กทอรีการติดตั้งระบบ Windows NT (ค่าเริ่มต้น: %SystemRoot%/system32/config/SAM) และขึ้นอยู่กับโปรแกรมยูทิลิตี้ที่ใช้ จะลบแฮชรหัสผ่านที่จัดเก็บไว้สำหรับบัญชีผู้ใช้ทั้งหมด หรือในบางกรณี แก้ไขรหัสผ่านบัญชีผู้ใช้โดยตรงจากสภาพแวดล้อมนี้

ซอฟต์แวร์นี้มีประโยชน์ทั้งในทางปฏิบัติและเป็นประโยชน์อย่างมากในการใช้เป็นยูทิลิตี้ล้างรหัสผ่านหรือกู้คืนบัญชีสำหรับบุคคลที่ลืมหรือทำรหัสผ่านบัญชี Windows หาย รวมถึงอาจใช้เป็นยูทิลิตี้สำหรับบายพาสความปลอดภัยของซอฟต์แวร์ที่เป็นอันตรายได้ โดยพื้นฐานแล้ว การให้ผู้ใช้ที่มีความสามารถ ประสบการณ์ และความคุ้นเคยกับทั้งซอฟต์แวร์ยูทิลิตี้สำหรับเจาะระบบและขั้นตอนการรักษาความปลอดภัยของเคอร์เนล Windows NT (รวมถึงการเข้าถึงคอมพิวเตอร์เป้าหมายแบบออฟไลน์และทันที) สามารถบายพาสหรือลบรหัสผ่านบัญชี Windows ออกจากคอมพิวเตอร์เป้าหมายได้อย่างสมบูรณ์ เมื่อไม่นานมานี้ Microsoft ได้ออกยูทิลิตี้ชื่อ LockSmith ซึ่งเป็นส่วนหนึ่งของMicrosoft Diagnostics and Recovery Toolset (DaRT) [ 9 ]อย่างไรก็ตาม DaRT ไม่ได้มีให้ใช้งานฟรีสำหรับผู้ใช้ทั่วไป[ 10 ]

ในเดือนกรกฎาคม พ.ศ. 2564 ได้มีการเปิดเผยว่ามีช่องโหว่ใน Windows 10 และ Windows 11 ที่อนุญาตให้ผู้ใช้ที่มีสิทธิ์น้อยเข้าถึงไฟล์ฐานข้อมูลรีจิสทรีที่ละเอียดอ่อน รวมถึงไฟล์ SAM [ 11 ]

ดูเพิ่มเติม

ดึงข้อมูลมาจาก " https://en.wikipedia.org/w/index.php?title=Security_Account_Manager&oldid=1323041547 "

สรุปเนื้อหา

ข้อมูลสำคัญจากบทความ

ข้อมูลสำคัญเกี่ยวกับ ผู้จัดการบัญชีความปลอดภัย

ตัว จัดการบัญชีความปลอดภัย หรือ ตัวจัดการบัญชีระบบ [ 1 ] ( SAM ) เป็นไฟล์ฐานข้อมูล [ 2 ] ใน Windows NT, Windows 2000, Windows XP, Windows Vista, Windows 7, 8.

การวิเคราะห์รหัส

ในปี 2012 ได้มีการสาธิตให้เห็นว่าการเรียงสับเปลี่ยนแฮชรหัสผ่าน NTLM 8 ตัวอักษรที่เป็นไปได้ทั้งหมดสามารถ ถอดรหัสได้ ภายในเวลาไม่ถึง 6 ชั่วโมง [ 5 ] ในปี 2019 เวลาดังกล่าวลดลงเหลือประมาณ 2.5 ชั่วโมงโดยใช้ฮาร์ดแวร์ที่ทันสมัยกว่า [ 6 ] [ 7 ]

การลบแฮช LM

LM hash เป็นโปรโตคอลที่ถูกบุกรุกและถูกแทนที่ด้วย NTLM hash แล้ว ระบบปฏิบัติการ Windows ส่วนใหญ่สามารถตั้งค่าให้ปิดใช้งานการสร้างและการจัดเก็บ LM hash ที่ถูกต้องเมื่อผู้ใช้เปลี่ยนรหัสผ่านได้ Windows Vista และ Windows เวอร์ชันที่ใหม่กว่าจะปิดใช้งาน LM hash...

การโจมตีที่เกี่ยวข้อง

ใน Windows NT 3.51, NT 4.0 และ 2000 มีช่องโหว่ที่คิดค้นขึ้นเพื่อหลีกเลี่ยงระบบการตรวจสอบสิทธิ์ในเครื่อง หากไฟล์ SAM ถูกลบออกจากฮาร์ดไดรฟ์ (เช่น การเชื่อมต่อไดรฟ์ระบบปฏิบัติการ Windows เข้ากับระบบปฏิบัติการอื่น)...