江苏龙网

  1. 首页 > 资讯 > 科技 > >

|Windows身份认证及利用思路


电脑是我们职场办公最常用的工具 , 但是你的Windows安全吗?
日常生活中 , 我们的机密、隐私、安全问题尤为重要 , 大家都懂!但是有很多人认为 , 电脑设个密码就很安全了 。。。
然而 , 在黑客看来 , 这样的电脑入侵起来简直easy!不信?安仔今天就带大家一起来了解一下Windows认证需要的内容和认证过程 。
一、首先 , 认证过程和凭据 :
1.过程:
a、本地用户认证
该进行本地登录认证时操作系统会使用用户输入的密码作为凭证去与系统中的密码进行对比验证 。
该系统内部运行流程如下
winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证)首先用户注销、重启、锁屏后操作系统会让winlogon显示登录界面也就是输入框接收输入后将密码交给lsass进程这个进程会将明文密码加密成NTLM Hash对SAM数据库比较认证 。
Windows Logon Process winlogon.exe是 Windows NT 用户登陆程序用于管理用户登录和退出 。
lsass 用于微软Windows系统的安全机制 。 它用于本地安全和登陆策略该程序运行内存中会记录用户输入的 hash 一定概率几率明文 。
b、MSCACHE(域缓存凭据)
MSCACHE , 又叫作 domain cached credentials、DCC、域缓存凭据 。 它作用是是缓存在机器本地注册表中的域凭据+域授权信息 。
默认情况下windows 操作系统会自动缓存记录最后 10 个密码哈希值 。 当域控制器不可访问时系统将检查已缓存的最后一个密码哈希值以便使用系统对用户进行身份验证 。
需要注意的是 , 这里的hash是指 mscache hash , 或者叫 dcc hash , 根据操作系统的版本不同 , 又分为 dcc1 hash 与 dcc2 hash 。 Vista 之前保存的是 dcc1 ,之后保存的是 dcc2 。两种 hash 的生成算法不一样 。 但无论是哪种都不是 NTLM 的 HASH 。 所以导出的域缓存的 hash是不能用于 PTH, 只能用来破解 。
这些密码哈希值缓存在以下注册表设置中HKEY_LOCAL_MACHINESECURITYCache
建议通过将以下安全设置来防止密码的本地缓存将其值设置为 0 。
本地策略组编辑器 -> 计算机配置 -> Windows 设置 -> 本地策略 -> 安全选项 -> 交互式登录之前登 录到缓存的次数 -> 02.然后就是认证凭据:
a、lsass.exe 程序
lsass.exe 是一个系统重要进程用于微软Windows系统的安全机制 。 它用于本地安全和登陆策略 。 而SAM的功能就固定于 lsass.exe 中但是 lsass.exe 不仅仅只进行本地身份认证所有正确通过本地、远程身份认证的用户信息都会保存在 lsass.exe 的内存中 。
由于 WDigest 协议的存在在一些旧版本的 windows 操作系统中XP – win 8.0 和 server 2003 – server 2012 R1纯文本密码存储在 lsass.exe 进程中 。 考虑到安全因素在后续的 windows 操作系统版本中默认禁用此协议 。 对于旧版本操作系统微软官方发布 KB2871997 补丁允许用户自行决定是否禁用该协议 。
修改是否禁用需要修改注册表HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigest将Negotiate 和 UseLogonCredential 注册表项值应设置为 0 可以完全禁用此协议 。
除此以外 , 用户保存在该系统内的用户凭证也是由lsass.exe管理 , 在导出程序内存时 , 会同时导出 , 并且密码还是以明文的方式保存 。
|Windows身份认证及利用思路
本文插图

b、SAM文件
SAM 即''安全帐户管理器(Security Accounts Manager)''是 windows 操作系统管理用户帐户的安全所使用的一种机制 。
安全帐户管理器对帐号的管理是通过安全标识进行的安全标识在帐号创建时就同时创建一旦帐号被删除安全标识也同时被删除 。 安全标识是唯一的即使是相同的用户名在每次创建时获得的安全标识都是完全不同的 。 因此一旦某个帐号被删除它的安全标识就不再存在了即使用相同的用户名重建帐号也会被赋予不同的安全标识不会保留原来的权限 。


推荐阅读


上一篇:科技蟹|PS5终于发布,两版本选择

下一篇:|Snapchat AR滤镜日活1.7亿人,大量新功能来袭