キャッシュされたActive Directoryドメインの資格情報はWindowsクライアントにどのように保存されますか?ローカルSAMデータベースに保存されているため、ローカルユーザーアカウントが影響を受けるのと同じレインボーテーブル攻撃を受けやすくなっていますか?プレーンテキストで保存されないように、ソルトとハッシュ化されていることを認識していますが、ローカルアカウントと同じ方法でハッシュ化され、同じ場所に保存されていますか?
少なくともブルートフォース攻撃の影響を受けやすいことはわかっていますが、マシンが盗まれた場合にレインボーテーブルに対して脆弱であるよりもはるかに良い状況です。
回答:
ADドメインのキャッシュされた資格情報は、実際にはパスワードのソルトされたダブルハッシュであり、HKLM \ Securityハイブに保存されます。ハイブのファイルの場所は次のとおりです。
%systemroot%\System32\config\SECURITY
「システム」ユーザーのみがレジストリキーにアクセスできます。
HKLM\Security\Cache\NL$nここnで、キャッシュされた資格情報の最大数に対するインデックス1です。
WinNTからWinXPは、ローカルアカウントに「Lan Manager」ハッシュを使用しましたが、これは最新のハードウェアでは簡単に壊れます。通常、クラッキングには「通常の」デスクトップコンピューターで数分かかります(最近00:08:06に3つのパスワードを実行しました)。Lan Managerハッシュはソルトされないため、公開されているレインボーテーブルもあります。
Vista以降では、ローカルアカウントにNTハッシュを使用します。Windows 2000以降では、ドメインアカウントにもNTハッシュが使用されます。NTハッシュは、塩漬けのダブルMD4ハッシュです。エントリごとのソルトはレインボーテーブルの使用を防ぎますが、MD4は最新のハードウェアで非常に高速に実行できます。60ビットのパスワードで約6計算年です。幸運と6 GPUクラスターにより、クラッカーはこの種のパスワードを6か月以内に破ることができます。これをクラウドに持ち込むと、Amazon EC2 GPUで約35,000ドル-可用性にもよりますが、数時間かかる場合があります。
資格情報は、実際にはローカルマシンにキャッシュされません。MSからの次の抜粋を参照してください。
キャッシュされたドメイン資格情報のセキュリティ
キャッシュされた資格情報という用語は、Windowsがドメインログオンのログオン情報をキャッシュする方法を正確に説明していません。Windows 2000以降のバージョンのWindowsでは、ユーザー名とパスワードはキャッシュされません。代わりに、システムはパスワードの暗号化された検証者を保存します。この検証は、2回計算されるソルトMD4ハッシュです。二重計算により、検証者はユーザーパスワードのハッシュのハッシュになります。この動作は、Microsoft Windows NT 4.0および以前のバージョンのWindows NTの動作とは異なります。
これらは、Credential Managerによって処理されます。CredentialManagerには、Credential Manager APIがあります。ソルトハッシュは、ディスク上にある程度安全な方法で保存され、HKLM \ Securityを介してアクセスされます。(デフォルトではLocalSystemのみがアクセスできますが、たとえば、psexec -i -s regedit.exeを使用すると簡単にバイパスできます。)
ただし、実行中のWindowsシステムでは、最近使用した資格情報を取得し、DLLをLsassにフックすることで簡単にプレーンテキストに戻すことができるため、状況はより深刻です。(Mimikatzを参照してください。)
ええ、クライアントのHKLM \ Security \ Cacheには、ある種のハッシュ(またはハッシュのハッシュ、または「検証」、またはそれを呼び出すもの)があります。しかし、ディスク上のハッシュを攻撃する実行可能な方法があるとは思わない。攻撃可能なNTLMハッシュと同じ古い種類ではありません。