Správce bezpečnostních účtů

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 28. prosince 2015; kontroly vyžadují 2 úpravy .

SAM ( anglicky Security Account Manager ) Security Accounts Manager - Windows RPC server, který provozuje databázi účtů.

SAM provádí následující úkoly:

Identifikace subjektů (překlad jmen na identifikátory (SID) a naopak);
Ověření hesla, autorizace (účastní se procesu přihlášení uživatele do systému);
Ukládá statistiky (čas posledního přihlášení, počet přihlášení, počet nesprávných zadání hesla);
Ukládá a vynucuje nastavení zásad účtu (zásady hesla a zásady uzamčení účtu);
Ukládá logickou strukturu seskupování účtů (podle skupin, domén, aliasů);
Řídí přístup k databázi účtů;
Poskytuje programovací rozhraní pro správu databáze účtů.

Databáze SAM je uložena v registru (v klíči HKEY_LOCAL_MACHINE\SAM\SAM), do kterého je standardně zakázán přístup i administrátorům.

Server SAM je implementován jako knihovna DLL s názvem samsrv.dll načtená pomocí lsass.exe. Programovací rozhraní pro klientský přístup k serveru je implementováno jako funkce obsažené v samlib.dll DLL.

Historie

Windows NT 4 nepoužíval šifrování pro hash hesel NTLM uložený v SAM . Kvůli kompatibilitě s předchozími verzemi Windows byla také ponechána podpora protokolu LM . Šifrování tehdy používané v databázi SAM bylo tak slabé, že hesla byla ze systému extrahována pomocí nejjednodušších hackerských nástrojů.

Situace se zlepšila s vydáním aktualizace Service Pack 3 pro Windows NT 4 . Počínaje touto verzí se v databázi SAM začalo používat silné 128bitové šifrování Syskey pro ochranu hash hesel. Pokud v NT4 SP3 musel uživatel povolit Syskey sám (pomocí příkazu syskey v konzoli), pak již ve Windows 2000 / XP je toto šifrování standardně povoleno.

Mechanismus Syskey ztěžuje prolomení databáze SAM obsahující LM hashe a NTLM hashe uživatelských hesel, protože jsou nyní uložena v zašifrované podobě. A bez šifrovacího klíče bude hackování vyžadovat spoustu výpočetních zdrojů.

Bohužel ve výchozím nastavení je šifrovací klíč Syskey uložen ve větvi SYSTEM registru a je poskytován automaticky při spouštění. K prolomení hashů je tedy nutný nejen soubor SAM, ale také soubor SYSTEM, ve kterém je uložen šifrovací klíč.

Kromě toho jsou možné další režimy provozu mechanismu Syskey :

Režim 1. Klíč je uložen v registru a poskytnut automaticky při spouštění.

Režim 2. Klíč je uložen v registru, ale uzamčen heslem, které je nutné zadat při spouštění.

Režim 3. Klíč je uložen na vyměnitelném disku, který musí být poskytnut při spouštění.

Použití režimů 2 a 3 zvyšuje bezpečnost systému Windows. zabraňuje hackerům získat hodnoty hash hesel získáním fyzického přístupu k vypnutému počítači.

Viz také

pwdump

Literatura

Alex Atsctoy. Hackerův tutoriál: podrobný ilustrovaný průvodce. - M .: Nejlepší knihy, 2005. ISBN 5-93673-036-0