Windows安全帳戶管理器

 　　密碼是電腦安全的基本元素，但研究人員發現他們捲入了大量的安全性漏洞。然而，你值得瞭解Windows是如何通過安全帳戶管理器或SAM管理和執行密碼使用的。

　　Windows安全帳號管理器和密碼十分有益於任何管理企業案頭，這裡是你不知道的五件事：

　　1. 安全帳戶管理器多年來一直是微軟作業系統的核心部分，現在也是Windows 8.1的一部分。SAM的功能固定於lsass.exe中。lsass.exe是一個位於c:Windowssystem32的Windows服務。

　　Windows SAM管理本地Windows賬戶密碼並管理登入過程中的密碼驗證。

　　2. 本地安全帳戶管理器檔案(技術上來說是Windows註冊表的一部分)稱為SAM，位於c:windowssystem32config。在網域控制站上，SAM檔案相當於活動目錄資料庫檔案ntds.dit。

　　圖1

　　3. SAM檔案被鎖定，不能訪問載入的作業系統，如圖1所示。

　　然而，如果電腦是從一個動態復原磁碟如ophcrack中啟動的，該電腦是完全可訪問的。這是為什麼需要加密企業筆記本和台式機硬碟的主要原因之一。儘管如此，如果存在其他弱點，Windows密碼可能會暴露，所以你不能完全依賴於加密。

　　4. SAM的備份檔案位於c:windowssystem32repair。如果密碼被定期更改，到期密碼會包含在這個檔案中，但完全可訪問登入到電腦的任何人。只需要在機器上建立一個帳戶，為某人提供不良意圖的未授權(和不負責任的)訪問。

　　圖2

　　5. 使用新老LAN Manager(LM)散列或更安全的NTLM散列將密碼儲存在SAM檔案中。Windows 7及以後版本預設為NTLM散列。這兩種類型的散列可以使用被彩虹表(Rainbow Table)破解。彩虹表是一種破解雜湊演算法的技術，在10年前由瑞士聯邦理工學院的Philippe Oechslin發現。Oechslin的ophcrack工具和Elcomsoft System Recovery是兩款著名的使用預先計算的密碼散列來破解Windows密碼的工具。圖2中顯示了Elcomsoft System Recovery中的可用選項。

　　從SAM檔案中提取Windows密碼散列的另一個很好的工具是pwdump。注意，儘管Windows syskey程式可以用來在SAM檔案中建立更多的安全，一些工具如Elcomsoft的Proactive System Password Recovery可以破壞這些控制項。

　　Windows安全帳戶管理器很少出現問題。本地賬戶可能是也可能不是你的管理範疇。然而，瞭解何時、何地和如何工作的相關細節是值得的。

　　鑒於所有這一切，我可以肯定的說，只要跟Windows密碼相關的，都不是真正安全的。沒有什麼像寶貴的資產——使用者密碼——如此脆弱的。盡你所能，確保風險最小化。