Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Namiesto toho systém Windows používa zabezpečený mechanizmus na ukladanie a správu informácií o používateľskom účte a ich súvisiacich povereniach. Tu je zrútenie toho, ako to funguje:
* Sam (Správca účtov zabezpečenia) Databáza: Databáza SAM je primárne miesto, kde sa ukladajú informácie o používateľskom účte vrátane hesla Hashes. Táto databáza je súbor, nie kľúč registra. Nachádza sa na:
`` `
%SystemRoot%\ System32 \ config \ Sam
`` `
Súbor SAM je pre väčšinu používateľov a procesov silne chránený a neprístupný. Je zodpovednosťou operačného systému za riadenie prístupu k nemu.
* Hashing hesla: Windows neukladá heslá v obyčajnom texte. Namiesto toho používa komplexné hashovacie algoritmy (napr. NTLM, Kerberos) na transformáciu hesiel na nezvratné hodnoty hash. Tieto hodnoty hash sú to, čo sa ukladá v databáze SAM, spolu s ďalšími údajmi súvisiacimi s účtom.
* LSA Secrets: miestny bezpečnostný úrad (LSA) Spravuje miestnu bezpečnostnú politiku a ukladá citlivé informácie s názvom LSA Secrets . Tieto tajomstvá môžu obsahovať heslá účtu servisu, pripojenie k doméne a ďalšie kritické údaje súvisiace s bezpečnosťou. Tajomstvá LSA sa ukladajú (šifrované) v registri, konkrétne pod:
`` `
HKEY_LOCAL_MACHINE \ Security \ Policy \ Secrets
`` `
Prístup a dešifrovanie tajomstiev LSA si však vyžaduje veľmi vysoké privilégiá a vo všeobecnosti ich vykonáva iba samotný operačný systém. Aj keď môžu obsahovať poverenia, nie sú hlavným obchodom s heslom.
* preferencie politiky skupiny (GPP): Predvoľby skupinovej politiky, ak sú nesprávne nakonfigurované, * môže * niekedy ukladať heslá v šifrovanom (ale často ľahko dešifrovateľnom) formulári v registri. Toto sa považuje za významnú zraniteľnosť bezpečnosti a malo by sa mu vyhnúť. Poloha sa líši v závislosti od použitia GPP.
Dôležité bezpečnostné úvahy:
* Priamy prístup je obmedzený: Databáza SAM a tajomstvá LSA sú chránené silnými ovládacími prvkami prístupu. Priamy prístup k ich prístupu alebo úpravy môže viesť k nestabilite systému alebo porušeniam bezpečnosti.
* hashing je rozhodujúci: Použitie algoritmov hashovania je základom zabezpečenia hesiel. Aj keby niekto získal prístup k databáze SAM, museli by prelomiť hash hesla, čo je výpočtovo intenzívna úloha.
* Správa hesiel je kritické: Správne zásady hesla (zložitosť, dĺžka, rotácia) sú nevyhnutné na minimalizáciu rizika praskania hesla.
* Vyhýbajte sa ukladaniu hesiel v obyčajnom texte: Nikdy neukladajte heslá do obyčajného textu v žiadnom nastavení súboru alebo registra. Vždy používajte metódy bezpečného hashovania alebo šifrovania.
* Buďte si vedomí zraniteľností GPP: Ak používate preferencie skupinovej politiky, uistite sa, že neúmyselne ukladáte heslá spôsobom, ktorý ich umožňuje ľahko dostupným.
Stručne povedané, zatiaľ čo register (najmä `Security` Hive) obsahuje * niektoré * citlivé informácie týkajúce sa zabezpečenia, základná databáza hesiel (SAM) je samostatný súbor a samotné heslá sa ukladajú ako nezvratné hashy, nie ako pôvodné heslá v obyčajnom texte.