Gestionnaire de compte de sécurité - Security Account Manager
Le gestionnaire de compte de sécurité ( SAM ) est un fichier de base de données sous Windows XP, Windows Vista, Windows 7, 8.1 et 10 qui stocke les mots de passe des utilisateurs. Il peut être utilisé pour authentifier les utilisateurs locaux et distants. À partir de Windows 2000 SP4, Active Directory authentifie les utilisateurs distants. SAM utilise des mesures cryptographiques pour empêcher les utilisateurs non authentifiés d'accéder au système.
Les mots de passe des utilisateurs sont stockés dans un format haché dans une ruche de registre, soit en tant que hachage LM, soit en tant que hachage NTLM . Ce fichier se trouve dans %SystemRoot%/system32/config/SAMet est monté sur HKLM/SAMet des SYSTEMprivilèges sont requis pour le visualiser.
Pour tenter d'améliorer la sécurité de la base de données SAM contre le craquage logiciel hors ligne, Microsoft a introduit la fonction SYSKEY dans Windows NT 4.0. Lorsque SYSKEY est activé, la copie sur disque du fichier SAM est partiellement chiffrée, de sorte que les valeurs de hachage du mot de passe pour tous les comptes locaux stockés dans le SAM sont chiffrées avec une clé (généralement également appelée « SYSKEY »). Il peut être activé en exécutant le syskeyprogramme.
Cryptanalyse
En 2012, il a été démontré que chaque permutation de hachage de mot de passe NTLM à 8 caractères peut être craquée en moins de 6 heures. En 2019, ce temps a été réduit à environ 2,5 heures en utilisant du matériel plus moderne.
Dans le cas d'attaques en ligne, il n'est pas possible de simplement copier le fichier SAM vers un autre emplacement. Le fichier SAM ne peut pas être déplacé ou copié pendant l'exécution de Windows, car le noyau Windows obtient et conserve un verrou exclusif du système de fichiers sur le fichier SAM, et ne relâchera pas ce verrou tant que le système d'exploitation ne se sera pas arrêté ou qu'un " écran bleu de la mort " exception a été levée. Cependant, la copie en mémoire du contenu du SAM peut être vidé à l'aide de diverses techniques (y compris pwdump ), rendant les hachages de mot de passe disponibles pour une attaque par force brute hors ligne .
Supprimer le hachage LM
Le hachage LM est un protocole compromis et a été remplacé par le hachage NTLM. La plupart des versions de Windows peuvent être configurées pour désactiver la création et le stockage de hachages LM valides lorsque l'utilisateur modifie son mot de passe. Windows Vista et les versions ultérieures de Windows désactivent le hachage LM par défaut. Remarque : l'activation de ce paramètre n'efface pas immédiatement les valeurs de hachage LM du SAM, mais active plutôt une vérification supplémentaire lors des opérations de changement de mot de passe qui stockera à la place une valeur "factice" à l'emplacement de la base de données SAM où le hachage LM est stocké par ailleurs . (Cette valeur fictive n'a aucune relation avec le mot de passe de l'utilisateur - c'est la même valeur utilisée pour tous les comptes d'utilisateur.)
Attaques associées
Dans Windows NT 3.51, NT 4.0 et 2000, une attaque a été conçue pour contourner le système d'authentification local. Si le fichier SAM est supprimé du disque dur (par exemple en montant le volume du système d'exploitation Windows dans un autre système d'exploitation), l'attaquant pourrait se connecter avec n'importe quel compte sans mot de passe. Cette faille a été corrigée avec Windows XP, qui affiche un message d'erreur et arrête l'ordinateur. Cependant, il existe des utilitaires logiciels qui, par la méthodologie susmentionnée consistant à utiliser soit un lecteur virtuel émulé, soit un disque de démarrage (généralement Unix/Linux, ou une autre copie de Windows comme l' environnement de préinstallation Windows ) pour monter le lecteur local hébergeant l'environnement actif partition NTFS et en utilisant des routines logicielles programmées et des appels de fonction à partir des piles de mémoire affectées pour isoler le fichier SAM de la structure de répertoire d'installation du système Windows NT (par défaut : %SystemRoot%/system32/config/SAM) et, selon l'utilitaire logiciel particulier utilisé, supprime les hachages de mot de passe stockés pour comptes d'utilisateurs dans leur intégralité, ou dans certains cas, modifier les mots de passe des comptes d'utilisateurs directement à partir de cet environnement.
Ce logiciel a à la fois une utilisation très pragmatique et bénéfique en tant qu'utilitaire de suppression de mot de passe ou de récupération de compte pour les personnes qui ont perdu ou oublié les mots de passe de leur compte Windows, ainsi qu'une utilisation possible en tant qu'utilitaire de contournement de la sécurité des logiciels malveillants. Accorder essentiellement à un utilisateur ayant suffisamment de capacités, d'expérience et de familiarité à la fois avec le logiciel utilitaire de craquage et les routines de sécurité du noyau Windows NT (ainsi qu'un accès local hors ligne et immédiat à l'ordinateur cible) la capacité de contourner ou de supprimer entièrement Windows mots de passe de compte à partir d'un ordinateur cible potentiel. Ce n'est que récemment que Microsoft a publié un utilitaire appelé LockSmith, qui fait partie de MSDart. Cependant, MSDart n'est pas disponible gratuitement pour les utilisateurs finaux.
En juillet 2021, il a été révélé qu'il y avait une vulnérabilité dans Windows 10 et Windows 11 qui permettait aux utilisateurs peu privilégiés d'accéder aux fichiers sensibles de la base de données du Registre, y compris le fichier SAM.
Voir également
Les références
Cet article est basé sur du matériel extrait du Dictionnaire gratuit en ligne de l'informatique avant le 1er novembre 2008 et incorporé sous les termes de "relicensing" de la GFDL , version 1.3 ou ultérieure.