Windowsローカルマシン上のパスワードハッシュの場所
「ユーザーのパスワードハッシュがローカルのWindowsマシンに保存されているtwoの場所はどこですか?」
私の事業所からこの質問がありました。 SAMはパスワードハッシュを保存することを知っていますが、他の場所はどこですか?
C:\windows\system32\config\SAM(レジストリ:HKLM/SAM)- システムメモリ
SAMファイルは、レジストリにHKLM/SAMとしてマウントされます。 Windowsはこのファイルをロックし、シャットダウン(再起動、BSODなど)しない限りロックを解除しません。ただし、前述のレジストリセクションのSAMエントリを確認しても、ハッシュは見つかりません。
したがって、ハッシュまたはパスワードもメモリに格納される可能性が高いようです。実際、パスワードをメモリから直接取得するパスワードクラッカーはかなり多くあります。
MSCASH2ハッシュとしてキャッシュされたドメイン資格情報を格納する追加の場所があります。
HKEY_LOCAL_MACHINE\Security\Cache
したがって、ドメインに参加しているマシンについて話している場合、格納されている資格情報を見つけることができる場所が3つあります。
- SAMファイル(C:\ windows\system32\config\SAMとC:\ windows\system32\config\systemの両方が必要)
- レジストリ(ドメイン資格情報の場合はHKEY_LOCAL_MACHINE\Security\Cache、ローカル資格情報の場合はHKEY_LOCAL_MACHINE\SAM)
- インメモリ(mimikatzでダンプ)-ただし、最後の1つはディスクへの書き込みのように「保存」されません。