「ユーザーのパスワードハッシュがローカルのWindowsマシンに保存されているtwoの場所はどこですか?」
私の事業所からこの質問がありました。 SAMはパスワードハッシュを保存することを知っていますが、他の場所はどこですか?
C:\windows\system32\config\SAM
(レジストリ:HKLM/SAM
)SAMファイルは、レジストリにHKLM/SAM
としてマウントされます。 Windowsはこのファイルをロックし、シャットダウン(再起動、BSODなど)しない限りロックを解除しません。ただし、前述のレジストリセクションのSAMエントリを確認しても、ハッシュは見つかりません。
したがって、ハッシュまたはパスワードもメモリに格納される可能性が高いようです。実際、パスワードをメモリから直接取得するパスワードクラッカーはかなり多くあります。
MSCASH2ハッシュとしてキャッシュされたドメイン資格情報を格納する追加の場所があります。
HKEY_LOCAL_MACHINE\Security\Cache
したがって、ドメインに参加しているマシンについて話している場合、格納されている資格情報を見つけることができる場所が3つあります。