Emplacement des hachages de mot de passe sur une machine locale Windows?
"Où sont les deux emplacements où les hachages de mot de passe de l'utilisateur sont stockés sur une machine Windows locale?"
Mon entreprise m'a posé cette question. Je sais que le SAM stocke les hachages de mot de passe, où serait l'autre emplacement?
C:\windows\system32\config\SAM(Registre:HKLM/SAM)- Mémoire système
Le fichier SAM est monté dans le registre en tant que HKLM/SAM. Windows verrouille ce fichier et ne le libérera que s'il est arrêté (redémarrage, BSOD, etc.). Cependant, si vous regardez l'entrée SAM dans la section de registre susmentionnée, vous ne trouverez pas le hachage.
Par conséquent, il semble plus que probable que le hachage ou le mot de passe sera également stocké en mémoire. En fait, il existe de nombreux crackers de mot de passe qui prennent votre mot de passe directement de la mémoire.
Il existe un emplacement supplémentaire où ils stockent les informations d'identification de domaine mises en cache sous forme de hachages MSCASH2:
HKEY_LOCAL_MACHINE\Security\Cache
Donc, si vous parlez d'une machine jointe à un domaine, vous pouvez trouver trois informations d'identification stockées.
- Fichier SAM (nécessite à la fois C:\windows\system32\config\SAM et C:\windows\system32\config\system)
- Registre (HKEY_LOCAL_MACHINE\Security\Cache pour les informations d'identification de domaine, HKEY_LOCAL_MACHINE\SAM pour les informations d'identification locales)
- En mémoire (vidage avec mimikatz) - cependant, ce dernier n'est pas "stocké" comme sur un disque écrit.