보안 어카운트 매니저

Security Account Manager

보안 계정 관리자(SAM)는 Windows XP, Windows Vista, Windows 7, 8.1, 10 및 11의 데이터베이스[1] 파일로 사용자의 암호를 저장합니다.로컬 및 리모트 사용자 인증에 사용할 수 있습니다.Windows 2000 SP4 이후 Active Directory는 리모트 사용자를 인증합니다.SAM은 암호화 수단을 사용하여 인증되지 않은 사용자가 시스템에 액세스하는 것을 방지합니다.

사용자 비밀번호는 해시 형식으로 레지스트리 하이브에 LM 해시 또는 NTLM 해시 중 하나로 저장됩니다.이 파일은 다음에서 찾을 수 있습니다.%SystemRoot%/system32/config/SAM에 탑재되어 있습니다.HKLM/SAM그리고.SYSTEM이를 보려면 권한이 필요합니다.

오프라인 소프트웨어 크래킹에 대한 SAM 데이터베이스의 보안을 개선하기 위해 Microsoft는 Windows NT 4.0에서 SYSKEY 기능을 도입했습니다.SYSKEY가 네이블일 경우 SAM 파일의 온디스크 복사가 부분적으로 암호화되므로 SAM에 저장되어 있는 모든 로컬계정의 패스워드 해시값이 키(통상은 「SYSKEY」라고도 불립니다)로 암호화됩니다.프로그램을 [2]실행하여 활성화할 수 있습니다.

암호 분석

2012년에는 가능한 모든 8글자 NTLM 비밀번호 해시 순열이 6시간 이내에 [3]깨질 수 있다는 것이 입증되었습니다.2019년에는 좀 더 [4][5]현대적인 하드웨어를 사용하여 이 시간을 약 2.5시간으로 단축했습니다.

온라인 공격의 경우 단순히 SAM 파일을 다른 위치에 복사할 수 없습니다.Windows 커널은 SAM 파일의 배타적 파일 시스템 잠금을 취득하여 유지하므로 Windows 실행 중에는 SAM 파일을 이동하거나 복사할 수 없습니다.또, operating system이 셧다운 하거나 「Blue Screen of Death」예외가 발생할 때까지, 그 잠금은 해제되지 않습니다.단, SAM 콘텐츠의 메모리 내 복사는 다양한 기술(pwdump 포함)을 사용하여 덤프할 수 있으므로 패스워드 해시는 오프라인의 브루트포스 공격에 사용할 수 있습니다.

LM 해시를 제거하는 중

LM 해시는 손상된 프로토콜이며 NTLM 해시로 대체되었습니다.대부분의 Windows 버전은 사용자가 비밀번호를 변경할 때 유효한 LM 해시의 작성과 저장을 비활성화하도록 설정할 수 있습니다.Windows Vista 이후의 Windows 버전은 기본적으로 LM 해시를 비활성화합니다.주의: 이 설정을 유효하게 해도 SAM에서 LM 해시 값이 즉시 클리어 되는 것이 아니라 패스워드 변경 조작 중에 추가 체크를 유효하게 하고 대신 LM 해시가 저장되는 SAM 데이터베이스 내의 위치에 "dummy" 값을 저장합니다.(이 더미 값은 사용자의 비밀번호와는 관계가 없습니다.모든 사용자 계정에 사용되는 값과 동일합니다.)

관련 공격

Windows NT 3.51, NT 4.0 및 2000에서는 로컬 인증 시스템을 바이패스하는 공격이 고안되었습니다.SAM 파일이 하드 드라이브에서 삭제되면(예를 들어 Windows OS 볼륨을 대체 운영 체제에 마운트), 공격자는 암호 없이 임의의 계정으로 로그인할 수 있습니다.이 결함은 Windows XP에서 수정되었으며 이로 인해 오류 메시지가 표시되고 컴퓨터가 종료됩니다.하지만 소프트웨어 utilities,[6]존재하는 주가맹emulated 가상 드라이브 또는 부팅 디스크(보통 Unix/Linux, 또는 WindowsWindows사전 설치 환경처럼 다른 복사본)기반 환경 활성 NTFS파티션 로컬 드라이브 하우징에 탑재하고, 프로그래밍 소프트웨어 순서와 방법을 사용하여 앞에서 언급한 방법론에 의해.d는 할당된 메모리스택 내에서 호출하여 Windows NT 시스템설치 디렉토리 구조에서 SAM 파일을 분리합니다(기본값:%SystemRoot%/system32/config/SAM사용하는 특정 소프트웨어 유틸리티에 따라 사용자 계정에 저장된 비밀번호 해시를 모두 삭제하거나 경우에 따라 사용자 계정 비밀번호를 이 환경에서 직접 변경합니다.

이 소프트웨어는 Windows 계정의 패스워드를 분실 또는 잊어버린 사용자의 패스워드 클리어 또는 계정 회복 유틸리티로서 매우 실용적이고 유익한 용도일 뿐만 아니라 악의적인 소프트웨어 보안 바이패스 유틸리티로서도 사용할 수 있습니다.기본적으로 크래킹 유틸리티 소프트웨어와 Windows NT 커널의 보안 루틴(및 타깃 컴퓨터에 대한 오프라인 및 즉시 로컬 액세스)을 모두 충분히 이해하고 있는 사용자에게 잠재적인 타깃 컴퓨터에서 Windows 계정 비밀번호를 완전히 바이패스하거나 삭제할 수 있는 기능을 부여합니다.최근에야 마이크로소프트는 MSDart의 일부인 LockSmith라는 유틸리티를 출시했다.그러나 최종 사용자는 MSDart를 무료로 사용할 수 없습니다.

2021년 7월 Windows 10 및 Windows 11에는 취약성이 있으며 이를 통해 권한이 낮은 사용자가 SAM [7]파일을 포함한 중요한 레지스트리 데이터베이스 파일에 액세스할 수 있다는 것이 밝혀졌습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "Security Account Manager (SAM)". TechNet. Microsoft. Retrieved 11 April 2014.
  2. ^ "How to use the SysKey utility to secure the Windows Security Account Manager database". Support. Microsoft Corporation. Retrieved 12 April 2014.
  3. ^ Goodin, Dan (2012-12-10). "25-GPU cluster cracks every standard Windows password in <6 hours". Ars Technica. Retrieved 2020-11-23.
  4. ^ Claburn, Thomas (February 14, 2019). "Use an 8-char Windows NTLM password? Don't. Every single one can be cracked in under 2.5hrs". www.theregister.co.uk. Retrieved 2020-11-26.
  5. ^ hashcat (2019-02-13). "hand-tuned hashcat 6.0.0 beta and 2080Ti (stock clocks) breaks NTLM cracking speed mark of 100GH/s on a single compute device". @hashcat. Retrieved 2019-02-26.
  6. ^ 오프라인 NT 패스워드 공격 유틸리티의 예:http://cdslow.org.ru/en/ntpwedit/index.html
  7. ^ "New Windows 10 vulnerability allows anyone to get admin privileges". BleepingComputer. Retrieved 2021-07-20.