none
Windows用户登录密码SAM的加密方式! RRS feed

  • 问题

  • 尊敬的微软工程师,

    我想知道Windows用户登录密码加密保存到C:\Windows\System32\config\SAM文件中加密过程和加密技术,能否告知,特此请教,谢谢!


    谷青松

    2021年4月12日 2:11

答案

  • 你好!

    微软目前 没有任何公开的文档和专栏文章介绍专门Security Account Manager,包括其工作原理和加密方式。

    SAMWindows XPWindows VistaWindows 78.110中的一个数据库文件,用于存储用户的密码。它可以用来验证本地和远程用户。从Windows 2000 SP4开始,Active Directory对远程用户进行身份验证。 SAM使用加密措施来防止未经身份验证的用户访问系统。

    用户密码以哈希格式存储在注册表配置单元中,作为LM哈希或NTLM哈希存储。Windows SAM数据库文件位于C\ Windows \ System32 \ config。所有密码的哈希值在注册表的HKEY_LOCAL_MACHINE \ SAM中。但是,有专门的规则可以控制“何时”和“谁”可以访问此文件,这个 规则目前没有公开。

    Audit SAM这篇文档介绍了一个审计策略,介绍如何配置策略使得在访问 SAM 对象时将生成审核事件

    https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/audit-sam

    关于SAM,如你所言,确实存在加密手段,以前使用的是SysKey

    Microsoft introduced the SYSKEY function in Windows NT 4.0. When SYSKEY is enabled, the on-disk copy of the SAM file is partially encrypted, so that the password hash values for all local accounts stored in the SAM are encrypted with a key (usually also referred to as the "SYSKEY"). It can be enabled by running the syskey program

    https://support.microsoft.com/zh-cn/topic/%E5%A6%82%E4%BD%95%E4%BD%BF%E7%94%A8-syskey-%E5%AE%9E%E7%94%A8%E5%B7%A5%E5%85%B7%E4%BF%9D%E6%8A%A4-windows-%E5%AE%89%E5%85%A8%E5%B8%90%E6%88%B7%E7%AE%A1%E7%90%86%E5%99%A8%E6%95%B0%E6%8D%AE%E5%BA%93-12c71056-b050-0838-12f9-95ac607c8288

    不过Syskey.exe Windows 10Windows Server 2016 和更高版本中不再支持

    https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/syskey-exe-utility-is-no-longer-supported


    如果认为回帖者的回答有所帮助,请将之标记为答复,这样可以帮助更多的用户获取有效信息。 
    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2021年4月12日 6:31
  • 微软建议使用BitLocker作为workaround

    In mid-2017, Microsoft removed syskey.exe from future versions of Windows.[6] Microsoft recommends the use of "Bitlocker or similar technologies instead of the syskey.exe utility."

    If you want to use boot-time OS security, we recommend that you use BitLocker or similar technologies instead of the syskey.exe utility.

    If you use Active Directory IFM media to install replica Active Directory domain controllers, we recommend that you use BitLocker or other file encryption utilities to protect all IFM media.

    To upgrade an OS that's externally encrypted by the syskey.exe utility to Windows 10 RS3 or Windows Server 2016 RS3, the OS should be configured not to use an external syskey password. For more information, see step 5 in How to use the SysKey utility to secure the Windows Security Accounts Manager database.

    来源:

    https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/syskey-exe-utility-is-no-longer-supported#workaround


    Please mark the reply as an answer if you find it is helpful.

    • 已标记为答案 谷青松 2021年4月12日 8:24
    2021年4月12日 7:48

全部回复