Page 1

Security Accounts Manager (SAM) Este artículo se basa principalmente en la configuración por defecto local de NT5.0 Professional o 2K (Windows 2000), sin embargo hay otras referencias tal vez verificados a XP Professional y Server. Mucho se aplicarán en toda la gama NT, pero no todo ha sido verificado. Tenga en cuenta que se trata de una actualización parcial de la versión original .Algunas cosas es avanzada, utilice una máquina de pruebas cuando sea posible.

OO 1

Debido a la longitud y mi decisión de no dividir este artículo en páginas separadas He dividido el artículo en cuatro capítulos principales. 01. Usuarios y grupos 02. (Algunas) Configuración de seguridad 03. Estructura del Registro 04. Las contraseñas Dentro de estos capítulos son secciones divididas por una línea de puntos horizontal. A la izquierda de esta línea es una imagen de este modo.

USUARIOS Y GRUPOS

R0 C

Los usuarios pueden agregar a través de una MMC con los "Usuarios y grupos locales" Snap-in está presente (Windows incluye dos MMCs mismas; compmgmt.msc y lusrmgr.msc) oa través de la ventana [Agregar ...] en "Usuarios y contraseñas "- se encuentra en el Panel de Control. (Active Directory se configura mediante el complemento Usuarios y equipos de Active complemento o en dsa.msc) También a través de CMD: C: \> net user% username% / add

Z3

Otra forma en que se suele olvidar es el Asistente para identificación de red que aparece una vez al instalar el sistema operativo 2K. El funcionamiento se comprueba que los usuarios actuales, normalmente sólo Invitado y Administrador y también comprueba el valor RegisteredOwner encuentra aquí: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ que se acaba de introducir previamente en la configuración. Si una cuenta no ha sido creado por el usuario en la lista, una un nivel administrativo puede ser creado aquí. Tenga en cuenta que no podrás sobreescribir las contraseñas de las cuentas existentes. Para volver a activar este cuadro de diálogo de inicio de Petter Nordahl-Hagen's disco de arranque: Cargar el subárbol SOFTWARE Cd \ Microsoft \ Windows NT \ CurrentVersion \ Ed valor RegisteredOwner, si una cuenta ya está creada con ese nombre o si un ser diferente es necesario. Cd \ \ Winlogon Nv 4 RunNetAccessWizard Ed RunNetAccessWizard = 0x1 Durante el reinicio mantener la selección en Windows siempre asume el siguiente usuario ha iniciado sesión en este equipo: nombre de usuario de la lista desplegable debe ser el RegisteredOwner, introduzca una contraseña, Siguiente, Finalizar. El usuario se conectará automáticamente. Recuerde que desmarcar: Los usuarios deben introducir un nombre de usuario y contraseña para usar el equipo. En el complemento Usuarios y contraseñas en Panel de control. Asimismo, recuerda que, dado que este método utiliza la función de inicio automático de sesión seguro las credenciales de sesión automático existente se sobrescribirán, esto probablemente no será un problema sin embargo. Este método también funciona en XP, sin embargo el proceso es alittle más complejo. Si hay tres o más Administrador / (potencia) los usuarios de las cuentas collectivily la actualidad, los usuarios no pueden añadir a


R0 C

OO 1

través del diálogo re-activada, esto es probable que sea el caso, por lo tanto, usted tiene que hacer creer lo contrario. Si hay dos o menos, omitir las secciones SAM edición. Arrancar desde Petter Nordahl-Hagen disco de arranque: Cargue las colmenas SAM y SYSTEM Cd \ SYSTEM \ Setup \ Ed SetupType = 0x2 Ed CmdLine = c: \ windows \ system32 \ oobe \ msoobe.exe / f / al por menor (FYI: Just / f = completo de instalación, licencia, clave de activación y usuarios) Nv 4 OobeInProgress Ed OobeInProgress = 0x1 Cambie a la colmena SAM. Cd \ SAM \ SAM \ Domains \ Builtin \ Alias \ 00000220 \ C (administradores) Cd \ SAM \ SAM \ Domains \ Builtin \ Alias \ 00000221 \ C (Usuarios) Cd para \ SAM \ SAM \ domains \ Builtin \ Alias \ 00000223 \ C (usuarios avanzados) Tome nota de los 4 bytes en el desplazamiento 2C y 30, compruebe el número de usuario por primera vez en 00.000.220 después de la descripción es F4, 01,00,00 (lo más probable) Edite los valores de C en los dos desplazamientos para 00000220 y 00000221 con 00,00,00,00 - para 00000223 :: 2c 18 00 00 00 +: 30 02 00 00 00 Guardar y reiniciar. Agregar un usuario (hasta cinco años puede ser añadido aquí, todo ello a nivel administratove) y de inicio de sesión con ese nombre de usuario con una contraseña en blanco. Ejecute regedit.exe y escribir de nuevo los valores de 00000221 y 00000223 C. Modificar la clave 00000220 C, anote el número de usuario nuevo que ha sobrescrito la original (F4, 01,00,00) uno, restaurar a original y añadir una entrada similar 28 byte al final en los nulos se suministran con el actual número de usuario después de la máquina SID. Reinicie para completar.

Z3

Otro método poco ortodoxo es ejecutar el comando net como un servicio. Arrancar desde Petter NordahlHagen disco de arranque y carga el subárbol del sistema. cd a \ CurrentControlSet001 \ Services \ crear un dos claves para los dos comandos. El editor parece tener un error leve que las claves no se puede crear que tienen el prefijo un nombre de servicio existente, por ejemplo: error en la creación de una clave llamada foobar si una clave denominada foo existe. Recuerde que los servicios se procesan en orden alfabético. Cd en la primera alfa de nueva creación de claves. Nv 4 ErrorControl Ed ErrorControl = 0x1 Nv 2 ImagePath Ed ImagePath =% systemroot% \ system32 \ user net.exe foo / añadir Nv 1 ObjectName Ed ObjectName = LocalSystem Nv 4 Inicio Ed Start = 0x2 Nv 4 Tipo Ed Tipo = 0x20 Cd en la segunda alfa de nueva creación de claves. Repita los pasos anteriores, pero con: Ed ImagePath =% systemroot% \ system32 \ net.exe localgroup administradores foo / añadir


Reinicia y entra, retire las llaves. 2K crea un par de registro de eventos del sistema por lo que este error puede ser necesario eliminar.

OO 1

Un método que se menciona a menudo, eso no parece funcionar (¿ya ()) es cambiar el protector de pantalla por defecto para un programa que permite UserManagemeNT como cmd.exe o mmc.exe Los ajustes se encuentran aquí: regedit.exe -.> \ HKEY_USERS \ DEFAULT \ Control Panel \ Desktop \ explorer.exe -> \% windir% \ system32 \ config \ DEFAULT SCRNSAVE.EXE = logon.scr - Este es el screensave que se utilizará si nadie inicia sesión localmente por un tiempo. ScreenSaveActive = 1 - 1 = Activa Inactiva = 0 ScreenSaveTimeOut = 600 - Número de segundos de inactividad antes de la activación de pantalla (5 minutos) ScreenSaverIsSecure = 0 - Esta es la "contraseña al reanudar proteger" opción. Curioso esta opción, sin embargo, algún tipo de límite de memoria si se establece en 0. Importante tener en cuenta si se usa más memoria. Sin embargo, incluso si se actualiza logon.scr el usuario del sistema, que es el que va a ser mientras que el "diálogo Winlogon control genérico" se esconde en el fondo, no tiene permiso para agregar o modificar cualquier usuario - Error de sistema 5 se ha producido MedlinePlus Acceso denegado. Si un usuario inicia sesión, SYSTEM tiene acceso, por lo que algún tipo de seguridad asumido antes de inicio de sesión. Es tal vez posible mediante un programa personalizado, desde luego, con acceso a regedit.exe un usuario podría añadirse manualmente.

Z3

R0 C

El número SID se utiliza en los permisos del archivo, registro, servicios y usuarios. El SID de la máquina se determina en forma hexadecimal desde aquí: regedit.exe -> \ HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ V (últimos 12 bytes) explorer.exe -> \% windir% \ system32 \ config \ SAM Si el archivo SAM no se encuentra al iniciar, una copia de seguridad se recupera en forma hexadecimal aquí: regedit.exe -> \ HKEY_LOCAL_MACHINE \ SECURITY \ Policy \ \ @ PolAcDmS (últimos 12 bytes) explorer.exe -> \% windir% \ system32 \ config \ SECURITY Algunas veces el número SID se hace referencia en forma decimal:

NT almacena formato vez que se hace referencia en las claves de los usuarios, las secciones del Registro, etc La precisión es una fracción muy pequeña de un segundo desde 1601. 100,000 = una milésima de segundo 10,000.000 = un segundo 600, 000,000 = un minuto 36, 000, 000,000 = una hora 864, 000, 000,000 = un día


OO 1

Para ahorrar tiempo en el cálculo de este valor de uso ntdate.exe

Los códigos en la tabla de la izquierda se utilizan en la siguiente tabla en la columna de la derecha. Tratar la columna OS como una guía aproximada, ya que depende de la configuración del sistema operativo.

Z3

R0 C

El ejemplo de código de caracteres 2, WD se utiliza en el INFS política o plantillas de seguridad. Dónde -> se utiliza, no hay código de caracteres 2, el SID se utiliza en su lugar. Los usuarios del RID puede ser de 1000 o 1100 dependiendo de qué sistema operativo está instalado / actualizado. El código hexadecimal se utiliza en el registro, NTFS y permisos de servicios más grupos de usuarios.


OO 1

R0 C

Z3


R0 C

OO 1

Cuando se agrega un usuario, las teclas se añaden los siguientes: \ HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users \ Names \% username% \ @ Esta clave determina el nombre de inicio de sesión. Ubicación del archivo: C: \ WINNT \ system32 \ config \ SAM @ El valor mantiene un número que coincide con un número de 8 dígitos (ceros tienen el prefijo si es inferior a 8) se encuentra aquí: HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users \%% 00000xxx \ Dentro de dos valores REG_BINARY, F y V. Como se mencionó anteriormente el número de usuarios parte de 1000. Hay un par de cuentas de orden interna que se inician a partir de 500. Puesto que los permisos de seguridad están determinadas por el número de usuario, no hay dos usuarios deben tener el mismo número. Incremento usuario número y no se vuelven a utilizar cuando un usuario se borra. Un registro de este se mantiene aquí: \ HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ F Offset: 48 - longitud: 4 - Almacenado en hexagonal inversa. Este es el número siguiente usuario que se utilizará. Cuando se alcanza el valor FF, FF, FF, FF lo hará rollback y comenzar incremento de 00,00,00,00. 4294967296 cuentas máximas. Tenga en cuenta que si un gran número de cuentas se utilizan, una máquina bastante alta especificación deberá hacerlo viable. Todos los números de usuario también se enumeran a continuación: HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Groups \ 00000201 \ C Después: - Listas de usuarios NoneOrdinary del usuario números al final, como un valor de grupo C. Offset: 3C - longitud: 4bytes = longitud de la lista de usuarios (hex atrás) Desplazamiento: 40 - longitud: 4bytes = número de usuarios (hexagonal inversa) El sistema asigna bloques de 100 bytes que tienen 25 cuentas de usuario userNumber 4 bytes, rellenada con ceros si no se utilizan todos. 00,00,00,00 usuario no puede iniciar sesión: mensaje de inicio de sesión El sistema no puede iniciar su sesión debido al siguiente error: El sistema no puede encontrar el texto del mensaje para el mensaje número 0x% 1 en el archivo de mensajes para% 2. Por favor, inténtelo de nuevo o consulte a su administrador del sistema. Debido a la forma en que el registro se maneja a nivel hexagonal, cuentas de usuario a la 00,00,00,00 00,00,00,0 B no muestran su \ HKEY_LOCAL_MACHINE \ SAM \ SAM \ Domains \ Account \ Users \ Names \ username% % \ @ tipo de valor correctamente:

Z3

00/00 - REG_NONE 01/01 - REG_SZ* 02/02 - REG_EXPAND_SZ 03/03 - REG_BINARY* 04/04 - REG_DWORD 05/05 - REG_DWORD_LITTLE_ENDIAN 06/06 - REG_LINK 07/07 - REG_MULTI_SZ 08/08 - REG_RESOURCE_LIST 09/09 - REG_FULL_RESOURCE_DESCRIPTOR 10/0A - REG_RESOURCE_REQUIREMENTS_LIST 11/0B - REG_QWORD

Al intentar eliminar cuentas 0-999: Usuarios y grupos locales producido el siguiente error al intentar eliminar el nombre de usuario% user: No se puede realizar esta operación en orden interna-en las cuentas. Si el contador de usuario tiene el mismo número que un usuario existente (esto no debería ocurrir normalmente * *) el mensaje de error siguiente aparece: Usuarios y grupos locales ocurrido el siguiente error


al intentar crear el usuario%% username% en ordenador computername% El usuario ya pertenece a este grupo. (Obtener más ayuda está disponible escribiendo NET HELPMSG 2236) Usuario 00,00,01, F6 (502) no puede iniciar sesión: mensaje de inicio de sesión Su cuenta ha sido desactivada. Por favor, consulte con el administrador del sistema. Esto es porque este userNumber ya es utilizado por el sistema, krbtgt = Centro de distribución de claves de cuenta de servicio - aunque yo pensaba que esto era sólo para la edición de servidor. La cuenta está deshabilitada / inactivo y no se puede habilitar.

R0 C

OO 1

Windows XP por defecto usa una pantalla de bienvenida mullido para los usuarios de inicio de sesión. Esto puede ser evitado a la normal, mantenga pulsada la tecla Ctrl y Alt / Alt Gr y presione las teclas de Del / Borrar dos veces la tecla. Para desactivar el largo plazo ver cuentas de usuarios en el Panel de Control: Cambia el estilo de los usuarios inician y cierran sesión. La lista de usuarios que se muestran en la pantalla de bienvenida es de nota: # Discapacitados / cuentas inactivas no se muestran # Si no hay otros administradores la incorporada en la lista, de lo contrario no está en la lista Administradores #, Visitantes, Usuarios avanzados y Usuarios se enumeran Operadores de copia de seguridad, # helpservicesgroup, Operadores de configuración de red, usuarios de escritorio remoto y Replicator no figuran # El usuario de ninguno de los grupos y los usuarios sólo miembros de grupos personalizados no se muestran # En el modo seguro sólo <= 2 se enumeran los administradores, los dos primeros por orden alfabético de \ SAM \ SAM \ Domains \ Account \ Users \ Names \ \ Configuración de seguridad \ Directivas locales \ Asignación de derechos de usuario \ Denegar inicio de sesión localmente no aparece user = user not listed # Hasta que 100 usuarios se pueden mostrar, en primer lugar por orden alfabético, como antes, aunque las cosas se ponen lento alittle: # \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ LogonType = X fluffy=1 mullido clásico = 0 # Los usuarios específicos o usuarios preffixed con algo puede ser regulada de manera que no se enumeran, el registro está aquí: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\%username%:REG_DWORD 0x0 = exact match or 0x10000 = prefixed match

Z3

Si el nombre de usuario en \%% RID \ V no pelea con el nombre de clave en Nombres \ \% username% La ventana de diálogo "Usuarios y contraseñas" en Panel de control no muestra el nombre de usuario. Al intentar obtener las propiedades de los usuarios en lusrmgr.msc será error de: Usuarios y grupos locales producido el siguiente error al intentar leer las propiedades para el usuario% username%: El nombre de usuario no se pudo encontrar. Si cambia el nombre de la cuenta de nuevo a la original una, una nueva clave se crea en \ \ - Nombres como resultado de tener dos claves de nombre con el número de usuario mismo, ambos se pueden utilizar para iniciar la sesión con. lusrmgr.msc no enumera todos los usuarios en este punto, mientras que CMD siempre se enumeran los usuarios. 2K tiene un interesante problema menor con los usuarios y de diálogo Contraseña del Panel de control crear una cuenta con el nombre de la máquina local para un nombre de usuario. Al hacer clic en el acabado, será con error: "El usuario% username% no pudo ser (nombre de usuario concedió%% _or_ acceso agregar al grupo nombre_grupo%%) debido a% username% no existe" Sin embargo, el usuario se crea de ningún grupo. 2K3 XP y no permitirá que un nombre de máquina se configure como Administrador o Invitado a la instalación.


OO 1

Es posible crear un usuario que no aparece en absoluto en la gestión de usuarios y aún así ser capaz de iniciar la sesión. En esta prueba de concepto que he utilizado de directiva de grupo de usuario de inicio de sesión / desactivar los scripts y permisos inseguros del registro, lo ideal sería implementado a través de un pequeño programa funciona a nivel de sistema. Crea un usuario y exportar y combinar estas dos teclas en un archivo de registro y colocar en la carpeta de scripts de cierre de sesión: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\%usernumber% HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\%username% Copia el "Command-line manipulación registro utilidad" reg.exe en el directorio system32. Crear una secuencia de comandos de inicio de sesión: reg delete HKLM\SAM\SAM\Domains\Account\Users\Names\%username% /force reg delete HKLM\SAM\SAM\Domains\Account\Users\%usernumber% /force Crear un script de cierre de sesión: regedit / s user.reg Añada los guiones a través de gpedit.msc \Local Computer Policy\User Configuration\Windows Settings\Scripts(Logon/Logoff) Cuando un usuario inicia una sesión en las claves de usuario se eliminan, por lo que el usuario no se ve. Al cerrar la sesión se vuelve a añadir. Dado que el proceso de autenticación se produce antes de que las teclas se eliminen y se retiene en la memoria el usuario puede autenticarse correctamente.

Los nombres de usuario:

R0 C

C: \> net user% username% / add (puede cambiar el nombre a través de GUI no a través de CMD) Tienen que ser> = 1 y <= 20. No se puede dublicated de los posibles usuarios o grupos de todos modos, puede contener letras, números, caracteres especiales, extendida y control. Si el nombre de usuario o la contraseña no es correcta al iniciar la sesión el mensaje de error siguiente aparecerá: Mensaje de inicio de sesión El sistema no puede iniciar su sesión. Asegúrese de que su nombre de usuario y dominio sean correctos, luego repita su contraseña. Letras de la contraseña, debe escribirse utilizando los caracteres correctos. Asegúrese de que Bloq Mayús no esté accidentalmente encendido.

Contraseña:

Nombres completos:

Z3

C:\>net user %username% %password%- tiene que ser> = 0 y <256 = C:\>net user %username% * (para la entrada de contraseñas privadas, se requiere confirmación para configurar - 3 falla: Una contraseña válida no se ha introducido)

C:\>net user %username% /fullname:%fullname% nombre completo - tiene que ser> = 0 y <= 48CMD/256GUI

Descripción / Observaciones: C: \> net user% username% / comentario:%% Descripción - tiene que ser> = 0 y <= 48CMD/256GUI


Usuario comentario: C: \> net user% username% / usercomment:%% usercomment - tiene que ser> = 0 y <= 48CMD/NOGUI

Código del país: C: \> net user% username% / país: XXX C: \> net user% username% / countrycode: XXX

047 (Noruega) 049 (Alemania) 061 (Australia) 081 (Japón) 082 (Corea del Sur) 086 (China (PRC)) 088 (Taiwán) 099 (Asia) 351 (Portugal) 358 (Finlandia) 785 (árabe) 972 (hebreo)

R0 C

000 (predeterminada del sistema) 001 (Estados Unidos) 002 (Canada (Francés)) 003 (América Latina) 031 (Países Bajos) 032 (Bélgica) 033 (Francia) 034 (España) 039 (Italia) 041 (Suiza) 044 (Reino Unido) 045 (Dinamarca) 046 (Suecia)

OO 1

Donde XXX puede ser:

No estoy seguro que esto afecta, no se muestra el tiempo o el teclado, aunque

Cuenta activa / cuenta está activada o desactivada:

Cuenta expira:

Z3

C:\>net user %username% /active:yes/y/no/n mensaje de inicio de sesión Su cuenta ha sido desactivada. Por favor, consulte con el administrador del sistema.

C:\>net user %username% /expires:never C:\>net user %username% /expires:31/12/2004 (prefixed time of 12:00 AM) Logon Message <br> Your account has expired. Please see your system administrator.

Contraseña último set:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EF\F:18-length:8bytes Stored NT time format


Contraseña expira: Se obtiene a partir de: \Security Settings\Account Policies\Password Policy\Maximum password

Contraseña necesaria: \Security Settings\Account Policies\Password Policy\Minimum password age = X days (0 = immediate)

El usuario puede cambiar la contraseña: C:\>net user %username% /passwordreq:yes/y/no/n

Las estaciones de trabajo permiten:

OO 1

Esto se puede negar a un inicio de sesión si la contraseña ha caducado, error: Cambiar Contraseña Usted no tiene permiso para cambiar su contraseña.

C:\>net user foo /workstations:%computername% C:\>net user foo /workstations:%computername1%;%computername2%,%computername3% C:\>net user foo /workstations: (all)

Archivo de comandos:

R0 C

Máximo de 8 puestos de trabajo permitidas de> = 1 y <= 15 caracteres de longitud mensaje de inicio de sesión Su cuenta está configurada para evitar que utilice este equipo. Por favor, intente otra computadora.

tiene que ser> = 0 y <= 259 C:\>net user %username% /scriptpath:%folder\script.bat/cmd% Caminos de secuencias de comandos se hacen en relación a esta carpeta: C:\WINNT\System32\repl\import\scripts\

Perfil de usuario:

Z3

Tiene que ser> = 0 y <= 259CMD/260GUI C:\>net user %username% /profilepath:%C:\folder or \\machine\folder% Esta opción es para perfiles móviles sólo! No comprueba si la longitud del nombre de equipo <= 15

Por perfiles de usuario por defecto determina aquí: \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\ REG_SZ:AllUsersProfile = El nombre de la carpeta para la materia perfil compartido (todos los usuarios) REG_SZ:DefaultUserProfile =El nombre de la carpeta del perfil de "plantilla" que se utiliza para los nuevos usuarios conectados (usuario predeterminado) REG_EXPAND_SZ:ProfilesDirectory =Donde los perfiles y las carpetas anteriores se almacenan (%SystemDrive%\Documents and Settings)


Cada usuario que tenga un perfil almacenado tendrá una subclave dentro de esta clave en el formulario \% SID-RID% \ REG_EXPAND_SZ: ProfileImagePath = Ubicación del perfil de los usuarios. - Esto no establecido por el comando net! Esto puede ser editado para apuntar a diferentes perfiles. Perfiles puede ser Local o Roaming. Local se almacenan en una ubicación fija y son utilizados normalmente por máquinas autónomas con un par de usuarios. Roaming copia un perfil desde una ubicación diferente a la ProfilesDirectory local. Al cerrar la sesión esta se copia de nuevo. Los perfiles móviles se utilizan normalmente en los dominios mediante el cual un usuario puede iniciar sesión en diferentes máquinas y mantener el mismo perfil.

R0 C

OO 1

Los perfiles de usuario se almacenan en una carpeta llamada X, donde X sigue este orden si las carpetas existentes ya existe: % Username% % Username%.%% Machinename ..% Username%%% machinename XXX - XXX, donde es> = 000 y <= 999. El sistema escanea hasta decimalmente para el primer número disponible. Si todo esto se toman este error aparece al iniciar la sesión: El usuario medio ambiente MedlinePlus Windows no puede encontrar el perfil local y está iniciando la sesión con un perfil temporal. Los cambios realizados en este perfil se perderán al cerrar la sesión. Carpetas temporales siguen este orden, si las carpetas existentes que ya existen: TEMP TEMP. Machinename%% ..% TEMP% machinename XXX - XXX, donde es> = 000 y <= 999, el sistema escanea hasta decimalmente para el primer número disponible Si todo esto es tomar este error aparece al iniciar la sesión: El usuario medio ambiente Windows no puede crear un directorio de perfil temporal. Póngase en contacto con su Administrador de red. DETALLE - El sistema no puede hallar el archivo especificado. Diálogo siguiente es muy similar: Windows no puede iniciar sesión porque el perfil no se puede cargar. Póngase en contacto con su administrador de red. El usuario es devuelto a la pantalla de inicio de sesión. Si una cuenta de nivel Adminstrative, se ha iniciado la sesión en el perfil predeterminado para el sistema. Esta situación no es probable que se produzca sin embargo.

Z3

Inicio directorio:

C:\>net user %username% /homedir:c:\foo2 Tienen que ser> = 0 y <= 259CMD/247GUI

Último inicio de sesión:

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\%userno%\F:offset8/length8 formato almacenado momento NT.


Hora de inicio de sesión permitidos: C:\>net user %username% /times:all

OO 1

Sunday = su, sunday Monday = m, monday Tuesday = t, tuesday Wednesday = w, wednesday Thursday = th, thursday Friday = f, friday Saturday = s, sa, saturday /times:%day%,%time%-%time%;%day%,%time%-%time% - eg: s,9am-5pm;su,9am-12pm or m-f,9am-1pm;mf,2pm-5p /times:%day%-%day%,%time%-%time% - eg: m-f,9am-5pm Si el inicio de sesión se intenta fuera de las horas de inicio de sesión permitidos: <br> de inicio de sesión de mensajes Su cuenta tiene restricciones horarias que le impiden conectarse en este momento. Por favor, inténtelo de nuevo más tarde. 3 bytes se asignan para cada día de la semana:

Add for combinations:

00,10,00 = 12pm-01pm (noon) 00,20,00 = 01pm-02pm 00,40,00 = 02pm-03pm 00,80,00 = 03pm-04pm 00,00,01 = 04pm-05pm 00,00,02 = 05pm-06pm (evening) 00,00,04 = 06pm-07pm 00,00,08 = 07pm-08pm 00,00,10 = 08pm-09pm 00,00,20 = 09pm-10pm 00,00,40 = 10pm-11pm 00,00,80 = 11pm-12am (midnight) 00,00,00 = Not this day

Z3

FF,FF,FF = All times 01,00,00 = 12am-01am (midnight) 02,00,00 = 01am-02am 04,00,00 = 02am-03am 08,00,00 = 03am-04am 10,00,00 = 04am-05am 20,00,00 = 05am-06am 40,00,00 = 06am-07am (morning) 80,00,00 = 07am-08am 00,01,00 = 08am-09am 00,02,00 = 09am-10am 00,04,00 = 10am-11am 00,08,00 = 11am-12pm (noon)

R0 C

|01,02,03,04,05,06,07,08,09,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24 |FF,FF,FF|FF,FF,FF|FF,FF,FF|FF,FF,FF|FF,FF,FF|FF,FF,FF|FF,FF,FF|00,01,00 | Sunday | Monday |Tuesday |Wednesda|Thursday| Friday |Saturday|Unknown


Z3 R

0C

OO 1

regedit.exe -> \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\%RID%\F (fixed length, 80) explorer.exe -> \%windir%\system32\config\SAM


OO 1

regedit.exe -> \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\%RID%\V (variable length, 424+) explorer.exe -> \%windir%\system32\config\SAM

Z3 R

0C

En este anontation la 1st and 3rd secci贸n se muestran en primer lugar porque se relacionan entre s铆, se refieren a la hexagonal de desplazamiento a la izquierda.


OO 1 0C Z3 R

Por defecto, los usuarios nuevos se agregan al grupo Usuarios. Hay 6 incorporado en localgroups 2K: Administradores, Operadores de copia de seguridad, Visitantes, Usuarios avanzados y Usuarios Replicator. XP añadido Operadores de configuración de red, usuarios de escritorio remoto y HelpServicesGroup. Se enumeran aquí: Domains\Builtin\Aliases\Names\%groupname% nombre de grupo en una subclave de puntos de valor a: HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\00000XXX\C que contiene información acerca de la grupo. No todos los detalles se conocen en este momento, sin embargo, el nombre del grupo, los miembros de descripción / comentario y grupos se almacenan aquí. C:\>net localgroup %groupname% /add - can be >=1 and <=256CMD/254GUI


OO 1

Nombre de alias C:\>net localgroup %groupname% /add - can be >=1 and <=256CMD/254GUIsólo los primeros 25 caracteres se muestran en CMD. Algunos problemas se encuentran con nombres más largos grupos. Los nombres de grupo puede cambiar el nombre de 255 caracteres a través de interfaz gráfica de usuario, sin embargo lo hace con error: Usuarios y grupos locales producido el siguiente error al intentar cambiar el nombre del grupo%% nombre de grupo: Parámetros Uno o más de entrada no son válidos. Sin embargo, el nombre del grupo se cambia el nombre. Al intentar acceder al grupo errores similares ocurren y en tratar de eliminar el grupo, esta explicación se da: Un nombre de ruta no válida de Active Directory fue aprobada. Es extraño ya que AD no está instalado. En CMD cualquier nombre de grupo> 25 no se puede eliminar: La cuenta del usuario o grupo especificado no se puede encontrar. Más ayuda está disponible escribiendo NET HELPMSG 3963. Adición de usuarios a una longitud de 254 grupos parece desencadenar la actividad de la red, el usuario se agrega y se puede retirar a través de GUI aunque. CMD sin embargo puede manejar añadir / eliminar usuario a 255/256 nombres longitud del grupo, si se intenta borrar en GUI produce el error siguiente: El usuario local y grupos uno o más errores durante la grabación de cambios de pertenencia a grupos para% username% user. Comentario / Descripción C:\>net localgroup %groupname% /comment:"%comments%" >=0 and <=256GUI/2,133CMD que se limita básicamente por 2.170 CMD gestión de entradas del búfer. GUI puede hacer tal comentario y cambiar el nombre, pero sólo a una longitud más corta.

R0 C

También hay otro registro almacenado aquí: \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members\%dec_SID%\%hex_RID%\ 2K En el valor predeterminado se puede ver correctamente en regedt32 por mostrar datos binarios. Este valor sólo se enumeran los grupos en hex que cada usuario respectivo es un miembro de. Grupos locales están para estaciones de trabajo, los grupos globales son para servidores. Los grupos personalizados se añaden aquí: \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Aliases\Names\%groupname%\

Z3

regedit.exe -> \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Aliases\%RID%\C (variable length) (custom groups) regedit.exe -> \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\00000220\C (variable length) (builtin groups) explorer.exe -> \%windir%\system32\config\SAM


OO 1

0C

Z3 R


(Algunos) de configuración de seguridad

OO 1

La configuración de seguridad principales se configuran con secpol.msc oa través de "Configuración y análisis de seguridad" en una MMC. Aquí puede configurar directamente o importar plantillas de seguridad. También puede utilizar Directiva de grupo o gpedit.msc -> \ Directiva de equipo local \ Configuración del equipo \ Configuración de Windows \ Configuración de seguridad \ - esto es lo mismo y la configuración se almacenan en la base de datos normal y no los archivos Registry.pol en C : \ WINNT \ system32 \ GroupPolicy \ (máquina / usuario) \ La configuración de seguridad se almacenan en una base de datos separada (* sdb.) y luego escrita de allí a varias partes del registro. La orden interna se encuentra: C: \ WINNT \ Security \ Database \ secedit.sdb

Z3

R0 C

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ GPExtensions \ {827D319E-6EAC-11D2-A4EA-00C04F79F83A} \ "LastPolicyTime" = dword: XXXXXXXX Donde X = el número de minutos desde 01 de enero 1980. (12797280 = 12:00 AM - 01 de mayo 2004) Para ahorrar tiempo en el cálculo de este valor de uso ntdate.exe Este valor se crea en primera configuración de seguridad que alteran después de la instalación. Se actualiza entonces a la hora actual, cuando la configuración de seguridad se actualiza / escrito. Esto ocurrirá cuando se cierra un diálogo sobre la edición o configuración en el arranque si el tiempo almacenado se encuentra en el futuro, o más de 16 horas detrás de la hora actual: La aplicación de la política de seguridad (Justo antes de inicio de sesión) Un evento; SceCli se registra bajo el registro de aplicación cuando esto ocurre en el inicio. También puede actualizar a través de línea de comandos con C:\>secedit /refreshpolicy machine_policy /enforce


[System Access] (F0,3F,FE)

Z3 R

0C

OO 1

secpol.msc -> \Account Policy\Password Policy\ and \Account Policy\Account Lockout Policy\ regedit.exe -> \HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\F explorer.exe -> \%windir%\system32\config\SAM


[Event Audit] (26,40,FE)

[Privilege Rights](00,40,FE)

Z3 R

secpol.msc -> \Local Policies\User Rights Assignment\ explorer.exe -> \%windir%\system32\config\SECURITY

0C

OO 1

secpol.msc -> \Local Policies\Audit Policy\@ regedit.exe -> \HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtEv\@ explorer.exe -> \%windir%\system32\config\SECURITY

This group of settings are stored in two locations/formats:

regedit.exe -> \HKEY_LOCAL_MACHINE\SECURITY\Policy\Accounts\%SID%\ActSysAc\@ A simple fixed 4 byte hex value - add for combinations regedit.exe -> \HKEY_LOCAL_MACHINE\SECURITY\Policy\Accounts\%SID%\Privilgs\@ A variable length hex value, of the following layout:


OO 1

0C

Z3 R


[Registry Values](2C,40,FE) secpol.msc -> \Local Policies\Security Options\ regedit.exe -> Various locations explorer.exe -> \%windir%\system32\config\SAM|SOFTWARE|SYSTEM

OO 1

Additional restrictions for anonymous connections None. Rely on default permissions = 0 Do not allow enumeration of SAM accounts and shares = 1 No access without explicit anonymous permissions = 2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"restrictanonymous"=dword:0000000X Allow Server Operators to schedule tasks (Domain Controllers Only) Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"submitcontrol"=dword:0000000X Allow system to be shutdown without having to log on Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"ShutdownWithoutLogon"="X"

R0 C

Allowed to eject removable NTFS media Administrators = 0 Administrators and Power Users = 1 Administrators and Interactive Users = 2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"allocatedasd"="0"

Z3

Amount of idle time required before disconnecting session (>=0 & <=99999)minutes (0 = Do not disconnect clients) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\"autodisconnect"= dword:000XXXXX Audit the access of global system objects Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"auditbaseobjects"=dword:0000000X Audit use of Backup and Restore privilege Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"fullprivilegeauditing"=hex:0X Automatically log off user when logon time expires(local) Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\"enableforcedlogo ff"=dword:0000000X


Clear virtual memory pagefile when system shuts down Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\"ClearPageFileAtShutdown"=dword:0000000X Digitally sign client communication (always) Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters\"requiresecu ritysignature"=dword:0000000X

OO 1

Digitally sign client communication (when possible) Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters\"enablesecu ritysignature"=dword:0000000X Digitally sign server communication (always) Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\"requiresecuritysi gnature"=dword:0000000X

R0 C

Digitally sign server communication (when possible) Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\"enablesecuritysig nature"=dword:0000000X Disable CTRL+ALT+DEL requirement for logon Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"disablecad"=dw ord:0000000X

Z3

Do not display last username in logon screen Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"dontdisplaylast username"=dword:0000000X LAN Manager Authentication Level Send LM & NTLM responses = 0 Send LM & NTLM - user NTLMv2 session security if negotiated = 1 Send NTLM response only = 2 Send NTLMv2 response only = 3 Send NTLMv2 response only\refuse LM = 4 Send NTLMv2 response only\refuse LM & NTLM = 5 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"lmcompatibilitylevel"=dword:0000000X


Message title for user attempting to log on (>=1 & <=16,383)characters | - bug(?) dialog = 30,000, if over 16,383 characters removes all/most security values within the key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"legalnoticetext" ="X"

OO 1

Message title for users attempting to log on (>=1 & <=16,383)characters | - bug(?) dialog = 30,000, if over 16,383 characters removes all/most security values within the key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"legalnoticecapti on"="X" Number of previous logons to cache (in case domain controller is not available) (>=1 & <=50) logons (0 = Do not cache logons) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"cachedlogonscount"="X"

R0 C

Prevent system maintenance of computer account password Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\"DisablePasswordChan ge"=dword:0000000X Prevent users from installing printer drivers Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\servers\"addprinterdrivers"=dword:0000000X

Z3

Prompt user to change password before expiration (>=0 & <=999)days HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"passwordexpirywarning"=dword:00000XXX Recovery Console: Allow automatic administrative logon Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\"SecurityLevel"=dword:0000000X Recovery Console: Allow floppy copy and access to all drives and all folders Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\"SetCommand"=dword:0000000X


Rename administrator account (>=1 & <=20)characters | - bug(?) dialog = 30,000 (cannot be any existing group/user names) HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4\V ("towards the end") HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\%username% Rename guest account (>=1 & <=20)characters | - bug(?) dialog = 30,000 (cannot be any existing group/user names) HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5\V ("towards the end") HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\%username%

OO 1

Restrict CD-ROM access to locally logged-on user only Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"allocatecdroms"="X" Restrict floppy access to locally logged-on user only Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"allocatefloppies"="X"

R0 C

Secure channel: Digitally encrypt or sign secure channel data (always) Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\"requiresignorseal"=d word:0000000X Secure channel: Digitally encrypt secure channel data (when possible) Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\"sealsecurechannel"=d word:0000000X

Z3

Secure channel: Digitally sign secure channel data (when possible) Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\"signsecurechannel"=d word:0000000X Secure channel: Require strong (Windows 2000 or later) session key Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\"requirestrongkey"=d word:0000000X Send unencrypted password to connect to third-party SMB servers Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters\"enableplain


textpassword"=dword:0000000X Shutdown system immediately if unable to log security audits Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"crashonauditfail"=dword:0000000X

OO 1

Smart card removal behaviour No Action = 0 Lock Workstation = 1 Force Logoff = 2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"scremoveoption"="X"

Strengthen default permissions of global system objects (e.g. Symbolic Links) Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\"ProtectionMode"=dword:0000000X

R0 C

Unsigned driver installation behaviour Silently succeed = 0 Warn but allow installation = 1 Do not allow installation = 2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing\"Policy"=hex:0X

Unsigned non-driver installation behavior Silently succeed = 0 Warn but allow installation = 1 Do not allow installation = 2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Non-Driver Signing\"Policy"=hex:0X

Z3

secpol.msc -> \Event Log\Settings for Event Logs\ regedit.exe -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\(Application/Security/System)\ explorer.exe -> \%windir%\system32\config\SYSTEM

[Application Log](24,40,FE) | [Security Log](22,40,FE) | [System Log](20,40,FE) Maximum log size for (Application/Security/System) Log (>=64 & <=4,194,240)KBytes | 64byte Increment HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\(Application/Security/System)\"Ma xSize"=dword:XXXXXXXX


Restrict Guest access to (Application/Security/System) Log Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\(Application/Security/System)\"Res trictGuestAccess"=dword:0000000X Retain (Application/Security/System) Log (>=1 & <= 365)days (stored in seconds, only visable if Retention method is by days) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\(Application/Security/System)\"Ret ention"=dword:0XXXXXXX

OO 1

Retention method for (Application/Security/System) Log Overwrite events by days = As above (days * seconds) Overwrite events as needed = 0 Do no overwrite events (clean log manually) = FFFFFFFF HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\(Application/Security/System)\"Ret ention"=dword:XXXXXXXX

[Event Audit](26,40,FE)

R0 C

Shutdown system when security audit becomes full Enabled = 1 or Disabled = 0 HKEY_LOCAL_MACHINE\SECURITY\Policy\PolAdtFL\@=hex(0):0X,00

[Group Membership](08,40,FE)

secpol.msc -> \Restricted Groups\ regedit.exe -> Not defined here explorer.exe -> \%windir%\security\Database\secedit.sdb

Z3

Listed are the groups: Administrators, Backup Operators, Guests, Power Users, Replicator & Users. In the members tab users can be defined in the security database to belong to the respective group. When the security policy is applied the registry group membership is matched with the list in the database, hence if a new administrator is added to the machine, but not listed in the security policy, it will be removed on policy application. This setting is only defined in the security database. In the Member of tab is the text: The groups to which this group belongs should not be modified. Unsure, this setting doesn't "seem" to work since local/custom groups cannot be added to local groups - DC only?


[Service General Setting](2E,40,FE)

Z3 R

0C

OO 1

secpol.msc -> \System Services\ regedit.exe -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%Various% explorer.exe -> \%windir%\system32\config\SYSTEM Service startup mode (FYI: 0=boot, 1=system, 2=automatic 3=manual, 4=disabled, 5+=unknown) 2 = Automatic 3 = Manual 4 = Disabled HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%service%\"Start"=dword:0000000X Service Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%service%\Security\"Security"=hex:01,00,14,80...


[Registry Keys] 14,40,FE secpol.msc -> \Registry\ regedit.exe -> Stored in SK values that are not actually viewable via regedit/regedt32 -> Security -> Permissions... explorer.exe -> \%windir%\system32\config\(SAM/SECURITY/SOFTWARE/SYSTEM) and %USERPROFILE%\NTUSER.DAT

[Archivo de Seguridad] 18,40, FE

OO 1

Esta parte se explica en la sección de la estructura del registro.

secpol.msc -> \File System\ regedit.exe -> Not stored here explorer.exe -> Differs from NT4(NTFSv1.2) and 2k/XP(NTFSv3.0/3.1)

R0 C

Esta es, posiblemente, debería ampliarse en un artículo completamente diferente en NTFS, sin embargo aquí están los detalles afew breves. En NT4 el privilegio se almacena dentro de cada respectiva entrada $ MFT. En cada entrada 2K/XP $ MFT tiene un número asignado permiso para ello - todos los permisos se almacenan en el archivo $ Secure en bloques de permisos numerados. Esto permite que varios archivos para que apunte al bloque permiso mismo, ahorrando espacio. El formato de almacenamiento es muy similar a otros permisos con la dword primera especificación de la longitud, seguido por el privilegio y luego la SID. Si está usando XP Home, use Fajo Archivo XP extensión de seguridad para ver los ajustes en el modo normal.

Z3

FF,01,1F,00 = Full Control 20,00,10,00 = Traverse Folder / Execute File 01,00,10,00 = List Folder / Read Data 80,00,10,00 = Read Attributes 08,00,10,00 = Read Extended Attributes 02,00,10,00 = Create Files / Write Data 04,00,10,00 = Create Folders / Append Data 00,01,10,00 = Write Attributes 10,00,10,00 = Write Extended Attributes 40,00,10,00 = Delete Subfolders and Files 00,00,11,00 = Delete 00,00,12,00 = Read Permissions 00,00,14,00 = Change Permissions 00,00,18,00 = Take Ownership


REGISTRY STRUCTURE

Z3 R

0C

OO 1

Además del registro de auditoría (. Evt), las claves de EFS, seguridad de archivos, las directivas de grupo (. Pol) y bases de datos de seguridad (. SDB), todos los ajustes de seguridad se almacenan en el registro. En la segunda tabla son los nombres de archivo con respecto a la ruta y el nombre de archivo en la primera tabla. A & P es el número de la auditoría única y entradas de permisos.


OO 1

0C

Z3 R


OO 1

El registro parece estar compuesto por 7 diferentes tipos de entradas: Todos los desplazamientos son relativos a 1000, con xx denota ningĂşn identificador constante 01. nk = (sub)keys (links to the following 4 types)

0C

02. lf/lh = Subkey list 03. xx = Value list (links to type no. 6) 04. sk = Permissions 05. xx = Class information (regedt32 input on key creation)

Z3 R

06. vk = Value (links to type no. 7 though data can be within the value) 07. xx = Data


OO 1

0C

Z3 R


OO 1

0C

Z3 R


OO 1

0C

Z3 R


OO 1

0C

Z3 R


OO 1

0C

Z3 R


Ejemplos de SAM =http://www.beginningtoseethelight.org/ntsecurity/sam.php y SEGURIDAD =http://www.beginningtoseethelight.org/ntsecurity/security.php archivos de registro .

OO 1

CONTRASEÑAS

R0 C

El archivo SAM parece ser "bastante" seguro - sin embargo, si el acceso físico a la máquina es posible, no es tan seguro y Microsoft han admitido esto. El archivo SAM está bloqueado. No es posible borrar / copiar / mover / cambiar el nombre de ella dentro de las ventanas a través de explorador. Acceso a la memoria RAM también se restringe si no en el grupo de administradores. Hexeditors disco sólo se puede utilizar dentro de las ventanas si has iniciado sesión con privilegios administrativos, el acceso a disco más directo es negada. Privilegios de administrador son necesarios para desfragmentar un volumen para que el archivo sam puede necesitar ensamblar si el acceso directo del disco se utiliza. Si la máquina puede ser (re) inicia desde un dispositivo diferente por ejemplo, disquete o en el disco duro extraída y / o copiado, hay posibilidades.

Z3

Las contraseñas no se almacenan en el archivo sam, los hashes de contraseñas son. Esto significa que la contraseña ha de hash y luego se compara - contraseñas no se pueden extraer directamente. Una vez que los valores hash se han obtenido, que puede ser probado con archivos de diccionario o para todas las combinaciones posibles. El tiempo que tarde depende de la complejidad y la longitud de la contraseña para la cuenta. Para evitar sencillo dumping de los hashes del registro, Syskey.exe - SAM Herramienta de bloqueo se introdujo en Service Pack> = 3 para NT4. La habilitación de syskey es un proceso unidireccional, una vez activada, no se puede desactivar - de acuerdo con Microsoft. Service Pack 3 no se habilita automáticamente syskey, el administrador tenía para hacerlo. En 2K + está habilitada de forma predeterminada. Syskey añade un nivel adicional de cifrado para el hash y hace que los valores hash único para el sistema y el userNumber. Syskey puede trabajar en una de tres formas diferentes - con algunos trucos de los tres pueden ser desplegados al mismo tiempo ;-) Un registro sin determinar de qué opción está activada se almacena aquí: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"SecureBoot"=dword:0000000X Si la opción 2 o 3 se elige un aviso aparecerá en el inicio, tal como el ratón aparece. O bien el disquete correcto debe estar en la unidad o la contraseña correcta entró a proceder a la conexión regular. Si se elige la opción 3 un archivo de 16 bytes se guardarán en un disquete con el nombre de "startkey.key" opción Por defecto se selecciona 1 en 2K/XP y esto se cree que es la opción más utilizada.


Aunque los hashes están cifrados, los hashes correctas se pueden obtener con pwdump vía lsass.exe si ha iniciado sesión en el grupo Administradores del sistema en cuestión. Hay otros programas que utilizan técnicas similares / igual a Todd Sabin que se retrive los hashes Arrancar desde Petter Nordahl-Hagen disco de arranque: (los usuarios de Windows pueden querer leer sobre el cp comandos y montaje) 01.(Opcional) Hacer una copia de la SAM y los archivos de seguridad, o notar todos los cambios realizados. Esto es en caso de cualquier error.

OO 1

02.(Opcional) Hacer una copia de los archivos de registro de sucesos: Aplicación (AppEvent.Evt) Seguridad (SecEvent.Evt) y System (SysEvent.Evt) o anote las configuraciones de auditoría y el tiempo de actualización de la política de seguridad y temporaraly apagar auditoría. Esto es para evitar la auditoría basado en Windows. 03.Compruebe el nombre de usuario para 000001F5 usuario. Si (no una contraseña * BLANK *) o (una incógnita), creado uno. 04.Activar la cuenta de invitado o usuario (ver sección de usuarios y grupos)

05.Cambiar el nivel de permisos a administrador (ver sección de usuarios y grupos) 06.Aumentar el número de administradores (ver sección de usuarios y grupos)

R0 C

07.Verifique las políticas de seguridad, puede el usuario de inicio de sesión? - Cambiar si no (ver sección Usuarios y grupos) 08.El arranque e inicio de sesión como Invitado / usuario y volcar los hashes correctas. Reinicie el sistema y restaurar todos los archivos a su estado original. Hashes de prueba en una máquina diferente. Exportación de la syskey: La parte de sistema de syskey no se refiere al hardware, por lo que puede ser movido a otro sistema. Este método también requiere que el arranque desde un dispositivo diferente, pero el inicio real del disco de destino no es necesario, lo que hace que este método pasivo. El arranque y copiar la información siguiente:

Z3

01. \SAM\SAM\Domains\Account\F (Data of) - The 48 bytes at the end minus 8 bytes. (see the security settings section) 02. \SAM\SAM\Domains\Account\Users\000001F4\V (Data of) - 2 x 16 bytes at the end minus 8 bytes. (see the passwords section) 03. \SECURITY\Policy\PolSecretEncryptionKey\@ (Data of) - The last 64 bytes, basically all of this value. 04. \SYSTEM\ControlSet001\Control\Lsa\Data\ (Class of) - 8 bytes of hex in text (see the registry structure section) 05. \SYSTEM\ControlSet001\Control\Lsa\GBG\ (Class of) - As above 06. \SYSTEM\ControlSet001\Control\Lsa\JD\ (Class of) - As above 07. \SYSTEM\ControlSet001\Control\Lsa\Skew1\ (Class of) - As above En un segundo sistema de crear o utilizar una cuenta con un userNumber diferente de la que está importando, elevar los privilegios del usuario administrador si no está ya. Establezca la contraseña de esta cuenta en blanco - no a través de GUI, pero en el registro en


HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\XXXXXXXX donde X es el número de cuenta del usuario. Este es un proceso similar a la configuración de una contraseña en blanco con Petter NordahlHagen disco de inicio o la creación de un nuevo usuario sin especificando una contraseña.Consulte la sección Usuarios y Grupos - alterar los bytes de datos después de las horas de inicio de sesión permitidos para leer: 01,02,00,00,07,00,00,00, 01,00,01,00, 01,00,01 , 00, 01,00,01,00, 01,00,01,00 a continuación, actualizar los desplazamientos hacia el inicio de la clave, agregar 8 para el desplazamiento de la entrada desconocida para el hash LM, a continuación, 4 para el NT, luego 4 para la entrada desconocida, y finalmente 4 de nuevo para la última entrada desconocida. Reinicie para la actualización.

OO 1

Si aún no dispone de un usuario de la serie del mismo usuario de la cuenta que está importando o bien crear uno mediante la modificación del contador de usuario número siguiente (ver sección de usuarios y grupos) o puede modificar la cuenta de un usuario ficticio, su número de usuario y el grupo valores. Importe los datos específicos en el equipo host. Para los valores de F y V, tal vez más rápido para exportar el valor existente, pegar los datos específicos nuevos y de importación. Sólo tiene que importar striaght PolSecretEncryptionKey ya que no hay otras opciones aquí. Para los datos de la clase probablemente más rápido para exportar como archivos reg, elimine las claves, utilizar regedt32 para crear nuevas claves con nuevas clases, a continuación, importar los archivos reg exportados. Reinicie e inicie sesión como el usuario con la contraseña en blanco *, * y volcar los hashes correctas.

Z3

R0 C

El archivo c: \ boot.ini es muy importante en las primeras etapas de comenzar un sistema NT. Se determina la ubicación del directorio% windir% que el sistema se va a cargar desde. Por defecto y administradores del sistema tienen control total y de usuarios avanzados tienen "Leer y ejecutar" y permisos de lectura. Atributo de archivo se establecen en archivo, sistema y oculto. Aunque la mayoría de los directorios tienen permisos restringidos para los usuarios, los permisos de carpeta raíz (ver propiedades de la partición) se establecen para todo el mundo tener un control total - este permiso no está dispuesto a ser heredada por los objetos en el directorio raíz. Sin embargo, los permisos de la carpeta raíz tiene un efecto sobre la no-archivos de sólo lectura en la raíz, aunque estén establecidos no heredar los permisos parentales.Característica o defecto? Todos los demás archivos raíz o son de sólo lectura, bloqueados por el sistema operativo (asas) o no crítica. Esto no afecta a las carpetas. El archivo boot.ini no es de solo lectura lo cual es extraño ya que la configuración del archivo en "Propiedades del sistema" -> Avanzado -> "Inicio y recuperación" no se ve afectada por este atributo. Debido a esta debilidad en los permisos NTFS un usuario puede eliminar el archivo boot.ini y sustituirla por su propia cuenta. Esta boot.ini sido creado recientemente para incluir una opción para arrancar desde un sistema operativo diferente sin pasar por el modelo de seguridad. Hay dos maneras de hacerlo: 01. Mobile OS 02. Consola de recuperación Ambos tienen ventajas y desventajas. Lea tanto como yo he ampliado en unos pocos temas en el segundo. Mobile OS: En un sistema diferente iniciar la configuración de 2K disquete. Cuando finalice la copia de reiniciar un sistema flexible / otros y editar estos archivos: C:\TXTSETUP.SIF -> DefaultPath=\WINNT


OO 1

C:\$WIN_NT$.~LS\I386\HIVESFT.INF -> DEFAULT_PROFILES_DIR="%SystemDrive%\Documents and Settings" Punto a diferentes lugares para que no interferir con la configuración del sistema de destino. Continúe con la instalación. Al finalizar deshabilitar la Papelera de reciclaje y función de hibernación, eliminar archivos innecesarios y reducir el tamaño del archivo de paginación con el fin de reducir el tamaño total del sistema. Añada los programas utiles también, pero evitar / eliminar la carpeta "Archivos de programa", ya que no tendrá permiso para sobrescribir en el sistema de destino. También puede visitar esta página:http://support.microsoft.com/default.aspx?scid=kb; [LN]; Q314082 - afirma que esto sólo se aplica a XP, pero básicamente sólo ligeramente actualizado KBQ271965 que se aplicaba a 2K y luego eliminada la original uno. * Frunce el ceño * MS en el sistema objetivo abrir y volver a guardar el boot.ini actual en otra parte, sustituirla por otra que también se apuntan a la configuración. Copiar la configuración móvil encima, usted probablemente tendrá que ejecutar attrib-r / s / d en la carpeta si se copia desde CD. Reinicie y seleccione su configuración.Presione F8 y arrancar en modo seguro, esto es muy importante, ya que permite al teclado y al ratón ser detectado adecuadamente. Reiniciar en el modo normal para acceso total, algunos conductores pueden necesitar ser añadido para la funcionalidad del sistema completo. Hyperthetically el nuevo% SystemRoot% podría tener un "ntldr niños" programa codificado en su lugar.

[SCSI.Load] atapi = atapi.sys,4 [InputDevicesSupport.Load]

[BootBusExtenders.Load] pci = pci.sys acpi = acpi.sys

Z3

[BusExtenders.Load] pciide = pciide.sys mountmgr = mountmgr.sys ftdisk = ftdisk.sys partmgr = partmgr.sys fdc = fdc.sys

R0 C

Consola de recuperación: Normalmente uno arrancar desde CD y seleccione la opción Consola de recuperación en la configuración, sin embargo se puede instalar en su ordenador ejecutando: D: \ i386 \ winnt32.exe / cmdcons esto toma alrededor de 5.58MB que se pueden comprimir hasta 3,86 MB - Si conoce la configuración de hardware del equipo de destino, puede reducir aún más esta eliminando la mayor parte de los controladores y modificar el archivo Txtsetup.sif - ejemplo:


También la mayoría de los archivos son aleady presente en el sistema host, así que usted puede copiar en el directorio cmdcons - de cualquier manera los archivos que quepan en un par de disquetes - bastante factible. Utilice el método descrito anteriormente para obtener los archivos en el sistema. El archivo boot.ini debería ser algo como esto:

OO 1

[boot loader] timeout=5 default=multi(0)disk(0)rdisk(0)partition(1)\WINNT [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional1" /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINNT="Microsoft Windows 2000 Professional2" /fastdetect multi(0)disk(0)rdisk(0)partition(3)\WINNT="Microsoft Windows 2000 Professional3" /fastdetect C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows 2000 Recovery Console" /cmdcons

Z3

R0 C

Tenga en cuenta que hay tres diferentes particiones especificadas para Windows 2000, esto es en caso que haya más de una partición actual - para la que siempre puedan acceder a si el sistema no está en la primera partición. Elimine el archivo boot.ini. Cámbiela por su cuenta. copiar el directorio y el archivo cmdcons Cmldr en la raíz. Cuando se carga la consola de recuperación tiene que introducir la contraseña del administrador para obtener acceso al sistema, sin embargo hay un punto débil en este proceso. Con el fin de encontrar el sistema (s) que el usuario puede iniciar sesión en que escanea los directorios en la raíz y se ve dentro de estos por una subcarpeta de system32 y dentro de ésta, las subcarpetas de configuración y los controladores. Esto es lógico, el directorio% windir% puede variar - en NT4 la instalación incluye la opción de cambiar la ruta, y en el año 2000 y XP se puede utilizar una instalación desatendida o modificar el archivo Txtsetup.sif para señalar un camino diferente. El directorio system32 es constante como son los directorios de configuración y los controladores, los cuales tienen archivos críticos para el arranque de NT. Si los archivos de la SAM, la seguridad y el sistema están presentes en el directorio de configuración, el usuario se le solicitará la contraseña incorporada administradores, una vez autenticado, sólo tendrá acceso a los archivos con el SID que se conectaron con. Esto no sería un problema, ya que el SID de la máquina de destino se puede encontrar accediendo a C: \ Documents and Settings \ foo \ Datos de programa \ Microsoft \ Crypto \ RSA \ donde foo es su nombre de usuario. Dentro de esta carpeta hay una carpeta con el número SID de la máquina seguido del número de usuario RID, en un sistema independiente que podría insertarse, ya sea con Sysinternals NewSID programa o manualmente en el registro y una contraseña conocida establecido para la cuenta de administrador. El ligero defecto es que si los archivos sam, de seguridad y de sistema no están presentes, un usuario no tiene que iniciar sesión y tiene acceso a todo. Sólo tienes que crear dos carpetas con el nombre de configuración y los controladores en el directorio C: \ cmdcons \ system32. Se le dará la opción de decidir qué sistema desea iniciar sesión como - seleccione la carpeta C: \ cmdcons uno. El archivo de BOOTSECT.DAT tiene 3 parámetros que son críticos para el inicio y pueden variar dependiendo del tamaño de la partición y su posición en el disco. 1. Sectores por cluster, ubicada en el offset D. Microsoft Knowledge Base tiene esta tabla:


R0 C

OO 1

Compruebe la capacidad de la unidad C en propiedades. - Este es el tamaño total de la partición. En este caso fue: 39941955584 bytes. 2. Sectores ocultos, ubicados a 1C offset. Este es el número de sectores, desde el principio de la unidad y en el comienzo de la partición. Si el sistema se configura a partir de un disco en blanco con la configuración por defecto será 63 sectores (32256 bytes). Si hay varias particiones y la partición en cuestión no es la primera, entonces este valor será mucho mayor. Partición múltiple podría existir por las siguientes razones: ultilites hardware, sistema formado la imagen, otros sistemas operativos y hardware de nivel de sistema de almacenamiento de hibernación, etc - sin embargo, será probablemente * * se encuentran en la parte final de la unidad, que no afectará el valor de sectores ocultos. Para comprobar, ejecutar devmgmt.msc -> expanda "Unidades de disco" y compruebe el nombre del modelo / número. En este caso fue: WDC WD400BB-75FRA0. Buscar la unidad en el sitio web de fabrica y obtener las especificaciones técnicas de la unidad. Esta unidad de Western Digital es 40020664320 bytes de tamaño. Si la partición es 39941955584 bytes y 32.256 bytes están reservados al principio, que deja a 78.676.480 bytes o megabytes 75, lo que indica que otra partición es posiblemente presente. Esta maynot ser el caso sin embargo - no tengo un disco en la actualidad para comprobar el valor por defecto las configuraciones de estilo asignación para discos grandes, este espacio quizás excedente que la partición más grande posible que la unidad no puede resolver, si no es así entonces 153.665 serán probablemente necesario para ser añadido a los sectores ocultos. Esto podría ser un tapón de la demostración. 3. No clúster lógico. de la $MFT , ubicado en el offset 38. Al igual que los sectores por clúster, esto varía de un modo similar. Debido al gestor de arranque que estaba usando no podía reducir esto a MB exactas, por lo tanto, esta tabla es alittle aproximado:

Z3

Esto no es un problema, ya que la partición en cuestión es grande. Sin embargo, si la partición ha sido formateada con FAT32 originalmente, es decir, una actualización a continuación, estas cifras podrían ser incorrectas como la conversión de las tablas de archivos * sería probablemente * dejar los datos existentes donde sea y simplemente crea una tabla de archivos nuevo en el espacio libre más adelante en el disco. Una vez que todos los archivos están en su lugar, vuelva a arrancar la máquina -> seleccione la consola de recuperación -> "Inicio de sesión" en C: \ Cmdcons -> cd a: C: \ WINNT \ system32 \ config \ -> Renombrar el archivo sam a otra cosa -> exit para reiniciar -> inicio de sesión de selección para equipo local en la lista desplegable -> Inicio de sesión como administrador con una contraseña en blanco. Para parchear againt ambos métodos, Los administradores pueden: 1. Ejecutar attrib -r -a -s -h c: \ boot.ini dos veces, primero con - entonces con +; at \ \ machinename ... Esta es una solución muy simple. 2. Desactive la casilla "Create Files/Write Data", "Create Folders/Append Data" permisos en la partición.


Este problema de seguridad no afecta a las configuraciones por defecto. Los programas de terceros, que comenzó como un servicio debe estar presente - sin embargo esto no es común. El problema surge cuando el ImagePath en \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%servicename%\ apunta a un ejecutable en el directorio de archivos de programa y la ruta no tiene "" que lo rodea. Debido al espacio en C: \ Archivos de programa \ el sistema intenta ejecutar C: \ Archivos de Program.exe primera y pass \ ... al ejecutable como un parámetro. Si este es el caso, el servicio real no se iniciará. Dado que los usuarios pueden guardar archivos en el directorio raíz y los servicios tienden a funcionar a nivel de sistema que podría ser muy grave. Microsoft "parece" ser conscientes de ello - en este cuadro de diálogo de inicio de sesión / desktop (explorer.exe \dialog\20\1033\) aparece si hay un archivo titulado program.x (donde x puede ser cualquier cosa / anylength - o simplemente "programa") en el directorio raíz.

Si la casilla está activada, esta clave del Registro se crea:

OO 1

Nombre del archivo Warning Hay un archivo o una carpeta en su computadora llamado "C: \ Program.exe" lo que podría causar que ciertas aplicaciones no funcionen correctamente. Cambiar el nombre a "C: \ Program1.exe" podría resolver este problema. Ojalá ¿Desea cambiar el nombre ahora? [] No realice esta comprobación al iniciar [Rename] [Ignorar]

Z3

R0 C

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\DontShowMeThisDialogAg ain] "RogueProgramName" = "no" (datos = nada más cambia la advertencia de nuevo) Esta es la codificación pobres de parte de Microsoft desde los servicios tienden a cargarse antes de esta advertencia se muestra.Adicionalmente se debe escanear el directorio raíz de todas las carpetas con espacios en y luego para todos los archivos ejecutables de raíz con los nombres de la primera parte del nombre de carpeta con un espacio en el ejemplo: C:\foo.exe will execute instead of C:\foo bar\... Esto abarcaría también algunas versiones no-Inglés SO:

Como se puede ver, algunas versiones no están en riesgo. Para parchear en contra de esto, Los administradores pueden: 1. Desactive la casilla "Crear archivos / Escribir datos" permiso en la partición. 2. Rodea el ImagePath inseguro en "".


OO 1

Si el archivo SAM se elimina, Windows onboot simplemente recrear uno - 1 y 1 Invitado Administrador de contraseñas en blanco, discapacitados Visitante. Si este procedimiento se intenta en XP aparece el siguiente error al iniciar: lsass.exe - Error del sistema de cuentas de seguridad inicializar el Administrador fallado debido al error siguiente: Un dispositivo conectado al sistema no funciona. Estado de error: 0xc0000001. Haga clic en Aceptar para cerrar este sistema y reiniciar en modo seguro, compruebe el registro de sucesos para información más detallada. Reiniciar en modo seguro produce el mismo error, sin embargo, si arranca desde Petter Nordahl-Hagen disco de arranque y cambiar este valor del Registro: \HKEY_LOCAL_MACHINE\SYSTEM\Setup\SystemSetupInProgress to 0x1 Reinicio - será error con: Windows Mensaje <br> sistema no está completamente instalado. Por favor, ejecute la instalación de nuevo. Haga clic en Aceptar para reiniciar el sistema y cambiar el valor a 0x0 y reiniciar de nuevo. Un nuevo archivo SAM de creado. El proceso lsass almacena en caché la contraseña de texto sin formato que el usuario ha iniciado sesión en su espacio de memoria. Esto existe, mientras que en sesión, los modos de la sesión, se espera e hibernación. Tan pronto como una persona diferente inicia sesión, la caché anterior se borra / sobrescribir. Dado que las cargas LSASS bastante bajos por las posibilidades de que esto aparece en pagefile.sys son pequeños y ya que se necesita nivel de administrador + privilegios para acceder al espacio de memoria LSASS es razonablemente seguro a nivel local, sin embargo, si la máquina está en una red que podría ser un problema, ejemplo :

R0 C

C:\>pslist lsass \\192.168.0.49 -u administrator -p pass (get pid of lsass) C:\>psexec.exe \\192.168.0.49 -c pmdump.exe 220 foo.dat (220 = lsass pid at time of this test) C:\>move \\192.168.0.49\admin$\system32\foo.dat c: Open and search for: 0E003F000001080000000000 where 3F is a wildcard (Winhex). La contraseña de inicio de sesión / dominio se encuentra a 20 bytes después de esto. Un administrador puede averiguar contraseñas de los usuarios al instante, sin pasar por parte del modelo de seguridad.También en entornos de red, los administradores pueden tender a establecer la misma contraseña de administrador a través de muchas máquinas cliente y no la actualiza. Así razonablemente se hicieran esfuerzos para poner a prueba los hashes de la cuenta de administrador, sabiendo que si exitoso, el acceso a las cuentas de otros es posible.

Z3

Listado de palabras son muy eficaces en las contraseñas débiles. Por ejemplo, un archivo de 2.59MB contiene 235.007 palabras y contraseñas comunes, todos estos pueden ser revisadas en segundos. LC5 puede ejecutar pruebas de híbridos, utilizando la lista de palabras, combinaciones de números y caracteres especiales se añaden al final de cada palabra probado, este es también muy eficaz. Curiosamente LC4 añadido el "letras como números" característica mencioné en mi artículo anterior en la opción de "sustituciones de letras comunes". Un rápido vistazo a el archivo lc4.exe en el desplazamiento: muestra 727E4: "A4 @ 8B8 E3 H # I1 $ 5 L1 O0 S T +7" he añadido espacios para dividir cada sección. Esto encontrará contraseñas como p455w0rd muy rápidamente. Las contraseñas que son "al azar" puede tomar más tiempo. Hay dos diferentes hashes 16 bytes generados a partir de la contraseña. el LAN Manager (LM o LANMan) hash y el NT (Nueva Tecnología (?)) hash. El hash de LM es DES (Data Encryption Standard) se utiliza para acceder al revés red compatibilidad con defecto 9x/NT4 sistemas. El hash de NT es MD4 (Mensaje Versión Resumen 4) y se utiliza para iniciar una sesión local / bloqueado pantalla o de forma más segura a través de redes. El método de hash LM no es tan seguro. Hash LM no se puede aplicar a la contraseña de la longitud de 15 o


más, si dicha contraseña se establece LM hash will be AAD3B435B51404EEAAD3B435B51404EE, que es una contraseña en blanco. Las cartas se convierten en mayúsculas, lo que reduce en un 26 combinaciones de letras, por ejemplo:

12345671234567: LMHash = 0182BD0BD4444BF8 0182BD0BD4444BF8 NTHash = 2D1B7B6660258186 BAA95B6F64003667

OO 1

La contraseña se divide entonces en dos grupos de 7 y hashed _independently_ el uno del otro. Esto significa que sólo las combinaciones de hasta 7 caracteres de longitud tiene que ser probado, incluso para, una contraseña de 14 caracteres longitud de ejemplo:

R0 C

Programas de probar el hash DES en primer lugar, a continuación, probar hash de NT para el caso correcto. La última parte lleva muy poco tiempo. Debido a esta debilidad del Service Pack 2 para Windows 2000 actualizado el samsrv.dll para permitir la opción de no almacenar un hash LM. Basta con añadir una subclave a Lsa llamado NoLMHash - encuentra aquí: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash y cambiar contraseñas para su actualización. XP actualizado esto un poco como un valor en su lugar: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\"nolmhash"=dword:00000001 no es necesario reiniciar, pero las contraseñas deben cambiarse para la actualización. Esta opción es configurable a través de GUI secpol.msc \Security Settings\Local Policies\Security Options\Network Security :no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña.

Z3

Las mismas contraseñas crear los hashes mismos, por lo tanto una base de datos podría estar formada de todos los posibles valores hash. Las ventajas de esto serían las contraseñas al instante casi cada vez utilizando la potencia del procesador mínimo, el principal inconveniente es el espacio. Dicha base de datos será enorme, sin embargo algunas investigaciones se ha hecho en la reducción del tamaño:http://www.antsight.com/zsl/rainbowcrack/ aunque esto todavía necesita algún tiempo y no encuentra todas las contraseñas. ¿Cuál sería grande es la base de datos anteriormente mencionada. La última vez que se calculó el tamaño de la base de datos, un sistema de archivos costumbre fue diseñado. Este sistema de archivo se compone de 16 bloques de compensaciones, cada una refiriéndose a cada byte hex 0 - F. El programa sabría donde en el bloque de cada cuarteto era como las compensaciones sería la misma longitud y tomar sería el desplazamiento correspondiente del hex valor en el hash y salta al siguiente bloque. Esto se repetiría hasta saltar al último bloque donde se escribe la contraseña - este diseño tomó demasiado espacio. La respuesta es mucho más simple -> no te molestes en indexar todos los valores!


OO 1 0C Z3 R

ESPEJO1= www.awarenetwork.org/home/rattle/projects/hcc/hcc.exe ESPEJO2= www.beginningtoseethelight.org/ntsecurity/hcc.exe


OO 1

0C

Z3 R


OO 1

0C

Z3 R


Las columnas grises indican el ahorro de espacio con compresión - todos los demás cálculos se hacen sin compresión en mente. Mientras que usted podría utilizar la división real, es más fácil dividir por mordiscos de la matriz. Esto puede alterar el tiempo de compensación en función de la forma en que redondear.

OO 1

Una base de datos de longitud de 1 a 3 no necesita ser generado ya que no hay división utilizado. Cuando se genera para 4 + el programa se ejecuta a través de las combinaciones sequencely, la generación de hashes. Sería comprobar el hash generado y con base en el número de bocados para ese fin, añadir la contraseña para el archivo adecuado, como se mencionó antes, no hay separación en el propio archivo debe tener lugar - por ejemplo, para 5 Longitud: AAAAA = A80F6E6A87BA6AC2 -> append password only to file 5_A800000000000000_A80FFFFFFFFFFFFF BAAAA = 465BEB053958FE47 -> append password only to file 5_4650000000000000_465FFFFFFFFFFFFF CAAAA = B695FF607DC68979 -> append password only to file 5_B690000000000000_B69FFFFFFFFFFFFF

0C

Para evitar que el sistema de archivos de convertirse en un completo desorden, algún recuerdo o memoria intermedia archivo temporal que se utiliza, al igual que una desfragmentación generación post para aclarar los trozos más grandes y traer la estructura de directorios juntos para encontrar más rápido / tiempos de carga. Compresión podría ser utilizado en la etapa de generación - usando un tampón como antes y comprimiendo en mandriles. Vale la pena señalar que esta técnica apenas se efectúa (almacenamiento wise) por medio de algoritmos de una longitud de bits mayor, ya que el almacenamiento de hash es simplemente, mínimamente un nombre de archivo.

Z3 R

La tercera forma es probar todas las combinaciones. Los tiempos son el máximo - todas las combinaciones de hasta e incluyendo esa longitud. La mayoría de los ensayos sólo se han llevado a cabo una vez. Unos pocos fueron comprobados con minuciosidad, pero se encontró que los tiempos sólo varió por segundo, sin embargo, debido a la longitud de tiempo que algunas de las pruebas toma, algunos procesos del sistema en segundo plano pueden retrasar el proceso un poco Leeding a un par de minutos variación. Para calcular el número de permutaciones, hacer permutaciones para la alimentación de longitud, por ejemplo: una longitud de 4, letras contraseña sólo tiene 456.976 permutaciones (26x26x26x26). Cuando la prueba se lleva a cabo, hay que especificar el nivel de complejidad en el principio. Una mejora en este caso sería para probar progresivamente. Primeras cartas de prueba, sólo entonces probar combinaciones con números las letras _AND_, como sólo letras ya han sido probados. Los caracteres especiales también podría ponerse a prueba cada vez, mucha gente probablemente utilice sólo uno o dos caracteres especiales. Una vez que las letras y los números se han probado para agregar que la longitud de cada carácter especial individualmente - a continuación, aumentar el número de caracteres especiales para buscar las combinaciones restantes.


Z3 R

0C

OO 1

(letters) ABC or AaBcCc = ABCDEFGHIJKLMNOPQRSTUVWXYZ (26) or AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz (52) respectfully (numbers) 123 = 0123456789 (10) (special) !@$ = space!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ (33) (number) = Number of permutations (x) En esta prueba sólo caracteres especiales de Estados Unidos se utilizaron en el grupo de caracteres especiales. Reino Unido 2 teclados añadir caracteres especiales adicionales: £ ¬ También son destacables la tecla [Alt Gr] combinaciones de teclas - éstos no están incluidos. PWSEx maneja todos los datos correctamente. LC5 no maneja cualquiera de estos. Los € no genera un hash LM. Hashes LM se generan a partir de las letras en mayúsculas.

Prueba de sistema operativo es Microsoft Windows XP Professional x64 Edition [Versión 5.2.3790] (aumentar ligeramente el rendimiento observado durante 2K) Procesador es de 1 x AMD Athlon FX-53 - Socket 940 (Este procesador de 64 bits / OS es compatible con la mayoría () aplicaciones de 32 bits?) Placa base de ASUS es SK8N - La memoria es de doble canal DDR400 Kingston. Algunos overclocking se consigue cambiando la frecuencia del FSB. Este fue diferente para cada programa, ya que se volvió inestable a velocidades


Z3 R

0C

OO 1

diferentes. Estos tiempos puede ser aumentada o disminuida en el futuro cercano, dependiendo de la estabilidad en pruebas mรกs largas. Las velocidades de reloj se registraron por CPU-Z


Z3 R

0C

OO 1

seguridad predeterminado configuración de directiva para la edad máxima de la contraseña es de 42 días (6 semanas) Ahora usted puede ver por qué hash dos secciones de forma independiente hace poco contraseñas más largas no es más seguro, y por qué deshabilitar el hash LM es una idea _realmente_ bueno. ¿De dónde viene tu contraseña actual / hash forma y el momento fue la última vez que lo cambió? Recuerde que esto es sólo una máquina estándar, las pruebas veces caerá dramáticamente en una configuración distribuida (más de una máquina).

SAM  

documento seguridad SAM WINDOWS