Jak przechowywane w pamięci podręcznej poświadczenia domeny Active Directory są przechowywane na kliencie Windows? Czy są przechowywane w lokalnej bazie danych SAM, przez co są podatne na te same ataki tabeli tęczy, na które są narażeni konta użytkowników lokalnych, czy też są przechowywane inaczej? Zauważ, że zdaję sobie sprawę, że są one solone i mieszane, aby nie były przechowywane jako zwykły tekst, ale czy są one mieszane w taki sam sposób jak konta lokalne i czy są przechowywane w tej samej lokalizacji?
Zdaję sobie sprawę, że przynajmniej są podatni na atak brutalnej siły, ale jest to o wiele lepsza sytuacja niż narażenie na tęczowe stoły w przypadku skradzionej maszyny.
źródło
Poświadczenia nie są buforowane na komputerze lokalnym. Zobacz ten fragment z MS:
http://support.microsoft.com/kb/913485
źródło
Są one obsługiwane przez Credential Manager, dla którego istnieje API Credential Manager. Solone skróty są przechowywane w dość bezpieczny sposób na dysku i dostępne za pośrednictwem HKLM \ Security. (Do którego domyślnie można uzyskać dostęp tylko z LocalSystem, ale łatwo go ominąć, na przykład za pomocą psexec -i -s regedit.exe.)
W działającym systemie Windows sytuacja jest jednak bardziej tragiczna, ponieważ ostatnio używane poświadczenia można uzyskać i łatwo zamienić na zwykły tekst, podpinając bibliotekę DLL w Lsass. (Zobacz Mimikatz.)
Tak, tak, w HKLM \ Security \ Cache na kliencie znajdziesz jakiś skrót (lub skrót hash, lub „weryfikator” lub jakkolwiek chcesz to nazwać). Ale nie sądzę, że istnieje jakiś możliwy sposób na atak hasha na dysku. Nie jest to ten sam stary typ skrótu NTLM, który można zaatakować.
źródło