После изучения базовых принципов безопасности, давайте более подробно рассмотрим методы управления учетными записями и паролями в системах семейства Windows NT. На всех компьютерах под управлением Windows NT и не сетевых компьютерах под управлением Windows 2000 информация об именах учетных записей и паролях содержится в базе данных диспетчера системы защиты (служба SAM — Security Access Manager). Пароли хранятся в зашифрованном виде, их невозможно расшифровать, пользуясь известными методами (хотя зашифрованное значение можно подобрать, как будет показано в главе 8, "Расширение сферы влияния"). Процедура шифрования называется односторонней функцией (ОСФ) иди алгоритмом хеширования, значение хеш-функции расшифровать нельзя. В этой книге мы очень часто и очень подробно будем говорить о хеш-функциях. SAM является одним из пяти основных разделов реестра и реализуется файлом %syscemroot%sy5tem32conf igsam.

 На контроллерах доменов под управлением Windows 2000 (и более новых версиях операционной системы) имя учетной записи и хешированный пароль хранятся службой Active Directory (по умолчанию это файл %sysCemroot% tdsVntds.dit).

  Хешированные пароли хранятся в одинаковом формате, но доступ к ним осуществляется различным образом.

    SYSKEY

  При использовании NT хешированные пароли хранятся непосредственно в файле SAM. Начиная С версии NT4, пакет обновления 3. Фирма Microsoft обеспечила возможность использования еще одного уровня шифрования для хешированных паролей SAM, который называется SYSKEY. SYSKEY (сокращенное название от SYStem KEY— системный ключ),вычисляет случайный 128-разрядный ключ и этим ключом еще раз шифрует хешированные пароли (только хеш-функции, а не сам файл SAM).

  Чтобы включить шифрование SYSKEY в NT4, необходимо выполнить команду SYSKEY .

  Нажав кнопку Update а этом окне, вы получите возможность настроить другие опции SYSKEY, а именно — определить, где и как будет храниться SYSKEY. SYSKEY может храниться в одном из трех режимов.

  Хранится в реестре и предоставляется автоматически во время загрузки (настройка по умолчанию),

  Хранится в реестре, но заблокировано паролем, который необходимо ввести во время загрузки.

  Хранится на гибком диске и должно быть предоставлено во время загрузки.

  Выбор этих режимов показан на следующем рисунке.

  Как и в Windows 2000, по умолчанию в Windows Server 2003 реализован режим 1, поэтому пароли, которые хранятся в базе данных SAM или в Active Directory, хешируются и шифруются значением SYSKEY. Нет необходимости задавать эти настройки вручную в версиях операционных систем, начиная с NT4 SP3 и старше. В главах 8, "Расширение сферы влияния", и 14, "Физические атаки", будут описаны методы применения ключа SYSKEY и действия злоумышленников для обхода этого механизма защиты.