Как узнать пароль windows

Как показать пароль администратора с помощью CMD в Windows 10/8/7

По умолчанию на предыдущем компьютере с Windows есть невидимая учетная запись администратора. Если вы хотите внести изменения на компьютере с Windows, которые могут повлиять на других пользователей этого компьютера, вам необходимо указать соответствующую учетную запись администратора и пароль. Если вы забыли пароль локального администратора Windows, вы можете используйте CMD, чтобы показать пароль администратора в Windows 10/8/7.

Введя определенные командные строки, вы можете успешно получить информацию об учетной записи администратора. Или вы можете просмотреть и сбросить пароль учетной записи администратора Windows с помощью стороннего программного обеспечения. Как бы то ни было, здесь вы можете показать и взломать пароль администратора с CMD или без него.

• Часть 1: Как сбросить пароль администратора Windows
• Часть 2: Как получить права администратора с помощью CMD
• Часть 3. Часто задаваемые вопросы об отображении пароля администратора

Часть 1: Лучшее программное обеспечение для сброса пароля администратора Windows

Если вы хотите просмотреть и установить новый пароль для своей учетной записи администратора Windows, imyPass сброс пароля Windows может быть вашим первым выбором. Вы можете сбросить пароль администратора Windows и стандартный пароль учетной записи пользователя без потери данных. Нет необходимости вводить сложные команды для сброса пароля администратора Windows. Просто щелкните несколько параметров на экране, чтобы с легкостью сбросить пароль администратора Windows 10.

4 000 000+ загрузок

Найти, удалить и сбросить пароль администратора Windows без командной строки.

Взломайте пароль администратора Windows и пароль для входа, сохранив при этом локальные файлы.

Создайте новую учетную запись администратора, не вводя предыдущий пароль.

Создайте загрузочный CD/DVD/USB-накопитель, чтобы разблокировать компьютер и сбросить пароль Windows.

Взломайте пароль администратора на компьютерах и ноутбуках Dell, HP, IBM, Sony, Lenovo, Acer и многих других марок.

Шаг 1Бесплатно загрузите, установите и запустите инструмент сброса пароля администратора Windows на обычном компьютере. Создайте диск сброса пароля с помощью Создать CD/DVD для сброса пароля а также Создать флешку для сброса пароля варианты, которые основаны на вашем плане покупки. Шаг 2Перезагрузите компьютер с заблокированной учетной записью администратора. Тем временем нажмите F12 или же ESC на клавиатуре во время перезагрузки компьютера. Когда вы входите в Меню загрузки , используйте клавиши со стрелками вверх и вниз, чтобы выбрать вставленный диск или дисковод. Нажимать Войти чтобы сохранить изменения. Ваш компьютер с Windows немедленно перезагрузится. Шаг 3Выберите Windows в качестве операционной системы для сброса пароля администратора Windows. Выберите, какую учетную запись администратора и пароль вы хотите взломать. Шаг 4Нажмите Сброс пароля снизу. В появившемся окне нажмите Да подтвердить. В результате ваш текущий пароль администратора Windows будет удален. Вы можете вносить изменения непосредственно в настройки Windows. Шаг 5Если вы хотите просмотреть пароль администратора Windows 10/8/7, вы можете нажать Добавить пользователя для создания новой учетной записи администратора в Windows. Введите новое имя пользователя и пароль администратора. Наконец, нажмите ХОРОШО с последующим Перезагрузить чтобы войти в заблокированный компьютер с новой учетной записью администратора.

Часть 2: Как получить права администратора с помощью CMD

Невозможно напрямую показать пароль администратора и учетную запись с помощью CMD. Сначала необходимо сбросить пароль учетной записи администратора Windows по умолчанию. Позже вы можете использовать CMD для отображения текущего пароля администратора на вашем компьютере с Windows 10/8/7.

Шаг 1Из окон Начинать меню, тип CMD в строке поиска. Запустите программу от имени Администратора. Шаг 2Запустите чистый пользователь Командная строка, чтобы показать учетную запись администратора. Шаг 3нажмите Войти клавишу на клавиатуре, чтобы перейти к Командная строка администратора . Шаг 4Вы можете сразу увидеть все учетные записи и пароли Windows, включая учетные записи администратора и гостя.

• Удалить и отключить учетную запись администратора в Windows 10/8/7
• Как обойти забытый пароль администратора в Windows 10/8/7

Часть 3. Часто задаваемые вопросы об отображении пароля администратора

Какой пароль администратора Windows по умолчанию?

Такого стандартного пароля администратора Windows по умолчанию не существует. Вы можете включить встроенную учетную запись администратора в Windows и пароль вручную. Позже вы можете получить доступ ко всем разрешениям администратора Windows.

Можно ли обойти пароль администратора Windows 10?

Да. Если вы помните свой пароль администратора, вы можете успешно обойти пароль администратора Windows 10. Нажимать Окна а также р ключи, чтобы открыть Бежать диалог. Тип netplwiz и нажмите Войти на вашей клавиатуре. в Учетная запись пользователя раздел, перейдите в Пользователи вкладка Выберите свою учетную запись администратора Windows 10. Снимите флажок перед Пользователь должен ввести имя пользователя и пароль, чтобы использовать этот компьютер . Нажмите Подать заявление подтвердить. Затем введите правильный пароль администратора для вашей учетной записи локального администратора. Нажмите ХОРОШО для сохранения изменений и выхода из окна.

Можете ли вы изменить пароль администратора из гостевой учетной записи?

Да. Вы можете загрузить и разархивировать файл CVE-2017-0213_x64 с Github. Запустите программу двойным щелчком мыши. Введите пароль сетевого пользователя USERNAME. Нажимать Войти на клавиатуре. Теперь вы можете заменить AUSERNME и ПАРОЛЬ.

Это все, что нужно показать пароль администратора с CMD или без него. Вы можете просмотреть и взломать пароль локального администратора Windows 10/8/7 с помощью сброса пароля Windows imyPass. Инструмент взлома пароля администратора Windows удобен для новичков. Если у вас все еще есть вопросы, вы можете связаться с нами.

• Обход пароля Windows 10 — сброс пароля для входа в Windows 10

• 4 простых способа изменить учетную запись администратора в Windows 10

• Учебное пособие по 5 способам получения прав администратора Windows 10

• Исправить Windows
  1. Разблокировать компьютер без пароля
  2. Исправить неработающий PIN-код Windows 10
  3. Удалить пароль Defaultuser0 в Windows
  4. Исправить Windows 10 без экрана входа в систему
• Советы по паролю
  1. Все о связке ключей Apple iCloud
  2. Изменить пароли электронной почты на iPhone
  3. Сбросить пароли связки ключей на Mac
  4. Что делать, если забыл пароль Mac
  5. Управление паролями на iPhone iPad
  6. Топ-10 бесплатных менеджеров паролей
• Пароль Windows
  1. Обойти пароль администратора Windows
  2. iSumsoft Средство восстановления пароля Windows
  3. Обойти пароль Windows 10
  4. Разблокировать ноутбук HP
  5. Обойти пароль Windows 7
  6. Бесплатные инструменты для восстановления пароля Windows
  7. Сбросить пароль Microsoft
  8. Сбросить пароль Windows 8
• Советы по Windows
  1. Удалить учетную запись администратора в Windows
  2. Сброс ноутбука Acer
  3. Получите права администратора в Windows 10
  4. Сброс настроек ноутбука ASUS
  5. Удалить пароль для входа в Windows 10
  6. Восстановление заводских настроек ноутбука Dell

Сброс пароля Windows

Сброс учетной записи администратора/пользователя Windows

[Windows 11/10] Как проверить пароль Wi-Fi на компьютере

Пожалуйста, перейдите к соответствующей инструкции, исходя из текущей операционной системы Windows на Вашем компьютере:

Способ 1: Проверить пароль Wi-Fi через Настройки Сеть и интернет

1. Подключитесь к Wi-Fi, пароль которого Вы хотите проверить, затем щелкните правой кнопкой мыши [Сеть] ① в панели задач и выберите [Открыть Параметры сети и Интернета] ② .
   
2. Выберите [Дополнительные сетевые настройки] ③
   
3. В разделе Связанные настройки выберите [Дополнительные параметры сетевого адаптера] ④ .
   
4. Выберите подключенную сеть Wi-Fi ⑤ , затем выберите [Просмотр состояния этого подключения] ⑥ .
   
5. Выберите [Свойства беспроводной сети] ⑦
   
6. На вкладке [Безопасность] в свойствах беспроводной сети ⑧ установите флажок [Показать символы] ⑨ , Вы найдете пароль Wi-Fi в поле Ключ безопасности сети.
   

Способ 2: Проверить пароль Wi-Fi через командную строку

1. Введите и найдите [Командная строка] в строке поиска Windows ① , затем нажмите [Открыть] ② .
   
2. В окне командной строки введите команду [Netsh wlan show profile name=”Wi-F name” key=clear] ③ , а затем нажмите клавишу Enter.
   Например: Netsh wlan show profile name=”WLAN2_5G2” key=clear, WLAN2_5G2 — это имя Wi-Fi, к которому в данный момент подключено.
   
3. Вы можете найти пароль Wi-Fi в поле [Key Content] в разделе Security settings ④.
   
4. Если Вы хотите проверить все пароли Wi-Fi, к которым когда-либо подключался компьютер, Вы можете использовать следующую команду. Нажмите клавишу Enter после ввода этой команды, Вы найдете пароли для каждого Wi-Fi.
   [for /f «skip=9 tokens=1,2 delims=:» %i in (‘netsh wlan show profiles’) do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear]
   

Способ 1: Проверить пароль Wi-Fi через Настройки Сеть и интернет

1. Подключитесь к Wi-Fi, пароль которого Вы хотите проверить, затем щелкните правой кнопкой мыши [Сеть] ① в панели задач и выберите [Открыть Параметры сети и Интернета] ② .
   
2. Выберите [Центр управления сетями и общим доступом] ③ в категории Расширенные настройки сети.
   
3. После входа в окно Центра управления сетями и общим доступом щелкните на подключенную сеть Wi-Fi. ④ .
   
4. Нажмите [Свойства беспроводной сети] ⑤ .
   
5. Выберите вкладку [Безопасность] ⑥ , а затем установите флажок [Показать символы] ⑦ , Вы найдете пароль Wi-Fi в поле Ключ безопасности сети.
   

Способ 2: Проверить пароль Wi-Fi через командную строку

1. Введите и выполните поиск [Командная строка] в строке поиска Windows ①, затем щелкните [Открыть] ②.
   
2. В окне командной строки введите команду [Netsh wlan show profile name = ”Wi-F name” key = clear] ③, а затем нажмите клавишу Enter.
   Например: Netsh wlan show profile name = «ASUS» key = clear, ASUS — это имя Wi-Fi, которое было подключено в данный момент.
   
3. Вы можете найти пароль Wi-Fi в поле [Key Content] в разделе Security settings ④.
   
4. Если Вы хотите проверить все пароли Wi-Fi, к которым когда-либо подключался компьютер, вы можете использовать следующую команду. Нажмите клавишу Enter после ввода этой команды, вы найдете пароли для каждого Wi-Fi.
   [for /f «skip=9 tokens=1,2 delims=:» %i in (‘netsh wlan show profiles’) do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear]
   

Поиск пароля сети Wi-Fi в Windows

Если вы забыли пароль к сети Wi-Fi, его можно найти, если у вас есть другой компьютер с Windows, уже подключенный к сети Wi-Fi. Затем вы сможете использовать его на другом компьютере или устройстве для подключения к сети Wi-Fi.

Для этого нажмите кнопку Пуск , а затем выберите Параметры > Сеть & Интернет > Свойства > Просмотреть ключ безопасности Wi-Fi.

Примечание: Вы также можете просмотреть пароль сохраненных сетей на странице Управление известными сетями , выбрав любую сеть, а затем просмотр ключа безопасности Wi-Fi.

На другом компьютере или устройстве с Windows подключитесь к сети Wi-Fi как обычно и введите пароль при появлении соответствующего запроса. Дополнительные сведения о подключении к Wi-Fi см. в статье Подключение к Wi-Fi сети в Windows.

Если вы забыли пароль к сети Wi-Fi, его можно найти, если у вас есть другой компьютер с Windows, уже подключенный к сети Wi-Fi. Затем вы сможете использовать его на другом компьютере или устройстве для подключения к сети Wi-Fi. Вот как это сделать:

1. Нажмите кнопку Пуск , а затем выберите Параметры >Сеть & Internet >Состояние >Центр управления сетями и общим доступом.
2. В центре управления сетями и общим доступом рядом с полем Подключения выберите имя Wi-Fi сети.
3. В разделе Состояние Wi-Fi выберите Свойства беспроводной сети.
4. В разделе Свойства беспроводной сети перейдите на вкладку Безопасность, а затем выберите поле Показать символы проверка.
   Пароль Wi-Fi сети отображается в поле Ключ безопасности сети .

На другом компьютере или устройстве с Windows подключитесь к сети Wi-Fi как обычно и введите пароль при появлении соответствующего запроса. Дополнительные сведения о подключении к Wi-Fi см. в статье Подключение к Wi-Fi сети в Windows.

Если вы забыли пароль к сети Wi-Fi, его можно найти, если у вас есть другой компьютер с Windows, уже подключенный к сети Wi-Fi. Затем вы сможете использовать его на другом компьютере или устройстве для подключения к сети Wi-Fi.

1. Выполните поиск по запросу Сеть , а затем выберите Центр управления сетями и общим доступом в списке результатов.
2. В центре управления сетями и общим доступом рядом с полем Подключения выберите имя Wi-Fi сети.
3. В разделе Состояние Wi-Fi выберите Свойства беспроводной сети.
4. В разделе Свойства беспроводной сети перейдите на вкладку Безопасность, а затем выберите поле Показать символы проверка.
   Пароль Wi-Fi сети отображается в поле Ключ безопасности сети .

На другом компьютере или устройстве с Windows подключитесь к сети Wi-Fi как обычно и введите пароль при появлении соответствующего запроса. Дополнительные сведения о подключении к Wi-Fi см. в статье Подключение к Wi-Fi сети в Windows.

Извлекаем пароли пользователей из памяти Windows с помощью Mimikatz

18.05.2021

itpro

Windows 10, Windows Server 2016, Безопасность

комментария 33

В этой статье, написанной в рамках серии статьей, посвященной обеспечению безопасности Windows-систем, мы познакомимся с достаточно простой методикой получения паролей пользователей Windows с помощью Open Source утилиты Mimikatz.

Программа mimikatz позволяет извлечь из памяти Windows пароли в виде простого текста, хэши паролей, билеты kerberos из памяти и т.д. Также mimikatz позволяет выполнить атаки pass-the-hash, pass-the-ticket или генерировать Golden тикеты. Функционал mimikatz доступен также через Metasploit Framework.

Скачать утилиту mimikatz можно c GitHub: https://github.com/gentilkiwi/mimikatz/releases/. Распакуйте архив mimikatz_trunk.zip в каталог C:\Tools\mimikatz. В этом каталоге появятся две версии mimikatz – для x64 и x86. Используйте версию для своей битности Windows.

В этой статье мы покажем, как получить пароли пользователей в Windows Server 2016 или Windows с помощью mimikatz.

Дисклаймер. Информация и технологии, описанные в данной статье, стоит использовать только в информационно-ознакомительных целях, и ни в коем случае не применять для получения доступа к учетным записям, информации и системам третьих лиц.

Извлекаем хэши паролей пользователей из памяти Windows

Попробуем извлечь хэши паролей всех залогиненых пользователей из памяти Windows (процесса lsass.exe — Local Security Authority Subsystem Service) на RDS сервере с Windows Server 2016.

1. Запустите Mimikatz.exe с правами администратора;
2. В контексте утилиты выполните команды: mimikatz # privilege::debug
   Данная команда предоставит текущей учетной записи права отладки процессов (SeDebugPrivilege).
3. mimikatz # sekurlsa::logonPasswords full
   Данная команда вернет довольно большой список. Найдите в нем учетные записи пользователей.
4. В моем случае на сервере кроме моей учетной записи есть активные сессии двух пользователей: anovach и administrator.

anovach (NTLM: 79acff649b7a3076b1cb6a50b8758ca8) Administrator (NTLM: e19ccf75ee54e06b06a5907af13cef42)

Можно использовать mimikatz не в интерактивном, а в командном режиме. Чтобы автоматически получить хэши паролей пользователей и экспортировать в текстовый файл, выполните команды:
mimikatz.exe «privilege::debug» «sekurlsa::logonpasswords» «exit» >> c:\tools\mimikatz\output.txt

Теперь можно воспользоваться любым офлайн (есть утилита hashcat в Kali Linux) или онлайн сервисом по расшифровке NTLM хэшей. Я воспользуюсь сервисом https://crackstation.net/

Как вы видите, сервис быстро нашел значения для этих NTLM хэшей. Т.е. мы получили пароли пользователей в открытом виде (представьте, что один из них это администратор домена….).

Если вы используете более сложные пароли, расшифровать их будет намного сложнее. Поэтому всегда включаете повышенную сложность в политике паролей Windows и выполняйте аудит надежности паролей в домене.

Как вы видите, благодаря mimikatz мы получили NTLM хеши всех активных пользователей! Все это благодаря тому, что на данном компьютере разрешено использовать режим отладки, выставляя флаг SeDebugPrivilege для нужного процесса. В этом режиме программы могут получать низкоуровневый доступ к памяти процессов, запущенных от имени системы.

Примечание. В июне 2017 года многие крупные компании России, Украины и других стран были заражены вирусом-шифровальщиком not-petya, которые для сбора паролей пользователей и администраторов домена использовал в том числе интегрированный модуль mimikatz.

Получение хешей паролей пользователей из дампа памяти Windows

Рассмотренная выше методика получения хэшей пароля не сработает, если на сервере установлен антивирус, блокирующего инъекцию. В этом случае придется сначала создать дамп памяти процесса LSASS на целевом сервере, и затем на другом компьютере с помощью mimikatz извлечь из него хэши пароли для сессий пользователей.

Создать дамп памяти процесса в Windows довольно просто. Запустите Task Manager, найдите процесс lsass.exe, щелкните по нему правой клавишей и выберите Create dump file.

Windows сохраните дам памяти в указанную папку.

Вам осталось только разобрать дамп с помощью mimikatz (можно на другом компьютере). Загрузите дамп памяти в mimikatz:

Mimikatz “sekurlsa::minidump C:\Users\anovach\AppData\Local\Temp\lsass.DMP”

Вывести информацию о пользователях, и хэшах их паролей из сохраненного дампа памяти:

Вы можете получить дамп памяти с удаленного компьютера с помощью psexec, или через WinRM (при наличии прав администратора), и затем из него пароли пользователей.

Также для получения дампа можно использовать утилиту procdump от Sysinterals.

procdump -ma lsass.exe lsass.dmp

Дамп памяти для процесса LSASS можно получить с помощью PowerShell функции Out-Minidump.ps1 . Импортируйте функцию Out-Minidump в PoSh и создайте дамп памяти процесса LSASS:

Import-Module .\OutMiniDump.ps1
Get-Process lsass | Out-Minidump

Получение паролей пользователей из файлов виртуальных машины и файлов гибернации

Также возможно извлечь пароли пользователей из файлов дампов памяти, файлов гибернации системы (hiberfil.sys) и. vmem файлов виртуальных машин (файлы подкачки виртуальных машин и их снапшоты).

Для этого понадобится пакет Debugging Tool for Windows (WinDbg), сам mimikatz и утилита преобразования .vmem в файл дампа памяти (для Hyper-V это может быть vm2dmp.exe или MoonSols Windows Memory toolkit для vmem файлов VMWare).

Например, чтобы преобразовать файл подкачки vmem виртуальной машины VMWare в дамп, выполните команду:

bin2dmp.exe «winsrv2008r2.vmem» vmware.dmp

Полученный дамп откройте в WinDbg (File -> Open Crash Dump). Загрузите библиотеку mimikatz с именем mimilib.dll (используйте версию библиотеки в зависимости от разрядности Windows):

Найдите в дампе процесс lsass.exe:

!process 0 0 lsass.exe

И наконец, выполните:

.process /r /p fffffa800e0b3b30
!mimikatz

В результате вы получите список пользователей Windows, и NTLM хэши их паролей, или даже пароли в открытом виде.

Как узнать пароли пользователей Windows в открытом виде через протокол WDigest?

В старых версиях Windows по умолчанию разрешалась дайджест-аутентификации (HTTP Digest Authentication) с помощью протокола WDigest. Основной недостаток этого протокола – для корректной работы он использует пароль пользователя в открытом виде, а не виде его хэша. Mimikatz позволяет извлечь эти пароли из памяти процесса LSASS.EXE.

Протокол WDigest по-умолчанию отключен во всех новых версиях Windows, в том числе Windows 10 и Windows Server 2016. Но не удален окончательно. Если у вас есть права администратора в Windows, вы можете включить протокол WDiget, дождаться входа пользователей и получить их пароли.

Включите поддержку Wdigest:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1

Дождитесь входа пользователей (в Windows 10 нужно пользователю нужно перезайти, в Windows Server 2016 достаточно разблокировать сессию после блокировки экрана) и получите их пароли через mimikatz:

Как вы видите, в секции wdigest содержится пароль пользователя в открытом виде:

Извлекаем пароли локальных пользователей Windows из SAM

С помощью mimikatz вы можете извлечь хэши паролей локальных пользователей Windows из SAM так:

Также можно извлечь NTLM хэши SAM из реестра.

1. Экспортируйте содержимое веток реестра SYSTEM и SAM в файлы: reg save hklm\sam c:\tmp\sam.hiv
   reg save hklm\security c:\tmp\sec.hiv
2. Затем с помощью Mimikatz извлеките хэши паролей: privilege::debug
   token::elevate
   lsadump::sam c:\tmp\sam.hiv c:\tmp\sec.hiv

Использование Mimikatz в pass-the-hash атаках

Если у пользователя используется достаточно сложный пароль, и получить его быстро не удается, можно использовать Mimikatz для атаки pass-the-hash (повторное использование хэша). В этом случае хэш может использовать для запуска процессов от имени пользователя. Например, получив NTLM хэш пароля пользователя, следующая команда запустит командную строку от имени привилегированного аккаунта:

privilege::debug
sekurlsa::pth /user:Administrator /domain:srv01 /ntlm:e19ccf75ee54e06b06a5907af13cef42 /run:powershell.exe

Также для использования NTLM хэша для выполнения команд на удаленных компьютерах можно использовать утилиту Invoke-TheHash. Позволяет также

Просмотр сохраненных паролей в Windows

В Windows вы можете сохранять пароли в Windows Credential Manager (это могут быть пароли для доступа к удаленным компьютерам, сайтам, пароли для RDP подключений в формате TERMSRV/server1). Mimikatz может извлечь эти пароли из Credential Manager и показать их вам:

Как вы видите, сохраненый пароль показан в секции credman.

Пароли для автоматического входа в Windows хранятся в реестре в открытом виде. Также просто извлечь сохраненные Wi-Fi пароли.

Дампим пароли при входе в Windows

Еще один интересный способ дампа паролей в Windows заключается в использовании дополнительно SSP провайдера (Security Support Provider).

1. Скопируйте файл библиотеки Mimikatz mimilib.dll в папку C:\Windows\System32\.
2. Зарегистрируйте дополнительного провайдер командой: reg add «hklm\system\currentcontrolset\control\lsa» /v «Security Packages» /d «kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib» /t REG_MULTI_SZ
3. При входе каждого пользователя в Windows его пароль будет записываться в файл kiwissp.log. Можно вывести все пароли через PowerShell:
   Get-Content C:\Windows\System32\kiwissp.log

Как защитить Windows от извлечения паролей из памяти?

В Windows 8.1 и Server 2012 R2 (и выше) возможности по извлечению паролей через LSASS несколько ограничены. Так, по-умолчанию в этих системах в памяти не хранятся LM хэш и пароли в открытом виде. Этот же функционал бэкпортирован и на более ранние версии Windows (7/8/2008R2/2012), в которых нужно установить специальное обновление KB2871997 (обновление дает и другие возможности усилить безопасность системы) и отключить WDigest в реестре (в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest установить параметр DWORD реестра UseLogonCredential равным 0).

Если после установки обновления и ключа UseLogonCredential попробовать извлечь пароли из памяти, вы увидите, что mimikatz с помощью команды creds_wdigest не сможет извлечь пароли и хэши.

Выше мы показывали, как при наличии прав администратора можно легко установить этот ключ в уязвимое значение. После этого вы опять сможете получить доступ к паролям в памяти LSA.

В инструментарии mimikatz есть и другие инструменты получения паролей и их хэшей из памяти (WDigest, LM-hash, NTLM-hash, модуль для захвата билетов Kerberos), поэтому в качестве рекомендаций рекомендуется реализовать следующие меры:

• Запретить хранить пароли с использование обратимого шифрования (Reversible Encryption);
• Отключите Wdiget;
• Отключить NTLM
• Запретить использование сохранённых паролей в Credential Manager
• Запретить кэшировать учетные данные доменных пользователей (ключ CachedLogonsCount и политика Interactive logon: Number of previous logons to cache)
• Если функциональный уровень домена не ниже Windows Server 2012 R2, можно добавить учетные записи администраторов в специальную группу Protected Users ote. В этом случае NTLM хэши для таких пользователей создаваться не будут.
• Включите защиту LSA процесса (данный параметр разрешит доступ к LSASS памяти только процессам, подписанным Microsoft): reg add «HKLM\SYSTEM\CurrentControlSet\Control\Lsa» /v RunAsPPL /t REG_DWORD /d 00000001 /f . Можно распространить этот параметр реестра на компьютеры через GPO.
• Используйте Credential Guard для защиты содержимого LSA процесса;
• Запретите получение debug полномочий даже для администраторов (GPO: Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> Debug programs). Впрочем, это легко обходится при наличии прав SYSTEM или так.

Совет. Подробная статья о способах защите памяти Windows систем от извлечения паролей и хэшей — Методы защиты от mimikatz в домене Windows.

Выводы. Еще раз напоминаем прописные истины:

• Не стоит использовать одинаковые пароли для разных сервисов (особенно RDP/RDS хостов, находящихся во владении третьих лиц);
• Задумайтесь о безопасности ваших паролей и данных, находящихся на виртуальных машинах в облаках, ведь вы не можете быть уверенными в том, у кого еще имеется доступ к гипервизорам и хранилищу, на котором расположены файлы виртуальных машины;
• Минимизируйте в своих системах количество учетных записей, обладающих правами локального администратора (см. гайд об организации защиты учетных записей администраторов в среде Windows);
• Никогда не заходите с учетной записью администратора домена на сервера и компьютеры, доступные другим пользователям.

Предыдущая статья Следующая статья

Похожие публикации:

1. Sony wh ch500 как подключить к телефону
2. Идентификатор эдо что это такое
3. Как включить менеджер паролей в яндекс браузере
4. Как добавить фото в для вас