Gerente de cuentas de seguridad

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 28 de diciembre de 2015; las comprobaciones requieren 2 ediciones .

SAM ( Administrador de cuentas de seguridad en inglés  ) Administrador de cuentas de seguridad : servidor RPC de Windows que opera la base de datos de cuentas.

SAM realiza las siguientes tareas:

• Identificación de sujetos (traducción de nombres a identificadores (SID) y viceversa);
• Verificación de contraseña, autorización (participa en el proceso de inicio de sesión del usuario en el sistema);
• Almacena estadísticas (hora del último inicio de sesión, número de inicios de sesión, número de entradas de contraseña incorrectas);
• Almacena y hace cumplir la configuración de la política de la cuenta (política de contraseñas y política de bloqueo de cuentas);
• Almacena la estructura lógica de agrupación de cuentas (por grupos, dominios, alias);
• Controla el acceso a la base de datos de cuentas;
• Proporciona una interfaz de programación para administrar la base de datos de cuentas.

La base de datos SAM se almacena en el registro (en la clave HKEY_LOCAL_MACHINE\SAM\SAM), cuyo acceso está denegado por defecto incluso a los administradores.

El servidor SAM se implementa como una DLL llamada samsrv.dll cargada por lsass.exe. La interfaz de programación para el acceso del cliente al servidor se implementa como funciones contenidas en la DLL samlib.dll.

Historia

Windows NT 4 no usó cifrado para los valores hash de contraseña NTLM almacenados en el SAM . Asimismo, por compatibilidad con versiones anteriores de Windows , se dejó soporte para el protocolo LM . El cifrado que se usaba entonces en la base de datos SAM era tan débil que las contraseñas se extraían del sistema con las herramientas de piratería más simples.

La situación mejoró con el lanzamiento del Service Pack 3 para Windows NT 4 . A partir de esta versión, se comenzó a utilizar un cifrado fuerte Syskey de 128 bits en la base de datos SAM para proteger los hash de contraseñas. Si en NT4 SP3 el usuario tuvo que habilitar Syskey por su cuenta (usando el comando syskey en la consola), entonces ya en Windows 2000 / XP este cifrado está habilitado de forma predeterminada.

El mecanismo Syskey dificulta el descifrado de la base de datos SAM que contiene los hashes LM y NTLM de las contraseñas de los usuarios, ya que ahora se almacenan en forma cifrada. Y sin una clave de cifrado, la piratería requerirá muchos recursos informáticos.

Desafortunadamente, de forma predeterminada, la clave de cifrado Syskey se almacena en la rama SISTEMA del registro y se proporciona automáticamente en el momento del arranque. Por lo tanto, para descifrar hashes, no solo se requiere el archivo SAM, sino también el archivo SYSTEM, que almacena la clave de cifrado.

Además, son posibles otros modos de funcionamiento del mecanismo Syskey :

Modo 1. La clave se almacena en el registro y se proporciona automáticamente en el momento del arranque.

Modo 2. La clave se almacena en el registro, pero se bloquea con una contraseña que se debe ingresar en el momento del arranque.

Modo 3. La clave se almacena en un disco extraíble, que debe proporcionarse en el momento del arranque.

El uso de los modos 2 y 3 hace que el sistema Windows sea más seguro. evita que un pirata informático extraiga hash de contraseñas al obtener acceso físico a una computadora apagada.

Véase también

• volcado

Literatura

1. Alex Atsctoy. El tutorial del hacker: una guía ilustrada detallada. - M.: Mejores libros, 2005. ISBN 5-93673-036-0