深入分析Windows密碼管理機制

筆者管理的單位局域網中有上百臺電腦，各臺主機所安裝的系統不盡相同。在服務器上安裝的是Windows 2003/2008系統，在客戶機安裝的有Windows XP、Windows 7/8、Vista等系統。單位員工操作電腦的水平參差不齊，往往會遇到各種類型的問題。對于有些比較馬虎的用戶，免不了碰到丟三落四的情況。

比如，幾天前某位員工更改了登錄密碼，并對一些文件進行了EFS加密處理，然后就去出差了。回來之后卻怎么也想不起密碼來，造成無法登錄系統的窘況。筆者考慮到雖然可以使用Win PE U盤引導系統，利用其內置的工具清除密碼，但是這會造成EFS加密的文件無法打開的問題。看來，最好的辦法就是將正確的密碼找回來，這樣問題就會迎刃而解。

Windows的密碼存儲機制分析

要想找回遺忘的密碼，就必須先了解Windows的密碼管理機制。在所有的Windows版本中，每個用戶都有唯一的帳號和與之關聯的登錄密碼，用戶使用自己的帳號密碼才能進入系統。

登錄密碼由字符、數字和各種符號組成。當用戶設置或改變登錄密碼時，Windows并不單純的存儲這些字符串，Windows使 用 DES、MD4等加密算法對密碼字符串進行加密形成LM Hash（LAN Manager Hash）散列和NTLM Hash（Windows NT Hash）散列。其中LM Hash散列相對于NTLM Hash散列而言比較脆弱，主要用于與老版本的Windows兼容。現在新版本的Windows又提供了NTLM v2以及Kerberos密碼驗證技術。

Windows將這些Hash散列值存儲在本地安全帳戶數據庫中（Security A c c o u n t s M a n a g e r Database，簡稱 SAM），對于Windows2003/2008等域控制器而言，密碼Hash散列值保存在活動目錄（Active Directory）中。對于NTLM Hash散列來說是不可逆的，也就是說不可能根據散列值直接得到登錄密碼。

但是，只要得到了LM Hash散列或NTLM Hash散列，利用窮舉法或者利用字典法，測試所有可能的密碼值，仍可能找回遺忘的密碼。Windows的密碼Hash在默認情況下通常由兩部分組成，第一部分是LM-Hash，第二部分是NTLM-Hash。下面我們簡單談談兩種Hash的設生成機制。

圖1 選擇身份驗證級別

LM和NTML密碼散列的生成原理

系統需要將密碼變為LM-Hash時，先將密碼（假設為“Password”）轉換為大寫狀態，并將其轉換為十六進制數據，如果其長度小于14就在后面補零，使其長度變為14位。然后系統將其切割成兩組長度為7字節的數據，經過函數Str_To_Key（）處理得到兩組8字節數據。接著將這兩部分數據作為DESKEY，對魔術字符（“KGS！@#$%”）進行標準DES加密，最后將加密后的兩組數據進行簡單拼接得到所需的LMHash散列。

從以上分析中不難看出，其弱點有三個，其一，因為其采用了大寫轉換方式，會導致多個明文口令對應一個LM-Hash，其二，當密碼長度小于8字節時，會執行補零操作，然后執行加密，這會降低其安全性，導致破解難度降低。其三，因為DES算法輸入可逆算法，造成密碼存在破譯的風險。

而NTLM-Hash與之相比，安全性就大大提高了。假設密碼為“hellopwd”，系統現將其轉換為Unicode字符串，而不需要進行補零操作。之后對該Unicode串進行標準的MD4加密處理，不管數據源長度如何，MD4加密會固定產生128位哈希值，其長度為16字節，這就是最終的MTLM-Hash散列。NTLM-Hash對密碼大小寫敏感，而且MD4加密真正的單向哈希函數，無法進行直接逆向破解，安全性得到了可靠保障。

但是，微軟雖然強調了NTLM-Hash的安全性，卻回避了一個安全問題，那就是為了保證Windows不同版本的兼容性，NTLM-Hash默認總是和LM-Hash一起使用，這就會造成對系統安全造成損害。因為解密者可能首先利用LM-Hash的弱點，通過窮舉法得到原始密碼的大小寫不敏感版本，再利用NTLMHash修正出原始密碼的大小寫敏感版本，進而得到真實的密碼。

禁用LM散列，提高密碼安全性

說到這里，我們就會想到，如果能夠阻止Windows存儲LM-Hash密碼散列，僅僅存儲安全性很高的NTLMHash散列，不就可以有效提高密碼的安全性了？

具體實現方法是運行“gpedit.msc”程序，在組策略窗口左側點擊“計算機配置→Windows設置→安全設置→本地策略→安全選項”分支，在右側窗口中雙擊“網絡安全：不要再下次更改密碼時存儲LAN Manager的哈希值”項，在彈出的窗口中選擇“已啟動”項，保存后退出。

圖2 PPA使用界面

之后雙擊“網絡安全：LAN Manager身份驗證級別”項，在彈出窗口（如圖1）中的列表中盡量選擇“僅發送NTLM響應”、“僅發送 NTLM2響應”、“僅發送NTLM2響應，拒絕LM”項來提供安全性，選擇的NTLM版本越高，安全性也越高。如果選擇“僅發送NTLM2響應。拒絕LM和NTLM”項，則密碼的驗證安全性最高。然后重啟系統后就實現了上述要求。此外，最簡單的方法是設置長度最少為15位的密碼，讓系統自動存儲無法用于驗證用戶身份的LM-Hasm值，也可以實現異曲同工的目的。當然，為了防止破解者使用SAMinside這款工具來獲取Hash值，最好禁用“Task Schduler”服務讓破譯者無功而返。

如何有效找回失落的密碼

和Windows XP/2003中的密碼存儲機制來說，在Windows7/8/2008等較新的系統中，微軟采用了更大安全的密碼存儲機制。

例如，在Windows 2008中，不僅禁用了LM Hash散列，而且不允許使用簡單密碼，這 導 致 了SAMinside、LC5、Cain等 工 具 不 是 無法運行，就是面對復雜的密碼無計可施。那么，如何才能從這些系統中找回遺忘的密碼呢？這就需要使用Proactive Password Auditor（PPA）、Ophcrack 等更加高級的工具了。

例如，PPA這款軟件提供了多種密碼破譯機制。在其主窗口打開“Hashes”面板，可以看到預設了DUMP file、Registry of Local Computer，Registry Files(SAM，SYSTEM)、Memory of Local Computer、Memory of Remote Computer等5種得到Windows密碼Hash散列數據的方法。我們這里需要針對SAM文件進行破譯。如果Windows系統沒有使用活動目錄的話，那么所有用戶的帳號以及密碼信息都保存在注冊表中。即使用戶使用了Syskey命令對帳號數據庫進行了加密，PPA都能夠從注冊表中分析帳號及密碼信息，從而得到密碼的Hash散列值。

在Hashes面板中選擇“Registry of Local Computer”項，點擊“Dump”按鈕，在彈出窗口中的SAM Registry” 欄 中 點擊“Browse”按鈕，選擇事先 取 得 的 Vista、Windows 7/8/2008等系統的SAM文件，勾選“File name of the SYSTEM Registry file”項，點擊“Browse”按鈕，選擇事先取得的SYSTEM文件。點擊“DUMP”按鈕，PPA根據對SAM的分析，并嘗試進行簡單破解，然后將帳號以密碼的詳細信息顯示出來。同時，會顯示所有賬戶的基本信息，例如名稱、賬戶ID、散列類型等（如圖2所示）。

對于簡單的密碼，PPA能迅速破譯，如果密碼比較復雜，PPA還提供了窮舉法、字典猜測法、Rainbow彩虹表算法等破解方法。

以窮舉法為例，首先在PPA的用戶帳號分析列表中選中一個賬戶名，根據其密碼Hash散列的類型（例如LM＋ NTLM），在 Attack面板中選 中“Brute-force”，同 時設定破解的類型（LM Attack或 NTLM Attack）。 然 后 選中“Brute-force Attack”面板，根據需要勾選“All Latin”（所有的字符）、“All Digits”（所 有 的 數 字）、“Special”（特殊符號），或者勾選“Custom charset”（自定義字符），點擊“Define”按鈕在自定義字符窗口中輸入任意字符串即可。在Password中設置密碼的最小和最大長度。設置完成后，點擊菜單“Recovery→Start Recovery”項，PPA就 可 以進行密碼分析操作，PPA的效率很高，普通的密碼很快就會被猜解出來了。點擊 菜 單“Recovery→Stop Recovery”停止破譯。

為了提高破譯的速度，可以借助于彩虹表進行操作。所謂彩虹表，其實就是體積龐大的，針對各種可能的密碼組合預設的HASH值的集合。彩虹表針對各種加密算法都提供對應的文件。對于簡單的彩虹表來說，體積只有幾十兆或幾百兆。對于大型的彩虹表來說，體積可能高達上百GB。

有了彩虹表，PPA可以快速的進行HASH值比對，來找到真實的密碼。對于不太復雜的密碼，使用彩虹表可以瞬間破譯，即使對于我們自己覺得很復雜的密碼，在彩虹表面前，破譯所花費的時間不過幾十秒而已。在PPA主 界 面 中 的“Attack”欄中選擇“Rainbow”項，在“Rainbow attack”面板中點擊“Rainbow tables list”按鈕，在彩虹表管理窗口中點擊“Add”按鈕，導入事先準備好的彩虹表文件，彩虹表文件的后綴一般為“.rc”。對于一般的密碼破譯來說，使用免費版的彩虹表足矣。添加好彩虹表文件后，在PPA中選擇目標賬戶，點擊菜單“Recovery→Start Recovery”項，就可以快速找回失落的密碼了。

此外，使用Ophcrack這款解密軟件，配之以彩虹表這一強大的密碼字典，也可以快速找回丟失的Windows密碼。