Раньше получить доступ к системе Windows было несложно: достаточно было лишь извлечь хэши NT из локальной базы данных и запустить атаку, которая на данных NTLM работала очень быстро. В последние годы Microsoft всё дальше отходит от традиционных механизмов аутентификации, используя более стойкие альтернативы. Microsoft активно отучает пользователей от локальных учётных записей, продвигая облачные идентификаторы (например, учётные записи Microsoft для частных лиц) и модели безопасности, завязанные на аппаратные средства защиты (например, вход через Windows Hello).

В этой статье мы рассмотрим четыре основных варианта входа в современных версиях Windows: локальные учётные записи, ставшие стандартом учётные записи Microsoft, традиционные среды Active Directory и облачные конфигурации Entra ID. Мы подробно разберём, как с помощью Elcomsoft System Recovery можно восстановить доступ к учётным записям разных типов. Поскольку само понятие «восстановления пароля» теперь зависит от типа учётной записи, мы покажем, какие именно данные нужно использовать для атаки, что можно, а что нельзя восстановить с помощью атаки на локальном компьютере.

Локальные учётные записи Windows (NTLM)

Локальные учётные записи Windows до сих пор можно использовать во всех редакциях Windows, хотя не в каждой редакции их можно выбрать в процессе начальной настройки. Microsoft активно скрывает эту опцию при установке Windows 11, чтобы перевести как можно больше пользователей на облачные профили. На практике эксперты постоянно сталкиваются с такими учётными записями. Их можно найти на старых системах, автономных рабочих станциях или компьютерах, где пользователи специально обошли настройки по умолчанию.

Такие учётные записи полностью автономны; они не синхронизируются с облаком, а сами учётные данные хранятся на локальном накопителе. Операционная система вычисляет и сохраняет эти пароли в виде хэшей NTLM непосредственно в кусте реестра диспетчера учётных записей безопасности (SAM).

Для эксперта-криминалиста это по-прежнему самый простой сценарий. Для восстановления пароля нужно извлечь кусты реестра SAM и SYSTEM с целевого диска. Как только вы достали хэши NTLM из реестра, пароли можно достаточно быстро перебирать с помощью словарных атак или даже полного перебора на стандартных видеокартах.

Учётные записи Microsoft (MSA), вход без пароля и Windows Hello

Учётные записи Microsoft (MSA) — современный стандарт для обычных пользователей. Она привязывает локальный доступ к компьютеру к онлайновой учётной записи Microsoft. Скомпрометированный на локальном компьютере пароль откроет доступ ко всему содержимому учётной записи включая пароли из браузера Edge, синхронизированные данные OneDrive и даже ключи восстановления доступа BitLocker. Аутентификация возможна одним из двух способов: через обычный пароль или вход без пароля — с использованием PIN-кода и (опционально) биометрических датчиков Windows Hello.

Принято считать, что для входа в систему Windows просто кэширует традиционный хэш NTLM от облачной учётной записи. Это не вполне так, и на компьютере пользователя хэш пароля не хранится. Вместо него система формирует так называемый «протектор», который и защищает учётную запись. Windows хранит детали этого протектора локально и шифрует их как паролем учётной записи Microsoft, так и аппаратными данными (если используется PIN-код или биометрика) в зависимости от настроек учётной записи. Здесь используется более стойкое шифрование по сравнению с NTLM, и перебор паролей существенно более медленный. С точки зрения эксперта извлекать из системы нужно именно локальный протектор, а не на отсутствующий в системе хэш NTLM.

Кроме того, Microsoft активно продвигает варианты для входа без пароля с использованием подсистемы Windows Hello. Этот метод опирается на ПИН-код или биометрию (ИК-камеру или сканер отпечатков пальцев). В этом сценарии используются данные, полученные от устройства, привязанного к модулю TPM, и именно этими данными будет зашифрован локальный протектор. Если в системе отключена возможность входа по паролю (оставлена только аутентификация через Windows Hello), офлайновый перебор паролей становится невозможным.

Интересен случай с Windows 10, который мы подробно описывали в статье Windows 11: TPM, новый тип учётных записей и логин без пароля. Если на компьютере с Windows 10 модуль TPM отсутствует или не настроен, то PIN-код Windows Hello будет защищён программным способом — и его можно будет восстановить атакой. При этом определить, использует ли данная система TPM или нет, снаружи невозможно; рекомендуем использовать Elcomsoft System Recovery, чтобы проверить алгоритм шифрования протектора. Если у протектора значатся пароль учётной записи либо кэшированный ПИН-код, можно начинать офлайн-атаку. Если протектор исключительно аппаратный, атака невозможна.

Elcomsoft System Recovery и MSA

На этапе анализа протекторов можно использовать Elcomsoft System Recovery, который автоматически анализирует системную базу данных и определяет точный тип протектора. Если ESR видит, что протектор зашифрован паролем учётной записи Microsoft Account, программа предложит запустить атаку. При этом нужно учитывать ряд технических ограничений. В текущей версии продукта мы реализовали только атаку на центральном процессоре, без ускорения на GPU, в результате чего скорость перебора в сравнении с NTLM относительно невысока. Рекомендуем использовать словарные атаки, не пытаясь выполнить полный перебор.

На сегодняшний день провести такую атаку можно только с помощью последнего выпуска ESR и готовящегося к выходу Elcomsoft Quick Triage (EQT). Текущая версия Elcomsoft Distributed Password Recovery (EDPR) пока не поддерживает данный тип протекторов, но в будущих обновлениях эта поддержка запланирована.

Учётные записи Active Directory

Традиционные среды Active Directory используются в ряде корпоративных сетей. В этой архитектуре центральный контроллер домена хранит главную базу данных аутентификации (NTDS.dit), при этом рабочие станции Windows кэшируют учётные данные домена локально, что позволяет пользователям входить в систему даже при отключении от корпоративной сети. Если центральный сервер недоступен, именно этот локальный кэш позволяет восстановить пароль от учётной записи.

На уровне рабочей станции имеет смысл сфокусироваться на секретах Local Security Authority (LSA) и данных DPAPI. При успешном извлечении можно запустить быструю офлайн-атаку на эти данные.

Учётные записи Entra ID

Entra ID (ранее Azure AD) — это современный корпоративный стандарт, разработанный специально для сред с нулевым доверием (zero-trust) и поддержки удалённых сотрудников. Аутентификация в этой архитектуре в основе своей является облачной: она активно использует «Windows Hello для бизнеса» (не путать с «обычным» Windows Hello), политики условного доступа (Conditional Access) и первичные токены обновления (PRT) для проверки пользователей и управления сеансами.

В таких конфигурациях традиционные локальные хэши паролей отсутствуют. Вместо них эксперт может попытаться получить доступ обходным путём: извлекая блок защищённых данных и запуская офлайн-атаку уже на него, как будет описано ниже.

Elcomsoft System Recovery и Entra ID

Итак, рабочая станция в среде Entra ID не хранит хэш пароля в локальной системе. Тем не менее, чтобы пользователь мог входить в систему без подключения к сети, в системе хранится блок данных, защищённый стойким шифрованием. Доступ к этому блоку защищает протектор. В стандартной корпоративной сети этим протектором обычно выступает PIN-код (он защищён TPM) или аппаратный ключ безопасности FIDO. Атака на пароль возможна только в том случае, если конфигурация системы использует в качестве протектора обычный пароль. Отметим, что Microsoft рекомендует полностью отказаться от паролей, но ряд компаний не следует этой рекомендации.

Elcomsoft System Recovery поддерживает парольные атаки на этот локальный блок данных, но здесь есть несколько технических ограничений. Во-первых, и это главное, пароль можно восстановить только тогда, когда он есть — а точнее, когда пароль перечислен в качестве одного из методов защиты протектора. Если же в параметрах протектора указаны только аппаратный PIN-код или ключ FIDO, а доступ по паролю отсутствует (что и рекомендует Microsoft), то атака невозможна. Во-вторых, как и в случае с MSA, Entra ID использует стойкое шифрование, и по сравнению с NTLM атака будет заметно медленнее. Пока реализован перебор только на CPU, без аппаратного ускорения на видеокартах, поэтому атаку мы рекомендуем запускать по словарю, без полного перебора.

Наконец, в Elcomsoft Distributed Password Recovery описанный формат пока не поддерживается (мы планируем добавить его в очередном обновлении). На данный момент поддержка есть только в текущей версии ESR; она также появится будущем релизе Elcomsoft Quick Triage (EQT).