Что делать, если пользователь забыл пароль от Windows: дамп, взлом и загрузочные флешки

Включая компьютер или ноутбук, первое, что делают многие пользователи — вводят пароль для доступа к рабочему столу. Но что делать, если вы забыли свой пароль? В статье рассмотрим, как войти в устройство с разными версиями Windows, если пароль утерян или забыт. А также узнаем, как обезопаситься от неправомерного доступа к устройству, если оно осталось в открытом доступе в общественном месте.

Где хранятся пароли Windows

Пароли пользователей хранятся в кустах реестра (hives) Windows под названием SYSTEM и SAM в файлах:

• C:/Windows/System32/config/SAM;
• C:/Windows/System32/config/SYSTEM.

Стоит отметить, что практически все версии Windows хранят пароли пользователей в зашифрованном виде. Поэтому сдампить хэш — полдела. Потребуется его еще расшифровать.

По факту хэши паролей могут быть извлечены из трех различных источников:

1. Локальная sam-база, где хранятся lm/ntlm-хэши паролей для локальных пользователей.
2. Кеш lsa, куда попадают lm/ntlm-хэши доменных пользователей, однако они удаляются после перезагрузки системы.
3. Оперативная память, а именно процесс Local Security Authority Process (lsass.exe).

Если используется контроллер домена, то хэш паролей можно извлечь из Active Directory.

Михаил Сухов

Руководитель отдела анализа защищенности Angara Security

Если мы говорим про получение паролей из контроллера домена, то потенциальному злоумышленнику необходимо иметь высоко привилегированную учетную запись на контроллере домена. В этой базе хранятся хэши паролей пользователей, история паролей пользователей, а также остальной информации о домене Active Directory. Эта база хранится в файле ntds.dit. В таком случае могут быть использованы различные техники, такие как:

1. Использование shadow copy для копирования базы данных, даже с учётом того, что она занята другим процессом.

2. Обращение к контроллеру домена с помощью DSync, обычно выполняется с помощью специализированного ПО, например, impacket или mimikatz.

В целом большинство основных способов получения хэшей паролей в рамках Windows уже достаточно давно блокируется или сигнализируется с помощью защитных средств. Однако злоумышленники и различные APT группировки придумывают различные способы обхода блокировок и эксплуатации новых способов.

Далее расскажем, как сменить, взломать или сдампить пароль пользователя в условиях, когда у вас есть физический доступ к системе.

Загрузочные флешки

Если вы забыли пароли от учетной записи в Windows 10, их не обязательно взламывать или дампить. Можно заменить или вовсе убрать пароль с помощью загрузочной флешки. Для этого нужно:

1. Взять любую загрузочную флешку с любой версией Windows 10.
2. Вставить в устройство, зайти в BIOS и выставить загрузку с флешки.
3. После начала установки нажать Shift+F10, чтобы открыть командную строку.
4. Ввести команду regedit, чтобы открыть редактор реестра.
5. В редакторе выбрать пункт HKEY_LOCAL_MACHINE, нажать «Файл», а далее «Загрузить куст».
6. Указать путь к кусту SYSTEM: C:/Windows/System32/config/SYSTEM.
7. Ввести любое имя раздела и нажимаем «ОК».
8. Открыть загруженный куст (имя раздела), зайти в «Setup». Справа дважды кликнуть по «CmdLine» и поменять значение строкового параметра на cmd.exe.
9. Ниже кликнуть по «SetupType» и поменять значение на 2.
10. После этого выделить созданный куст, в главном меню редактора реестра нажать «Файл», а затем «Выгрузить куст».
11. Подтвердить действие и перезагрузить компьютер.

Снова заходим в BIOS и выставляем загрузку с жесткого диска. После перезагрузки автоматически откроется командная строка. Теперь вы сможете поменять пароль или вовсе убрать его. Для этого в командной строке введите «net user». Откроется список всех пользователей системы. Чтобы поменять пароль у конкретного пользователя, введите команду «net user имя пользователя новый пароль». Для полной отмены пароля достаточно в командной строке вместо нового пароля ввести два раза кавычки "".

Далее в командной строке вводим regedit и снова открываем редактор реестра. Нужно найти раздел HKEY_LOCAL_MACHINE\SYSTEM\Setup. Справа дважды кликаем по «CmdLine» и удаляем значение строкового параметра. Ниже кликаем по «SetupType» и меняем значение на 0.

После закрываем редактор реестра и попадаем на экран входа в систему. Если вы все сделали правильно, пароль будет изменен или удален.

Через диспетчер задач

Диспетчер задач есть в каждой системе Windows и именно с его помощью проще всего сделать дамп, если у вас есть доступ к устройству и оно уже работает. Алгоритм действий достаточно прост:

1. Заходим в диспетчер задач и жмем «Подробнее».
2. Во вкладке «Процессы» ищем «Процессы Windows» и конкретный процесс под названием Local Security Authority Process.
3. Кликаем правой кнопкой мыши и выбираем «Создать файл дампа».

Придется пару секунд подождать, пока будет создан дамп процесса. Готовый файл будет сохранён по пути C:\Users\ПОЛЬЗОВАТЕЛЬ\AppData\Local\Temp\lsass.DMP. Полученный хеш паролей дальше взламывается офлайн с помощью одной из программ. Например, John the Ripper или CrackStation.

Такой способ подойдет, если на устройстве используется несколько учетных записей и к одной из них забыт пароль.

Через сторонние утилиты

Взлом Windows XP, Vista и более современных версий можно совершить, используя сторонние утилиты. Среди наиболее популярных можно назвать Mimikatz — приложение с открытым исходным кодом, позволяющее пользователям просматривать и сохранять учетные данные аутентификации Windows.

Mimikatz способно перехватывать хэш и использовать его без какой-либо обработки. Программа запускается посредством исполняемого файла, а вся работа ведется в специальной интерактивной панели, где нужно вводить команды:

• mimikatz # privilege::debug
• mimikatz # sekurlsa::logonPasswords full

Последняя команда отобразит имена всех учетных записей системы и их хешированные пароли. Кроме того, Mimikatz позволяет выгружать пароли из дампа памяти в виде открытого текста, используя Модуль sekurlsa и команду mimikatz # sekurlsa::logonpasswords. Но для этого нужны права на уровне администратора или системы.

Важно! Эта программа для взлома пароля Windows XP, Vista и других версий ОС не сработает при наличии в устройстве современного антивируса.

Как распознать попытку взлома и защититься

С развитием «удаленки» угрозы ИБ стали шире: сотрудник может оставить свой ноутбук в кафе или, например, сдать в недобросовестный сервисный центр, где прямой доступ к устройству могут получить злоумышленники.

Сергей Полунин

Руководитель группы защиты инфраструктурных IT компании «Газинформсервис»

Для обнаружения утечки паролей, как правило, используются различные EDR-решения. Популярные решения для дампа паролей, такие как Mimikatz, Empire и PowerSploit используют определенные техники, которые довольно легко определяются даже штатным Windows Defender, если его предварительно, конечно, кто-то не отключил.

Но самое главное — грамотно выстроить защиту своего устройства. Чтобы преступники не имели возможности перехватить данные при непосредственном контакте или через сеть.

Кай Михайлов

Руководитель направления информационной безопасности в iTPROTECT

В качестве противодействия перехвату учётных данных на уровне сети можно отметить правильную настройку уже имеющихся механизмов безопасности:

• SMB-signing;
• отказ от использования устаревших протоколов;
• тонкая настройка способов аутентификации;
• использования систем IPS (для распознавания атак типа man-in-the-middle, poisoning) и многофакторной аутентификации в сервисы.

В качестве противодействия перехвату учетных данных на уровне хоста можно посоветовать антивирусное ПО, которое уже многие годы выполняет не только функцию сигнатурного анализа, а также EDR-системы, которые следят за активностью на хосте и хорошо заточены на распознавание сценариев сбора дампа оперативной памяти или её отдельных частей. Необходимо также использовать лучшие практики вендора по минимизации наличия артефактов УЗ в системе: использовать группу безопасности Windows «Защищенные пользователи», минимизировать доступ к сетевым узлам, которые администрируются с помощью привилегированных УЗ, использовать механизм Remote Credential Guard и т. п.

Эксперты рекомендуют минимизировать в своих системах количество учетных записей, обладающих правами локального администратора, а также никогда не заходить с учетной записью администратора домена на сервера и компьютеры, доступные другим пользователям. А также регулярно обновлять антивирусное ПО и проверять систему на наличие вредоносных программ.