Il SAM ( Security Account Manager o Manager security accounts ) è il database degli account locali su Windows Server 2003 , Windows XP , Windows 2000 . È uno dei componenti del registro . Contiene password locali.
L'utility syskey di Microsoft è necessaria se vogliamo proteggerci da un aggressore locale (persona con accesso fisico alla stanza in cui si trova il PC); questa utilità migliora la sicurezza della chiave di crittografia della password .
I controlli sul SAM vengono effettuati tramite il servizio Security Accounts Manager , che fa parte dei servizi necessari per il corretto funzionamento di Windows. Il suo nome esatto degli Stati Uniti è Security Accounts Manager (con una s in conto ).
È uno dei componenti gestiti dall'eseguibile lsass.exe .
Affinché questo servizio funzioni, è necessario avviare il servizio "Remote Procedure Call" ( RPC ).
Se il servizio " Security Account Manager " si arresta, Windows riavvia il computer.
Il servizio " Distributed Transaction Coordinator " utilizza il servizio " Security Account Manager " .
La funzione hash utilizzata per le password è MD5 (Message Digest) (nelle ultime versioni di Windows, nel 2005).
Il SAM è fisicamente memorizzato nel file % SystemRoot% \ system32 \ Config \ SAM . È un file hive incluso in HKEY_LOCAL_MACHINE, a sua volta incluso nel registro .
La posizione fisica del SAM utilizzato durante l'ultimo avvio è uno degli elementi memorizzati nella chiave hivelist nel registro:
Le librerie DLL utilizzate per SAM sono
Lo strumento di ripristino rstrui.exe lascia intatte le password locali, per evitare confusione tra gli utenti dopo un ripristino.
Esistono 3 tipi di account: utente, computer e gruppo.
Le informazioni sulla sicurezza specifiche dell'utente sono archiviate in 2 posizioni nella struttura HKLM \ SAM \ SAM \ Domains \ Account \ Users. Una voce è l'identificativo univoco dell'utente e l'altra è il suo nome. Questa seconda voce contiene solo l'identificatore univoco.
Per motivi di sicurezza, si consiglia di vietare l'enumerazione di account e condivisioni in SAM per utenti anonimi su Windows 2003 e XP . Lo svantaggio è che ciò causa problemi di compatibilità con NT 4 .
Questa funzionalità è configurata nel registro dai 2 valori RestrictAnonymous e RestrictAnonymoussam , nella chiave HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ LSA (LSA qui sta per Local Subsystem Authority , vedi Lsass.exe ).
In Windows 2003 e XP, queste 2 impostazioni del registro vengono modificate tramite la console di gestione secpol.msc . In una versione francese di Windows, questa utilità viene chiamata per impostazione predefinita Criteri di protezione locale negli strumenti di amministrazione . Quando si fa clic, la finestra che appare si chiama Impostazioni di protezione locale . Le due opzioni relative all'enumerazione da parte di un utente anonimo si trovano in Criteri locali / Opzioni di sicurezza .
Nella prima versione di Windows NT , la protezione SAM era minima per impostazione predefinita. Nelle versioni, la sicurezza è migliorata, ad esempio l'hashing è cambiato da MD4 a MD5 .
Allo stesso tempo, a partire da Windows NT pack 3, l'utilità syskey migliora la crittografia delle password, che fornisce una maggiore sicurezza contro un utente malintenzionato locale.
Inizialmente SAM gestiva account locali e account di dominio, in Windows NT. A partire da Windows 2000 , gli account di dominio vengono gestiti da Active Directory . Se l'amministratore di sistema desidera riavviare Active Directory in modalità di ripristino, dovrà accedere per un account che fa parte di SAM e non un account Active Directory.
In Windows NT, il limite teorico sulla dimensione del SAM è di 40.000 account; empiricamente, in alcuni casi è stato possibile raggiungere 60.000 conteggi. In Windows Server 2000 o Windows Server 2003 , questo limite è irrilevante.