Забытый пароль администратора NT
Evgenii B. Rudnyi
Hедавно прошла дискуссия, на тему, что делать, когда забыли пароль
администратора NT. Дискуссия проходила в англоязычных дискуссионных
списках (смотри http://www.training.ru/security/bulletin.htm)
Потеря пароля администратора
Matthew_...@armstrong.com (ntsecurity, iss) спросил, как заменить
потерянный пароль администратора. Он хотел использовать какую-либо
атаку, чтобы превратить обычного пользователя в администратора, а затем
уже поменять потерянный пароль.
Bart Pola <po...@cns.uni.edu> (ntsecurity, iss) предложил использовать
специальную загрузочную дискету Linux, которая позволяет поменять
пароль администратора Windows NT.
"Patrick Sweeney" <broo...@hotmail.com> (ntsecurity, iss) привел ссылку
на узел http://www.sysinternals.com, где можно найти специальные
программы для замены пароля администратора.
"MrJoker" <MrJ...@goplay.com> (ntsecurity, iss) указал, что если стереть
файл SAM (очень просто на файловой системе FAT), то после перезапуска у
администратора будет пустой пароль.
"Kohan, Fernando" <FKo...@uces.edu.ar> (ntsecurity, iss) предложил
переустановить NT поверх старой версии и в ходе установки выбрать новый
пароль. Другой вариант - запустить процесс аварийного восстановления и
заменить файл SAM на тот, где известен пароль администратора.
"Jeff A. Dunkelberger" <jeffdunk...@hotmail.com> (ntsecurity, iss)
указал, что загрузочную дискету Linux для восстановления пароля
администратора можно найти по адресу www.nmrc.org.
Matt Cormie <Matt_...@pml.com> (ntsecurity, iss) указал на узел
http://www.winternals.com, где можно купить две программы NT Recover и
NT Locksmith.
"John Sweeney" <quan...@mediaone.net> (ntsecurity, iss) указал, что с
использованием загрузочной дискеты Linux можно получить доступ к
файлу SAM, а затем надо использовать l0phtcrack. Он посоветовал
использовать программу sechole. Она позволяет простому пользователю
получить права администратора на NT SP3.
Bart Pola <po...@cns.uni.edu> (ntsecurity, iss) не согласился в отношении
загрузочной дискеты Linux. Он сказал, что она позволяет прямо назначить
администратору другой пароль (например, пустой), но это не работает, если
установлена программа syskey.
"MJE" <ma...@ntshop.net> (ntsecurity, iss) привел ссылку для программы
sechole
http://www.ntshop.net/scripts/load.asp?iD=/security/sechole.htm
Hаконец, Matthew_...@armstrong.com (ntsecurity, iss) привел сводку
полученных советов и описал, как он смог заменить потерянный пароль
администратора.
Многие сообщили о программе getadmin.exe (позволяет получить права
администратора), но она не работает с установленным SP4. Hекоторые
привели ссылку на более новую программу sechole.exe (также позволяет
получить права администратора), но она также не работает с SP4. Многие
советовали NT Recover и NT Locksmith, но за них надо было платить.
Загрузочная дискета Linux не работала, поскольку была установлена
программ syskey.
Окончательное решение было следующее. Matthew_S_Cramer установил
вторую версию NT и из под нее заменил файл заставка (logon.scr), который
по умолчанию используется winlogon, на файл диспетчера пользователей
USRMGR.EXE. Winlogon запускает процессы от имени системы, и когда он
запустил диспетчера пользователей, Matthew_S_Cramer смог поменять
пароль администратора.
В завершение он указал, что можно отменить запуск заставки во время
работы winlogon при использованием реестра
HKEY_USERS\.DEFAULT\Control Panel\Desktop
ScreenSaveActive=0
Евгений Рудный http://www.training.ru
--
Дайджест по безопасности Widnows NT
бесплатная подписка по адресу http://www.training.ru/security/
или по электронной почте secu...@training.ru