Windows 本地認證

1、本地認證的基礎知識

在本地登陸的情況下，作業系統會使用使用者輸入的密碼作為憑據去與系統中的密碼進行校驗，如果成功的話表明驗證通過，作業系統的密碼儲存在c盤的目錄下：

c:\windows\system32\config\sam

sam用於儲存本地所有使用者的憑證資訊，但是這並不代表你可以隨意檢視系統密碼，我們登陸系統的時候系統會自動讀取sam檔案中的密碼與我們輸入的密碼進行比對，如果認證相同則登陸成功；

windows自身是不會保持明文密碼的，sam檔案中儲存的為hash值；

hash

翻譯為雜湊，是把任意長度的輸入通過雜湊演算法變換成固定長度的輸出，該輸出就是雜湊值，這種轉換是一種壓縮對映，也就是雜湊值的空間通常小於輸入的空間，不同的輸入可能會雜湊成相同的輸出，所以不可能從雜湊值來確定唯一的輸入值；

2、ntlm的認證過程

ntlm hash的生成過程：

當使用者登出、重啟、鎖屏後，作業系統會讓windows顯示登陸介面，當winlogon.exe接收到賬號密碼輸入之後，會將密碼交給lsass程序，這個程序會存乙份明文密碼，將明文密碼加密成ntlm hash，與sam資料庫比較認證；

winlogon.exe（windows logon process）是windows nt使用者登陸程式，用於管理使用者登陸和退出，lsass用於微軟windows系統的安全機制，是用於本地安全和登陸策略；

例如當使用者輸入密碼admin時，作業系統會將admin轉換為十六進製制，經過unicode轉換後，再呼叫md4加密演算法進行加密，這個加密結果是十六進製制，這個值為ntlm hash；

admin -> hex（十六進製制編碼）= 61646d96e
61646d96e -> unicode = 610064006d0069006e00
610064006d0069006e00 -> md4 = 209c6174da490caeb422f3fa5a7ae634

3、本地認證流程

winlogon.exe -> 接收使用者輸入值 -> lsass.exe -> 轉換為ntlm hash值與sam檔案中儲存內容進行對比 -> 認證是否成功 -> 認證成功後，將uid、gid傳送給winlogon.exe，準備登入桌面