Поддерживаются локализованные версии Windows. Продукт обнаруживает все установки Windows в системе и позволяет сохранить хэши паролей для дальнейшего исследования.
Если у вас на исследуемом компьютере нет DVD-привода (а такое на ноутбуках встречается все чаще), придется создать загружаемый USB-диск. Для создания загрузочного USB-диска вам потребуется каким-либо образом смонтировать iso-файл и запустить файл EsrBoot, содержащийся на диске. Появится диалоговое окно со списком доступных USB-дисков, и в результате нажатия кнопки Format будет создан загрузочный диск с ESR. Как видите, создание загружаемого USB-диска трудности не представляет. Сразу же после запуска компьютера с созданного ранее загрузочного диска ESR вам будет предложено лицензионное соглашение принять. Если в вашем компьютере используются нестандартные интерфейсы жесткого диска (SerialATA, SCSI, RAID или SAS), нужно загрузить драйвер. Для этого необходимо нажать кнопку «Загрузить драйвер» в соответствующем окне. Режимы работы программы предполагают выбор источника учетных записей. Это либо работа с локальными учетными записями (в базе SAM), либо работа с учетными записями Active Directory (из ntds. dit). Предусмотрены следующие режимы работы:
- изменение паролей и свойств учетных записей;
- дамп хэшей для дальнейшей расшифровки;
- восстановление реестра или AD из сохраненной копии;
- редактор базы SAM;
- сохранение реестра или AD в архив. Учтите, что для того, чтобы работать с A D, вы должны использовать ESR на сервере (контроллере домена), работающем под управлением серверной версии Windows 2000/2003/2008.
Если вы изменили некоторые свойства учетной записи или пароль и хотели отменить изменения, выберите режим «Восстановление реестра или AD из сохраненной копии».
После выбора источника учетных записей и режима работы следует установить режим настройки свойств и паролей учетных записей при восстановлении (автоматический или ручной). Если при этом вы установите флажок «Проверять короткие и простые пароли» (см. экран 1), то ESR попытается восстановить пароли, используя встроенный словарь и атаку перебором. Ниже приводятся примеры паролей, которые могут быть восстановлены.
- Очевидные комбинации (пароль совпадает с именем для входа в систему).
- Сохраненные пароли коммутируемых соединений.
- Пароли LM:
— 4 символа (прописные буквы, цифры, 16 символов);
— пароли, содержащиеся в словаре;
— пароли, содержащиеся в словаре с одной цифрой в конце.
- Пароли NTLM:
— длина до 4 си м волов (строчные буквы, цифры, 16 символов);
— длина до 4 символов (строчные, прописные буквы);
— длина до 5 (строчных) букв;
— длина до 5 (больших) букв;
— длина до 7 цифр;
— длина 3 случайных символа (все символы);
— пароли из словаря;
— пароли из повторяющихся комбинаций (00000, ааа и т.д.);
— легко угадываемые клавиатурные комбинации (например, qwerty).
Затем программа создает несколько различных «мутаций» для паролей, которые были найдены на предыдущих шагах, и пытается применить их ко всем учетным записям. При работе с локальными учетными записями вы можете либо просто удалить пароль выбранной ученой записи, либо сменить его. Однако учтите, что если есть файлы, зашифрованные с помощью EFS, то доступ к ним вы не получите. Для этого вам необходимо вернуться назад и выбрать вариант работы «Дамп хэша для последующей расшифровки».
Редактор базы SAM при работе с базой локальных учетных записей (SAM) после выбора нужного каталога с операционной системой позволяет получить список всех локальных учетных записей. Учетные записи с правами администратора будут выделены зеленым цветом, заблокированные или отключенные — красным. Вы можете включить отображение хэшей паролей, чтобы видеть соответствующие хэши для всех учетных записей, имеющих непустые пароли. На экране 2 показано окно программы ESR, в котором вы можете сбросить/изменить пароль и следующие свойства учетной записи:
- учетная запись администратора;
- пароль никогда не истекает;
- истек срок действия пароля;
- запись учетная отключена;
• запись учетная деактивирована. После того как вы выполните необходимые изменения и нажмете «Применить», вам будет предложено создать резервную копию базы данных SAM. He рекомендуется сбрасывать пароль — вместо этого выберите новый (сложный) пароль из соображений безопасности.
Это связано с тем, что в локальной политике может быть запрещен вход с пустым паролем. В результате вы его сбросите, но войти не сможете.
Offline NT Password & Registry Editor
Для работы с этой программой нужно загрузить образ компакт-диска по адресу pogostick.net/~pnh/ ntpasswd/.
Загружаемся с записанного компакт-диска и на первом экране нажимаем Enter. Далее в окне командной строки нам предстоит определить, что мы хотим сделать (экран 3), выбрав нужный пункт и нажав соответствующую цифру:
- Clear (blank) user password — очистить пароль, сделать его пустым.
- Unlock and enable user account — разблокировать учетную запись.
- Promote user — повышает права выбранного пользователя до уровня администратора.
- Add user to a group — добавить пользователя в группу.
- Remove user from a group — удалить пользователя из группы.
- Для выхода следует нажать Q и снова Enter.
На завершающем этапе появляется запрос на сохранение изменений. Достаточно нажать Y и Enter. Затем нас спрашивают, хотим ли мы редактировать что-то еще. Если нет— нажимаем N и Enter. Учтите, что таким образом вы можете всего лишь удалить пароль. Однако если в локальной групповой политике запрещена регистрация с пустым паролем, то зарегистрироваться в системе вам не удастся.
