Protected Storage 2004/05/26 伊原 秀明(Port139) Protected Storageサービス • 【説明】 秘密キーなどの重要なデータを格納するため の保護された記憶域を提供し、許可のない サービス、許可のないプロセス、許可のない ユーザーによるアクセスを防ぎます。 © Hideaki Ihara(Port139). 2 何時から導入されたか? • [参照]サポート技術情報 – 187710 『注意 : Protected Storage サービスは、 Internet Explorer 4.01 によりインストールされ ます。』 • Windows 2000以降では標準サービス © Hideaki Ihara(Port139). 3 Protected Storageの役割 • [参照]サポート技術情報 – 416033 『詳細:以下の機能も、Protected Storage Service を利用するため、正常に動作しない 場合があります』 • Internet Explorer の購読機能 • Internet Explorer のパスワード保存 • Internet Explorer のオートコンプリート機能 © Hideaki Ihara(Port139). 4 Protected Storageの位置 • HKEY_CURRENT_USER\Software\Microsoft \Protected Storage System Provider • レジストリキー配下にSIDに応じて領域が作 成される(暗号化されている) © Hideaki Ihara(Port139). 5 Protected Storageの利用 ユーザー(SID) IE,OE,MSN,Outlook 保存/呼び出し Protected Storage サービス 暗号化 アプリケーション HKEY_CURRENT_USER\ Software\Microsoft\ Protected Storage System Provider © Hideaki Ihara(Port139). 6 Protected Storage の読み出し • 情報を保存したユーザーのみが読み取り可能 ※管理者であっても情報の閲覧は不可※ • 保存情報を得るには,対象ユーザーのパスワードが必要 “パスワードをリセットしても情報は維持される!!” © Hideaki Ihara(Port139). 7 Protected Storage 対応ツール • オンラインでProtected Storageの内容を読み出す • Protected Storage Explorer http://www.codeproject.com/tools/PSExplorer.asp • Windows Secret Explorer:Internet Passwords recovery tool http://lastbit.com/wse/default.asp • Protected Storage PassView v1.60 http://www.nirsoft.net/utils/pspv.html © Hideaki Ihara(Port139). 8 Protected Storage PassView(1) • 読み出し可能な情報(Ver1.60時点) Outlook passwords(Outlookの場合POP3) AutoComplete passwords in Internet Explorer Password-protected sites in Internet Explorer MSN Explorer Passwords • コマンドラインでの実行も可能 -テキスト/HTMLファイルへの出力 -インポート/エクスポート機能等 • パスワード クラックツールと認識されることがある © Hideaki Ihara(Port139). 9 Protected Storage PassView(2) © Hideaki Ihara(Port139). 10 Protected Storage暗号化鍵 • Protected Storageのデータは、システムの SIDを鍵として暗号化されている • システムの SID を移植元と移植先で同一に すれば,別システムへ移植し復号化できる (ddで作成したイメージ ファイルに含まれる データを調査したい場合) © Hideaki Ihara(Port139). 11 Protected Storage の移植 (オフライン) 電源断/Image File 調査用システム HKEY_CURRENT_USER\ Software\Microsoft\ Protected Storage System Provider SID-A data data2 HKEY_CURRENT_USER\ Software\Microsoft\ Protected Storage System Provider 複製 SID-B data data2 ファイルシステム イメージファイルに含まれるProtected Storageデータを移植し調査する © Hideaki Ihara(Port139). 12 SID • SIDは通常 S-1-5-21-xxx-xxx-xxx “XXX”の部分は9または10文字? • 例) S-1-5-21-9文字-9文字-9文字 S-1-5-21-10文字-9文字-10文字 S-1-5-21-10文字-10文字-10文字 • SIDの生成規則は不明 © Hideaki Ihara(Port139). 13 SIDの確認方法(オンライン) • PsGetSID.exe http://www.sysinternals.com/ntw2k/freeware/psge tsid.shtml © Hideaki Ihara(Port139). 14 SIDの確認方法(オフライン) • レジストリファイル(ハイブ)を別システムでマ ウントし以下のキーで確認 • HKEY_LOCAL_MACHINE\SAM\SAM\Domain s\Account\Aliases\Members © Hideaki Ihara(Port139). 15 任意のSIDを設定する • 移植先システムのSIDを、移植元と同じSID値 にする • NewSID(http://www.sysinternals.com/nt w2k/source/newsid.shtml)を使用すれば、 任意のSID識別子に変更可能 © Hideaki Ihara(Port139). 16 Protected Storage調査手順 1. 移植元システムのSIDを確認する 2. 移植先のSIDを移植元と同じ値に設定する 3. Protected Storageのレジストリキーを任意 のユーザーのデータとして複製(移植) 4. 移植したユーザーでログオンする 5. Protected Storage対応の読み取りツールで 内容を確認する © Hideaki Ihara(Port139). 17 参考情報 • • • マイクロソフト サポート技術情報 – 308034 Windows NT 4.0 で秘密キーがメモリ上に展開されたままとなる http://support.microsoft.com/default.aspx?scid=kb;ja;308034 マイクロソフト サポート技術情報 – 416033 [OE51] SYSPREP.EXE を利用するとパスワードが保存できない http://support.microsoft.com/default.aspx?scid=kb;ja;416033 マイクロソフト サポート技術情報 – 187710 [IIS] ErrMsg: CoGetClassObject, 0x80080005 サーバーの実行に失敗しまし た http://support.microsoft.com/default.aspx?scid=kb;ja;187710 © Hideaki Ihara(Port139). 18
© Copyright 2024 ExpyDoc
