Windows не имеет одной "секретной папки" — система использует несколько защищенных механизмов для хранения паролей и учетных данных. Основные места хранения:
📂 SAM Database (Security Account Manager)
Основная база данных паролей локальных пользователей Windows:
- Расположение: C:\Windows\System32\Config\SAM
- Содержимое: Хешированные пароли всех локальных пользователей
- Формат: LM hash или NTLM hash
- Защита: Файл заблокирован операционной системой во время работы
🔐 Windows Credential Manager & Vault
Диспетчер учетных данных для веб-сайтов и сетевых ресурсов:
Пользовательские папки:
- C:\Users$$Username]\AppData\Local\Microsoft\Vault\
- C:\Users$$Username]\AppData\Roaming\Microsoft\Vault\
- C:\Users$$Username]\AppData\Local\Microsoft\Credentials\
Системные папки:
- C:\ProgramData\Microsoft\Vault\
- C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Vault\
🔧 Структура файлов в Vault
Каждая папка Vault содержит:
- Policy.vpol — ключи шифрования AES128/AES256
- .vcrd файлы — зашифрованные учетные данные
- .vsch файлы — схемы структур данных
💻 DPAPI (Data Protection API) Master Keys
Главные ключи для расшифровки пользовательских данных:
Расположение пользовательских ключей:
- %APPDATA%\Microsoft\Protect\%SID%\
- C:\Users$$Username]\AppData\Roaming\Microsoft\Protect$$SID]$$GUID]
Системные ключи:
- C:\Windows\System32\Microsoft\Protect\S-1-5-18\User\
🛠️ Инструменты для просмотра и извлечения паролей
⚡ Официальные инструменты Windows
1. Credential Manager (GUI):
control.exe keymgr.dll
rundll32.exe keymgr.dll, KRShowKeyMgr
2. Командная строка:
cmdkey /list
vaultcmd /list
vaultcmd /listcreds:"Windows Credentials" /all
🔍 Специализированные утилиты
1. VaultPasswordView (NirSoft):
- ✅ Версия 1.12 — обновлена для Windows 11 22H2
- ✅ Расшифровывает пароли Windows Vault
- ✅ Поддерживает Windows 11/10/8
- ⚠️ На Windows 11 24H2 LSA Protection включена по умолчанию
- ⚠️ Требует отключения LSA Protection для работы
2. Network Password Recovery (NirSoft):
- ✅ Восстанавливает сетевые пароли
- ✅ Работает с файлами Credentials
- ⚠️ На Windows 11 24H2 нужно отключить LSA Protection
3. Mimikatz:
# Список vault учетных данных
mimikatz # vault::cred
# С расшифровкой (опасно!)
mimikatz # vault::cred /patch
# Список DPAPI ключей
mimikatz # sekurlsa::dpapi
# Расшифровка vault файлов
mimikatz # dpapi::vault /cred:"path\to\file.vcrd" /policy:"path\to\Policy.vpol"
⚠️ Новые ограничения в Windows 11 24H2:
- Включена LSA Protection по умолчанию
- Требует обход защиты уязвимыми драйверами
- Vulnerable Driver Blocklist затрудняет использование
📊 PowerShell DPAPI (обновленные методы 2025)
Современные методы работы с DPAPI:
# Новый модуль SecretManagement.DpapiNG (2025)
Install-Module -Name SecretManagement.DpapiNG
# Шифрование секрета для текущего пользователя
ConvertTo-DpapiNGSecret "MySecret"
# Шифрование для доменного пользователя
ConvertTo-DpapiNGSecret "MySecret" -CurrentSid
# Расшифровка
ConvertFrom-DpapiNGSecret $encryptedSecret -AsString
Традиционный DPAPI:
# Расшифровка DPAPI данных
$encryptedData = Get-Content "path\to\encrypted\file" -Encoding Byte
$decryptedData = [System.Security.Cryptography.ProtectedData]::Unprotect(
$encryptedData,
$null,
[System.Security.Cryptography.DataProtectionScope]::CurrentUser
)
[System.Text.Encoding]::UTF8.GetString($decryptedData)
📋 Пошаговые инструкции по извлечению
Метод 1: Через Credential Manager (актуально на 2025)
Шаг 1: Открыть поиск Windows и ввести credential manager3435
Шаг 2: Выбрать "Web Credentials" или "Windows Credentials"34
Шаг 3: Развернуть нужную запись и нажать "Show"34
⚠️ Ограничение: Показывает только некоторые пароли в открытом виде
Метод 2: VaultPasswordView с учетом Windows 11 24H2
Шаг 1: Скачать VaultPasswordView v1.12 с официального сайта NirSoft
⚠️ Шаг 2: Отключить LSA Protection (только Windows 11 24H2):
# В Registry Editor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
RunAsPPL = 0
RunAsPPLBoot = 0
Шаг 3: Запустить VaultPasswordView.exe от имени администратора
Шаг 4: Ввести пароль Windows в поле "Windows Login Password"
Шаг 5: Нажать "OK" для начала расшифровки
Метод 3: PowerShell с современными модулями
Установка нового модуля:
Install-PSResource -Name SecretManagement.DpapiNG -Scope CurrentUser
Регистрация DPAPI-NG хранилища:
Register-SecretVault -Name DpapiNG -ModuleName SecretManagement.DpapiNG
🔐 Безопасность и ограничения (обновления 2025)
Новые изменения в Windows 11 24H2:
🛡️ LSA Protection включена по умолчанию — блокирует многие утилиты извлечения паролей
🛡️ Усиленная SMB безопасность — требует подписи для всех SMB соединений
🛡️ Отключение гостевого доступа на Windows 11 Pro
Важные особенности DPAPI:
✅ Привязка к пользователю: Данные можно расшифровать только под той же учетной записью
✅ Привязка к машине: При использовании LocalMachine scope
⚠️ Доменные системы: Контроллер домена имеет backup ключи для всех пользователей
Методы защиты в 2025:
🛡️ LSA Protection — включена по умолчанию на Windows 11 24H2
🛡️ Vulnerable Driver Blocklist — блокирует известные уязвимые драйверы
🛡️ BitLocker — шифрование диска защищает от офлайн атак
🛡️ Windows Hello — биометрическая аутентификация
⚙️ Актуальность инструментов (август 2025)
✅ Работающие методы:
- Credential Manager GUI — всегда доступен3435
- cmdkey/vaultcmd — стандартные утилиты Windows
- VaultPasswordView 1.12 — требует отключения LSA Protection на 24H2
- PowerShell DPAPI-NG — новый модуль 2025 года
- SharpDPAPI — C# порт функционала Mimikatz
⚠️ Ограниченные методы:
- Mimikatz — требует обхода LSA Protection на Windows 11 24H2
- NirSoft утилиты — блокируются LSA Protection
- Сетевые утилиты — затронуты изменениями SMB в 24H2
🔧 Новые требования для Windows 11 24H2:
Для отключения LSA Protection:
# PowerShell от администратора
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPL" -Value 0
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "RunAsPPLBoot" -Value 0
Для работы с SMB в 24H2:
# Включение небезопасных гостевых подключений
Set-SmbClientConfiguration -EnableInsecureGuestLogons $true -Force
Set-SmbClientConfiguration -RequireSecuritySignature $false -Force
🎯 Практические сценарии использования
Законные цели:
- 👤 Восстановление собственных забытых паролей
- 🔧 Системное администрирование и миграция
- 🛡️ Аудит безопасности корпоративных систем
- 📊 Форензическое расследование
Этические соображения:
⚠️ Использовать только на собственных системах или с явного разрешения
⚠️ Соблюдать корпоративные политики безопасности
⚠️ Не применять для несанкционированного доступа
🚀 Заключение
Windows использует многоуровневую систему хранения паролей, включающую SAM базу данных, Credential Manager, Windows Vault и DPAPI. Windows 11 24H2 значительно усилила защиту с включением LSA Protection по умолчанию и изменениями в SMB безопасности. Современные методы извлечения требуют дополнительных настроек или обхода защитных механизмов.
Помните: Знание этих механизмов поможет не только в восстановлении паролей, но и в понимании принципов безопасности Windows для лучшей защиты ваших систем! 🔒
📺 Подписывайтесь на канал Т.Е.Х.Н.О Windows & Linux для получения актуальных технических гайдов, секретов администрирования и эксклюзивных материалов! Ставьте лайки, делитесь с коллегами и не забывайте комментировать — ваша активность помогает каналу развиваться! 💪⚡
#WindowsПароли #CredentialManager #WindowsVault #DPAPI #WindowsSecurity #НирСофт #Мимикац #WindowsАдминистрирование #Безопасность #ВосстановлениеПаролей #WindowsРеестр #SAMБазаДанных #ПарольныеХранилища #ИТБезопасность #СистемноеАдминистрирование #Windows11 #Windows1124H2 #КомпьютернаяБезопасность #ИнформационнаяБезопасность #WindowsИнструменты #ПауэрШелл #КоманднаяСтрока #WindowsВнутренности #АудитБезопасности #ТехническийГайд #WindowsХаки #АдминистраторWindows #ИТСпециалист #Кибербезопасность #WindowsТюнинг