¿Cómo se almacenan las credenciales de Windows almacenadas en caché en la máquina local?

¿Cómo se almacenan las credenciales de dominio de Active Directory almacenadas en caché en un cliente de Windows? ¿Se almacenan en la base de datos SAM local, lo que los hace susceptibles a los mismos ataques de tabla de arco iris a los que las cuentas de usuarios locales son susceptibles, o se almacenan de manera diferente? Tenga en cuenta que me doy cuenta de que están salados y picados, para que no se almacenen en texto sin formato, pero ¿se cortan de la misma manera que las cuentas locales y se almacenan en la misma ubicación?

Me doy cuenta de que, como mínimo, son susceptibles a un ataque de fuerza bruta, pero esa es una situación mucho mejor que ser vulnerable a las mesas de arco iris en el caso de una máquina robada.

"Credenciales almacenadas en caché"

Las credenciales almacenadas en caché para un dominio AD son en realidad dobles hash de la contraseña y se almacenan en la sección HKLM \ Security. La ubicación del archivo de la colmena es: %systemroot%\System32\config\SECURITY

Solo el usuario del "sistema" tiene acceso a las claves de registro:
HKLM\Security\Cache\NL$ndonde nhay un índice 1 al número máximo de credenciales almacenadas en caché.

Susceptibilidad a los ataques

WinNT to WinXP utilizó hashes "Lan Manager" para cuentas locales , que se rompen fácilmente en el hardware moderno. El craqueo usualmente toma varios minutos (recientemente hice 3 contraseñas en 00:08:06) con solo una computadora de escritorio "normal". Los hashes de Lan Manager no están salados, por lo que también hay mesas de arco iris disponibles públicamente.

Vista y posteriores usan hashes NT para cuentas locales . Windows 2000 y versiones posteriores también usan hashes NT para cuentas de dominio . Los hashes NT son hashes salados con doble MD4. La sal por entrada impide el uso de tablas de arco iris, pero MD4 se puede ejecutar muy rápido en hardware moderno: aproximadamente 6 años de cómputo para una contraseña de 60 bits. Con suerte y un clúster de 6 GPU, un cracker puede romper este tipo de contraseña en ~ 6 meses. Llevando eso a la nube, alrededor de $ 35k en la GPU Amazon EC2, dependiendo de la disponibilidad, podrían pasar horas.

Las credenciales no se almacenan en caché en la máquina local. Vea este extracto de MS:

Seguridad de credenciales de dominio en caché

El término credenciales almacenadas en caché no describe con precisión cómo Windows almacena en caché la información de inicio de sesión para los inicios de sesión de dominio. En Windows 2000 y en versiones posteriores de Windows, el nombre de usuario y la contraseña no se almacenan en caché. En cambio, el sistema almacena un verificador cifrado de la contraseña. Este verificador es un hash MD4 salado que se calcula dos veces. El doble cálculo efectivamente convierte al verificador en un hash del hash de la contraseña del usuario. Este comportamiento es diferente al comportamiento de Microsoft Windows NT 4.0 y versiones anteriores de Windows NT.

http://support.microsoft.com/kb/913485

Son manejados por Credential Manager, para lo cual existe una API de Credential Manager. Los hashes salados se almacenan de forma algo segura en el disco y se accede a ellos a través de HKLM \ Security. (A la que solo LocalSystem puede acceder de manera predeterminada, pero es fácil de omitir, por ejemplo, mediante psexec -i -s regedit.exe).

Sin embargo, en un sistema Windows en ejecución, la situación es más grave, ya que las credenciales utilizadas recientemente se pueden obtener y revertir fácilmente en texto sin formato conectando una DLL a Lsass. (Ver Mimikatz.)

Entonces, sí, encontrará algún tipo de hash (o hash de un hash, o 'verificador' o como quiera llamarlo) en HKLM \ Security \ Cache en el cliente. Pero no creo que haya una forma factible de atacar el hash en el disco. No es el mismo tipo de hash NTLM que se puede atacar.