[snark]

Печально... и никаких "противоядий" нету?

[exo]

Цитата snark:

и никаких "противоядий" нету? »

ищу варианты с удалением пароля после выхода из системы. после перезагрузки - пароля нет.

[Severny]

http://devteev.blogspot.com/2012/02/0day-lsa.html
Противоядие здесь, но если о нем не знает атакующий.

Цитата:

В качестве временного решения можно отключить поставщика безопасности wdigest через соответствующую ветвь реестра (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa). Однако стоит понимать, что атакующий может проделать тоже самое в обратном порядке.

Однако пригодится штуковина.

[exo]

Цитата Severny:

Однако стоит понимать, что атакующий может проделать тоже самое в обратном порядке. »

если у него прав хватит на реестр.

[Delirium]

Цитата exo:

Если пользователь имеет права локального администратора, он может получить пароли всех пользователей, которые работали до него без перезагрузки компьютера... в том числе и доменного админа... »

Если пользователь локальный админ - тушите свечи сразу.
А доменному админу вооообще нечего делать локально на машине, для этого должны существовать отдельные учетные записи.
А вообще интересно.

[Severny]

Цитата exo:

если у него прав хватит на реестр. »

С правами сложности у атакующего могут возникнуть, а так на всякий случай лежит собственная regedit.exe в комплекте.

[exo]

решил я тут на днях вспомнить как это делается. Не получается: при проверке lsass.exe отказано в доступе. Может какие обновления были в винде...
Или от того, что NOD32 установили... но на компе без антивируса - всё работает...

[winbond]

На 8 и 2012 неактуально. cmd под админом:

"mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 636
Erreur : Impossible d'injecter ! ; (0x00000005) Отказано в доступе.

mimikatz # @getLogonPasswords
Erreur : pas ou plus de communication etablie"

[exo]

вот тоже самое получаю в некоторых 7-ых компах..