Windows Password Recovery - кэшированные записи домена
Начиная с версии 2.0 в программе появилась возможность чтения кэшированных записей домена. Windows использует кэшированные записи домена для чтого, чтобы иметь возможность подключаться к серверу даже если логон сервер по каким-либо причинам недоступен.
Плагин для работы с кэшированными записями домена состоит из трех шагов.
Вначале необходимо определиться, какие записи надо расшифровать: кэшированные записи текущей операционной системы или какого либо другого компьютера.
Кэшированные записи домена хранятся в файле реестра SECURITY. Поэтому, при выборе опции чтения записей внешнего ПК, на следующем шаге Мастера необходимо указать путь к этому файлу, а также к реестру SYSTEM, который участвует в расшифровке записей. Если была выбрана опция чтения кэшированных записей локального компьютера, то на втором шаге мастера программа сама выполнит поиск вышеуказанных файлов. Файлы реестра находятся в папке C:\%WINDIR%\system32\config\, где %WINDIR% - каталог Windows.
Если чтение прошло успешно, то в финальном диалоге вы увидите расшифрованные записи домена. Каждая запись имеет несколько атрибутов. Например, имя пользователя, время последнего входа, членство в группах, кэшированные пароль пользователя (точнее хэш).
Щелчок правой кнопкой мыши на списке записей открывает контекстное меню из которого можно:
- сохранить записи со всеми атрибутами в текстовый файл
- экпортировать хэши паролей в формат PWDUMP, *.DCC или *.PEIF файл. Учтите, что PWDUMP формат не совсем корректно хранит записи, поэтому предпочтительнее сохранять хэши паролей в *.DCC или *.PEIF файл.
- сбрасывать или изменять пароль кэшированной записи домена
- удалять запись
Для восстановления кэшированных паролей домена можно использовать утилиту Network Password Recovery Wizard, предварительно экспортировав хэши в один из указанных выше форматов.