Редактор базы данных пользователей SAM

Windows Password Recovery - редактор SAM

Редактор SAM предназначен для просмотра, анализа и редактирования свойств и статистики учетных записей пользователей Windows. SAM, сокращенно от Security Account Manager, это RPC-сервер, управляющий базой данных учетных записей Windows и выполняющий функции хранения паролей и приватных данных пользователей, группировки логической структуры учетных записей, настройки политики безопасности (например, политики паролей или блокировки учетной записи), сбора статистики (время последнего входа, количества входов, количества некорректных вводов пароля и т.д.) и контроля доступа к базе. База данных SAM хранится в ключе реестра HKEY_LOCAL_MACHINE\SAM\SAM, доступ к которому запрещен всем, кроме системы (даже администраторам). На физическом уровне, база SAM представляет собой двоичный файл реестра с одноименным названием, который расположен в каталоге %WINDIR%\System32\Config, где %WINDIR% - установочный каталог Windows.

В начале работы Мастер предложит выбрать тип базы данных SAM: локальная или внешняя.

Учтите, если выбрать локальную базу, то в целях безопасности режим редактировании будет недоступен, база будет открыта только для чтения.

Выбор базы данных SAM

Если была выбрана база SAM внешнего компьютера, то на втором шаге Мастера необходимо указать путь к реестру SAM и SYSTEM. По умолчанию оба файла находятся в каталоге C:\Windows\System32\Config. Имейте в виду, что система Windows может предусмотрительно сохранять копии файлов реестра в каталогах резервного копирования. Например, C:\Windows\Repair или C:\Windows\ Config\RegBack.
Загрузка SAM

На третьем этапе переходим к выбору учетной записи, атрибуты которой нам необходимо просмотреть. Выбираем пользователя и жмем Далее.
Выбор пользователя SAM

В результате получаем список атрибутов для выбранной учетной записи. Если выбрать какой-либо атрибут в списке, то в нижней части редактора будут отображены данные, присущие этому атрибуту. Для входа в режим редактирования, надо дважды щелкнуть на поле с данными, а после завершения выбрать из контекстного меню пункт сохранения сделанных изменений.
Редактор SAM

Ниже дано полное описание атрибутов учетных записей SAM.

DataRevision
32-битное значение, в котором хранится версия текущей структуры данных. Это значение может быть поделено на два: в первом хранится основной номер версии, во втором - ревизия.

LastLogon
64-битное значение, эквивалент FILETIME, в котором хранится дата и время последнего входа учетной записи в систему.

LastLogoff
64-битное значение, эквивалент FILETIME. Время последнего выхода учетной записи из системы.

PasswordLastSet
64-битное значение, эквивалент FILETIME, дата и время последней смены пароля.

AccountExpires
64-битное значение, эквивалент FILETIME. Дата, когда выйдет срок действия этой учетной записи. Значения 0 или 0x7FFFFFFFFFFFFFFF означают, что срок действия учетной записи неограничен.

LastBadPasswordTime
64-битное значение, эквивалент FILETIME. Последний раз, когда пользователь попытался войти в систему с неверным паролем.

UserID
32-битное значение, представляющее идентификатор (RID) учетной записи.

PrimaryGroupId
32-битное значение, представляющее идентификатор основной группы этой учетной записи.

UserAccountControl
32-битный флаг, контролирующий основные свойства учетной записи. Этот флаг может быть комбинацией одного или нескольких значений:
0x00000001 - учетная запись отключена
0x00000002 - требуется путь к домашнему каталогу пользователя
0x00000004 - пароль для этой учетной записи не требуется
0x00000008 - эта учетная запись предназначена для пользователей, чья основная учетная запись находится в другом домене
0x00000010 - обычная (не системная) учетная запись
0x00000020 - учетная запись MNS
0x00000040 - трастовая учетная запись для системного домена
0x00000080 - учетная запись члена рабочей станции или сервера
0x00000100 - учетная запись контроллера домена
0x00000200 - срок действия пароля пользователя неограничен
0x00000400 - учетная запись заблокирована
0x00000800 - должен присутствовать текстовый пароль пользователя
0x00001000 - вход пользователя осуществляется при помощи смарт карты
0x00002000 - используется протоколом Kerberos
0x00004000 - используется протоколом Kerberos
0x00008000 - используется протоколом Kerberos, учетная запись может использовать только ключи шифрования des-cbc-md5 или des-cbc-crc
0x00010000 - учетная запись для входа не требует пре-аутотентификации Kerberos
0x00020000 - вышел срок действия пароля, при следующем входе пользователю будет предложено ввести новый пароль
0x00040000 - используется протоколом Kerberos
0x00080000 - используется протоколом Kerberos
0x00100000 - объект является контроллером домена только для чтения (RODC)
0x00200000 - использовать шифрование AES, этот бит используется только внутри системы

CountryCode
16-битный интернациональный код страны, сопоставленный с учетной записью. Например, код Великобритании - 44 в десятичной нотации.

CodePage
16-битная кодовая страница (в формате кодовой страницы Microsoft), сопоставленная с учетной записью.

BadPasswordCount
16-битный счетчик вводов неверного пароля.

LogonCount
16-битный счетчик удачных входов учетной записи в систему.

AdminCount
Индикатор принадлежности учетной записи к группе Администраторов (прямо или косвенно).

OperatorCount
Индикатор принадлежности учетной записи к группе Операторов.

UserName
Строка в формате Юникод, содержащая имя пользователя этой учетной записи.

FullName
Строка в формате юникод, содержащая полное имя пользователя.

AdminComment
Комментарий администратора, который ассоциируется с этой учетной записью.

UserComment
Второй комментарий пользователя, ассоциирующийся с этой учетной записью.

Parameters
Расширенные параметры пользователя. Программы Microsoft используют это поле для хранения настроек пользователя.

HomeDirectory
Строка Юникод, определяющая путь к домашнему каталогу пользователя учетной записи.

HomeDirectoryDrive
Буква диска для домашнего каталога.

ScriptPath
Содержит путь к скрипту пользователя, запускаемому при входе. Скрипт может быть .CMD, .EXE или .BAT файлом.

ProfilePath
Определяет путь к профилю пользователя.

WorkStations
Имена (разделяемые запятой) рабочих станций, с которых пользователю разрешается вход. Может быть задано но восьми рабочих станций. Установленное значение 0x00000001 во флаге учетной записи, позволяет запретить вход со всех рабочих станций.

LogonHours
21-байтное поле, задающее время, когда пользователь может войти в систему. Каждый бит задает один час в неделе по времени Greenwich Mean Time. Первый бит - воскресенье с 0:00 до 0:59, второй бит - воскресенье с 1:00 до 1:59 и т.д. Имейте в виду, что бит 0 означает воскресенье с 0:00 до 0:59 только во временной зоне GMT. Иначе необходимо сделать поправку на временную зону, в которой находитесь вы. Например, GMT + 3h.

Groups
Список групп к которым принадлежит или не принадлежит учетная запись.

LMHash
Пароль LAN Manager этой учетной записи.

NTHash
Пароль пользователя в формате Windows NT OWF (one-way function).

LMHistoryHashes
Содержит историю паролей пользователя в формате LAN Manager OWF. Этот атрибут используется для обеспечения совместимости с клиентами LAN Manager 2.x, Windows 95 и Windows 98.

NTHistoryHashes
История паролей пользователя в формате Windows NT OWF.

UserHint
Подсказка о пароле, ассоциированная с данной учетной записью (Windows XP и выше).

UserPicture
Рисунок пользователя, ассоциированный с данной учетной записью (Windows Vista и выше).

Password Recovery Software

Articles and video

Windows Password Recovery - редактор SAM