Skip to content

Wo werden Benutzer-Passwort-Hashes unter Windows und unter Linux gespeichert, und warum zielen Angreifer auf diese Dateien?

Kurzantwort

Unter Windows liegen die Hashes lokaler Konten (NTLM) in der SAM-Hive unter C:\Windows\System32\config\SAM, geschützt solange das OS läuft; lebende Anmeldedaten sitzen im LSASS-Speicher, und Domänen-Hashes liegen in NTDS.dit auf einem Domänencontroller. Unter Linux liegen Hashes in /etc/shadow (nur für root lesbar), während /etc/passwd Kontometadaten enthält. Angreifer stehlen diese, um Passwörter offline zu knacken oder Pass-the-Hash zu betreiben.

Das ist eine Grundlagenfrage mit echtem operativem Gewicht: Zu wissen, wo die Geheimnisse liegen, sagt dir, was Angreifer nach dem Erlangen eines Standbeins greifen werden und was du schützen und überwachen musst. Interviewer nutzen sie, um zu bestätigen, dass du Anmeldedaten-Diebstahl verstehst und nicht nur Dateipfade auswendig lernst.

Windows

Die Passwort-Hashes lokaler Konten (gespeichert als NTLM) liegen in der SAM-Registry-Hive unter C:\Windows\System32\config\SAM. Die Datei ist gesperrt und verschleiert, solange Windows läuft, kann aber offline extrahiert (z. B. durch Booten eines anderen OS) oder mit Werkzeugen ausgelesen werden. Lebende Anmeldedaten – Klartext, Tickets und Hashes angemeldeter Nutzer – sitzen im Speicher des LSASS-Prozesses, weshalb Tools wie Mimikatz auf LSASS zielen. In Active Directory werden alle Hashes der Domänenkonten in NTDS.dit auf den Domänencontrollern gespeichert – die Kronjuwelen.

Linux

Linux hielt Hashes historisch im weltweit lesbaren /etc/passwd, was jedem erlaubte, Offline-Cracking zu betreiben. Moderne Systeme verschoben die Hashes nach /etc/shadow, nur für root lesbar, während /etc/passwd nicht geheime Metadaten behält (UID, Home-Verzeichnis, Shell). Jeder Shadow-Eintrag kodiert das Hash-Schema (z. B. $6$ = SHA-512), ein Salt und den Hash sowie Felder zur Passwortalterung.

Warum Angreifer sie wollen

Mit den Hashes kann ein Angreifer schwache Passwörter offline mit Hashcat/John knacken oder das Knacken überspringen und Pass-the-Hash gegen NTLM-authentifizierende Dienste betreiben. Deshalb ist das Auslesen von SAM/LSASS/NTDS.dit oder das Lesen von /etc/shadow ein zentrales Post-Exploitation-Ziel.

Warum das wichtig ist

Eine starke Antwort benennt SAM, LSASS und NTDS.dit unter Windows und /etc/shadow (vs. /etc/passwd) unter Linux und verbindet sie mit Offline-Cracking und Pass-the-Hash. Bonuspunkte für Abwehrmaßnahmen: Credential Guard, LSASS-Schutz, starke/lange Passwörter und das Least-Privilege-Prinzip, damit diese Dateien nie erreichbar sind.

Wahrscheinliche Anschlussfragen

  • Warum wurde /etc/shadow eingeführt, als /etc/passwd bereits existierte?
  • Was ist Pass-the-Hash und warum funktioniert es gegen NTLM?
  • Wie schützt Credential Guard die in LSASS residierenden Geheimnisse?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.