🔑 Proceso de Autenticación en Windows

El proceso de autenticación en Windows involucra varios módulos que gestionan inicio de sesión, recuperación y verificación de credenciales.
👉 El más usado y complejo: Kerberos.
👉 Subsistema clave: LSA (Local Security Authority).

🏛️ Autoridad de Seguridad Local (LSA)

• Servicio protegido que:

  • ✅ Autentica usuarios

  • ✅ Aplica políticas de seguridad

  • ✅ Controla accesos y permisos

  • ✅ Genera logs de auditoría

📂 Ubicación: %SystemRoot%\System32\lsass.exe

🔐 Componentes del Inicio de Sesión

• WinLogon.exe → proceso de confianza que:

  • Lanza LogonUI (interfaz gráfica de login)

  • Maneja cambios de contraseña

  • Bloquea/desbloquea la sesión

• Proveedores de credenciales (DLLs) → recogen usuario/contraseña

• LSASS → valida credenciales vía paquetes de autenticación

• SAM o Active Directory → base donde se almacenan credenciales

📦 Paquetes de Autenticación (DLLs)

📚 Base de Datos SAM

• 📂 %SystemRoot%\System32\config\SAM → montado en HKLM\SAM

• Guarda credenciales de usuarios locales (hashes LM o NTLM)

• Necesita privilegios SYSTEM para acceder

• Si el host está en workgroup, usa SAM local.

• Si está en dominio, valida contra NTDS.dit en el DC.

🔐 SYSKEY (desde NT 4.0) → encripta parcialmente el SAM para mayor seguridad.

🗄️ Administrador de Credenciales

• Administra credenciales guardadas (webs, recursos, apps)

• Se almacenan cifradas en:

  C:\Users\[Username]\AppData\Local\Microsoft\Vault\Credentials

• Recuperables/desencriptables durante un assessment ⚡

📂 NTDS.dit (Active Directory)

• Base de datos replicada entre Domain Controllers

• Contiene:

  • 👤 Usuarios + hashes

  • 👥 Grupos

  • 💻 Equipos

  • 📜 GPOs

• Ubicación: %SystemRoot%\ntds.dit

➡️ Muy valiosa en extracción de credenciales durante pentesting.

📌 Resumen clave

• WinLogon + LogonUI → capturan credenciales

• LSASS → valida con paquetes de autenticación

• SAM / NTDS.dit → almacén de cuentas y hashes

• Administrador de Credenciales → credenciales guardadas por usuario