LSA 机密

LSA，即 Local Security Authority，本地安全机构，是 Microsoft Windows 操作系统中安全子系统的核心组件。本地安全机构 (LSA) 负责管理系统的交互式登录、给用户分发安全访问令牌、实施本地安全策略等。 而LSA 机密是 Windows 中本地安全机构 (LSA) 使用的存储。

LSA 的目的是管理系统的本地安全策略，根据定义，这意味着它将存储有关用户登录、用户身份验证及其 LSA 机密等的私人数据。只有 SYSTEM 权限才可以访问 LSA 机密。LSA 机密所存储系统敏感数据有用户密码、IE密码、服务帐号密码、SQL密码、系统账户密码、计划任务中配置的帐号密码等。

提取 LSA 机密同样有多种方法。

1：注册表

LSA 机密被保存在注册表的 HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets 位置

 

2：从内存中导出

运行 mimikatz，执行命令