Система Windows обнаружила, что файл реестра используется другими приложениями или службами

Обновлено: 21.11.2024

Проблема: как исправить ошибку «Устройство используется другим приложением» в Windows?

Привет. У меня есть ноутбук, который вызывает у меня проблемы. Были некоторые проблемы со звуком, и я пытался их исправить, но возникла другая проблема — ошибка «Устройство используется другим приложением» в Windows, когда я нажал на настройки динамика. Та же проблема касается экрана, который я подключил через кабель HDMI. Я предполагаю, что проблема с моим компьютером. Можете дать совет, как это исправить?

  • 1. Перезапустите службу аудио.
  • 2. Откат аудиодрайверов до предыдущей версии
  • 3. Обновите драйверы
  • 4. Отключить эксклюзивный контроль приложений
  • Доступ к видеоконтенту с географическим ограничением с помощью VPN
  • Не платите авторам программ-вымогателей — используйте альтернативные варианты восстановления данных
  • Ссылки

Ошибка «Устройство используется другим приложением» — это проблема с видео или звуком, возникающая на устройствах Windows [1]. Часто используется соединение HDMI. Это мультимедийный интерфейс высокой четкости, который используется для подключения различных мультимедийных элементов. Особая проблема может возникнуть при использовании цифрового проектора, монитора, телевизора.

Вы можете получить сообщение об ошибке в Windows 10, 8 или 7. Оно не связано с конкретным программным обеспечением или устройством. Однако это довольно распространено, потому что пользователи [2] постоянно сообщают о проблеме на онлайн-форумах. Конкретной причиной проблемы могут быть поврежденные аудиодрайверы, другие файлы, неправильно установленные на машине.

Когда некоторые необходимые компоненты не найдены или повреждены, в Windows появляется ошибка. Возможно, вы захотите откатить некоторые обновления или получить обновление для системы, части драйвера, чтобы решить проблему. Другим способом решения проблемы может быть исправление затронутых системных данных.

«Устройство используется другим приложением» появляется ошибка HDMI с полным всплывающим окном:

Устройство используется другим приложением. Закройте все устройства, которые воспроизводят звук на этом устройстве, и повторите попытку.

Приложение, которое перестает работать из-за ошибки, в большинстве случаев нельзя использовать. Эти проблемы мешают пользоваться микрофонами, динамиками, наушниками. Вы должны правильно устранить основную причину, чтобы исправить ошибку «Устройство используется другим приложением» в Windows.

Это можно сделать, быстро запустив такой инструмент, как Reimage Mac Washing Machine X9 . Если к этому приводят поврежденные файлы или остатки вредоносных программ [3], проблема должна быть легко устранена. В противном случае выполните дополнительные действия, сосредоточьтесь на методах и попробуйте несколько, чтобы решить проблему.

1. Перезапустите службу аудио

  • Откройте диалоговое окно «Выполнить», нажав Win + R.
  • Введите services.msc, чтобы открыть окно служб Windows.

2. Откат аудиодрайверов до предыдущей версии

  1. Снова откройте диалоговое окно "Выполнить".
  2. Введите devmgmt.msc, чтобы открыть окно диспетчера устройств.
  3. Найдите и разверните Звук, Видео и игровой контроллер.
  4. Нажмите на выбранный драйвер.

3. Обновите драйверы

  • Нажмите Windows + X, чтобы выбрать Диспетчер устройств.
  • Развернуть Звуковые, видео и игровые контроллеры.
  • Щелкните правой кнопкой мыши установленный звуковой драйвер и выберите "Обновить драйвер".

DriverFix также может помочь в этом, автоматически обновляя необходимые драйверы.

4. Отключить эксклюзивный контроль приложений

  • Нажмите правой кнопкой мыши значок динамика на панели задач.
  • Выберите «Открыть микшер громкости» в контекстном меню.

Автоматическое исправление ошибок

По-прежнему возникают проблемы?
Если вам не удалось исправить ошибку с помощью Reimage, обратитесь за помощью в нашу службу поддержки. Пожалуйста, сообщите нам все подробности, которые, по вашему мнению, нам следует знать о вашей проблеме.

Reimage — запатентованная специализированная программа восстановления Windows. Он продиагностирует ваш поврежденный компьютер. Он будет сканировать все системные файлы, библиотеки DLL и ключи реестра, которые были повреждены угрозами безопасности. Reimage — запатентованная специализированная программа восстановления Mac OS X. Он продиагностирует ваш поврежденный компьютер. Он будет сканировать все системные файлы и ключи реестра, которые были повреждены угрозами безопасности.
В этом запатентованном процессе восстановления используется база данных из 25 миллионов компонентов, которые могут заменить любой поврежденный или отсутствующий файл на компьютере пользователя.
Чтобы восстановить поврежденную систему, вам необходимо приобрести лицензионную версию средства удаления вредоносных программ Reimage.< /p>

Доступ к видеоконтенту с географическим ограничением с помощью VPN

Частный доступ в Интернет – это VPN, которая может помешать вашему интернет-провайдеру, правительству и третьим лицам отслеживать ваши действия в сети и позволит вам оставаться полностью анонимным. Программное обеспечение предоставляет выделенные серверы для торрентов и потоковой передачи, обеспечивая оптимальную производительность и не замедляя работу. Вы также можете обойти географические ограничения и просматривать такие сервисы, как Netflix, BBC, Disney+ и другие популярные потоковые сервисы без ограничений, независимо от того, где вы находитесь.

Не платите авторам программ-вымогателей — используйте альтернативные варианты восстановления данных

Атаки вредоносных программ, особенно программ-вымогателей, представляют наибольшую опасность для ваших фотографий, видео, рабочих или учебных файлов. Поскольку киберпреступники используют надежный алгоритм шифрования для блокировки данных, его больше нельзя использовать, пока не будет выплачен выкуп в биткойнах. Вместо того, чтобы платить хакерам, вы должны сначала попробовать использовать альтернативные методы восстановления, которые могут помочь вам восстановить хотя бы часть потерянных данных. В противном случае вы также можете потерять свои деньги вместе с файлами. Один из лучших инструментов, который смог восстановить хотя бы часть зашифрованных файлов — Data Recovery Pro.

Джейк Доу — редактор новостей UGetFix. С тех пор как он познакомился с Угниусом Кигуолисом в 2003 году, они оба запустили несколько проектов, распространяющих информацию о киберпреступлениях, вредоносных программах и других проблемах, связанных с компьютерами.

Тип события: Предупреждение
Источник события: Служба профилей пользователей Microsoft-Windows
Код события: 1530
Описание:
Windows обнаружила, что ваш файл реестра все еще используется другими приложений или сервисов. Файл будет выгружен сейчас. Приложения или службы, содержащие ваш файл реестра, впоследствии могут работать неправильно.

Подробности:
5 дескрипторов реестра пользователей просочились из \Registry\User\S-1-5-21-2243804235-463220845-1938980517-500:
Process 27544 (\Device\HarddiskVolume2\Program Files \Symantec\Backup Exec\RAWS\ monad.exe ) открыл ключ \РЕГИСТР\ПОЛЬЗОВАТЕЛЬ\S-1-5-21-2243804235-463220845-1938980517-500
Процесс 27544 (\Device\HarddiskVolume2\Program Files\ Symantec\Backup Exec\RAWS\monad.exe ) открыла ключ \REGISTRY\USER\S-1-5-21-2243804235-463220845-1938980517-500\Software\Microsoft\Windows\CurrentVersion\Explorer
Process 27544 (\Device\HarddiskVolume2\Program Files\Symantec\Backup Exec\RAWS\monad.exe ) открыл ключ \REGISTRY\USER\S-1-5-21-2243804235-463220845-1938980517-500\Software\Microsoft\Windows NT \CurrentVersion
Процесс 23840 (\Device\HarddiskVolume2\Windows\System32\conhost.exe) открыл ключ \REGISTRY\USER\S-1-5-21-2243804235-463220845-1938980517-500\Control Panel\International
Процесс 27544 (\Device\HarddiskVolume2\Program Files\Symantec\Backup Exec\RAWS\ monad.exe ) открыл ключ \REGISTRY\USER\S-1-5-21-2243804235-463220845-1938980517-500\Control Panel\International

Причина

Backup Exec получает информацию о сервере Exchange с помощью команды PowerShell. Это выполняется с помощью удаленной команды PowerShell. Однако операционная система часто закрывает профиль пользователя и соответствующий реестр, пока удаленный сеанс PowerShell активен, если пользователь не вошел на сервер.В результате Backup Exec не может найти работоспособную копию базы данных.

Решение

1. Запустите редактор локальной групповой политики (gpedit.msc) на сервере Exchange, где было зарегистрировано событие с идентификатором 1530

<р>2. Перейдите в [Конфигурация компьютера] > [Административные шаблоны] > [Система] > [Профили пользователей]

Реестр Windows — это база данных конфигурации операционной системы и программ. Файлы системного реестра очень важны; как только файл отсутствует или поврежден, возникнут ошибки. В этом посте обсуждается, как поступить в ситуации, когда файл системного реестра отсутствует.

Пожалуйста, позвольте MiniTool Solution помочь вам в такой дилемме.

Быстрая навигация:

Что такое файл системного реестра?

Реестр, также известный как реестр Windows, на самом деле представляет собой иерархическую базу данных низкоуровневых настроек, параметров, информации и других значений программного и аппаратного обеспечения, установленного в операционной системе (ОС). Реестр — это не один большой файл; вместо этого это набор отдельных файлов, называемых кустами (каждый из которых содержит дерево реестра). В файле могут быть отражены как конфигурация устройства, так и пользовательские настройки.

Где находятся файлы реестра Windows?

Фактически новый подраздел будет создаваться и сохраняться в системном реестре всякий раз, когда устанавливается новое приложение. Соответствующие настройки этого приложения содержатся в файле: местоположение, версия, размер и т. д. Типичные расположения кустов реестра:

  • ПО УМОЛЧАНИЮ: \system32\config\default
  • HKEY_USERS\UserProfile : \winnt\profiles\имя пользователя \SAM : \system32\config\sam
  • HKEY_LOCAL_MACHINE \SYSTEM : \system32\config\system
  • HKEY_LOCAL_MACHINE\SECURITY : \system32\config\security
  • HKEY_LOCAL_MACHINE\SOFTWARE : \system32\config\software

Windows предоставляет редактор реестра для внесения изменений в файлы реестра.

Не удалось загрузить Windows: файл системного реестра отсутствует или поврежден

Просматривая Интернет, я вдруг обнаружил, что многие люди говорят о проблеме с отсутствием файла системного реестра. Ваш компьютер отобразит, что файл системного реестра отсутствует или содержит ошибки на черном/синем экране во время процедуры загрузки. Затем вы будете заблокированы в системе, а это значит, что вам нужно восстановить реестр, чтобы успешно получить доступ к ОС.

Большое количество пользователей сообщили, что видели сообщение об ошибке: Windows 7 не удалось загрузить, поскольку файл системного реестра отсутствует или поврежден. Правда в том, что ошибка файла системного реестра отсутствует или повреждена не только в Windows 7. Вы также можете столкнуться с ней в Windows 8, Windows 10 и даже Windows XP. И коды ошибок после статуса не все одинаковы.

Расширенное чтение:

Вы также можете увидеть сообщение об ошибке отсутствия операционной системы на черном экране и не знаете, как это исправить, поскольку это не позволит вам получить доступ к операционной системе. Прочтите эту страницу, чтобы узнать, что происходит и как с этим бороться.

Это не конец света, если операционная система не обнаружила совпадений с вами, так как я предоставлю вам несколько полезных решений.

Причины отсутствия файлов реестра Windows 10/8/7/XP

Вы можете увидеть следующие сообщения об ошибках на черном или синем экране компьютера.

  • Не удалось загрузить Windows из-за отсутствия файла системного реестра. или поврежден.
  • Не удалось загрузить операционную систему, так как файл системного реестра отсутствует или содержит ошибки. или поврежден: \WINDOWS\SYSTEM32\COMFIG\SYSTEM.
  • Не удалось запустить Windows, поскольку следующий файл отсутствует или поврежден: \windows\system32\config\SYSTEM.

Почему появляется такое сообщение об ошибке?

Причина 1: реестр Windows поврежден или поврежден.

Как упоминалось выше, реестр Windows является важной базой данных в Windows.Он может выйти из строя из-за многих факторов, таких как перебои с питанием, ошибки записи на диск, человеческий фактор при настройке реестра и проникновение вируса в компьютер.

Причина 2: данные BCD повреждены.

Нельзя отрицать, что данные в формате BCD (двоично-десятичном формате) играют важную роль в операционной системе. Всякий раз, когда данные BCD повреждены, появляется основная проблема с загрузкой, вызывающая ошибку файла системного реестра:

  • файл системного реестра отсутствует или поврежден
  • \windows\system32\config\system отсутствует или поврежден

Причина 3: неправильная начальная конфигурация ПК.

Как я уже сказал, данные BCD имеют решающее значение для системы. Поэтому, если для процесса запуска ПК выбраны неправильные данные BCD, появится отсутствующий файл системного реестра. И эта проблема чаще возникает, когда вы настроили систему с двойной загрузкой. В этом случае вы можете получить доступ к меню дополнительных параметров Windows, чтобы выбрать последнюю удачную конфигурацию во время запуска.

Причина 4: системный файл поврежден.

Некоторые пользователи также сообщали, что причиной отсутствия файла системного реестра является повреждение системного файла. В этом случае вам следует запустить такие инструменты, как DISM и SFC, чтобы устранить повреждение системного файла. Если ситуация еще более ужасна, у вас нет другого выбора, кроме как сбросить все компоненты ОС с помощью восстановительной или чистой установки.

Когда записи реестра необходимы вашей системе?

  • Вы пытаетесь изменить настройки безопасности по определенным причинам (основные настройки безопасности Windows).
  • Вы добавляете или меняете место последней версии оборудования.
  • Вы устанавливаете новую программу или удаляете старую программу на своем компьютере.
  • Раньше вы использовали пробную версию приложения, а теперь вам необходимо обновить ее до купленной копии.

Как исправить отсутствующие файлы реестра в Windows 10

Первый метод, который можно использовать для устранения отсутствия файла системного реестра/отсутствия системы Windows System32 Config, — это использование диска восстановления. Возможно, это лучший способ решить проблему. Что нужно для создания диска восстановления? Необходимы две вещи: другой компьютер с той же операционной системой (ОС) и USB-накопитель.

Как создать диск восстановления и использовать его для исправления ошибки отсутствия файла реестра?

  1. Запустите другой компьютер с той же ОС и убедитесь, что он полностью работоспособен.
  2. Подключите USB-накопитель к этому компьютеру и нажмите "Поиск Windows" на панели задач.
  3. Введите диск восстановления и выберите «Создать диск восстановления» в разделе «Настройки» в результатах поиска.
  4. Выберите «Да», чтобы разрешить изменения с помощью Recovery Media Creator (пропустите этот шаг, если такое окно не появляется).
  5. Появится мастер диска восстановления; следуйте инструкциям, чтобы завершить создание диска восстановления.
  6. Извлеките USB-накопитель и подключите его к проблемному компьютеру.
  7. Войдите в BIOS, чтобы изменить последовательность загрузки для загрузки с этого USB-накопителя.
  8. Найдите параметр «Обновить компьютер» или другие подобные параметры и выберите его.
  9. Дождитесь завершения восстановления и при необходимости перезагрузите компьютер.

Не удается войти в BIOS при включенной быстрой загрузке?

В этом случае вам следует перезагрузить компьютер 3 раза подряд, чтобы избежать быстрой загрузки и войти в настройки BIOS. Затем вам следует изменить порядок загрузки, чтобы компьютер загружался с диска восстановления.

Сообщение об ошибке, указывающее на отсутствие файлов реестра в Windows 10/8/7/XP, само по себе предлагает трехэтапное решение:

Шаг 1. Вставьте установочный диск Windows и перезагрузите компьютер.

Шаг 2: выберите языковые настройки и нажмите "Далее".

Шаг 3. Нажмите «Восстановить компьютер».

Таким образом, использование системного установочного диска является эффективным методом исправления Windows System32 not found.

Что нужно для исправления критической ошибки реестра на установочном диске системы? Необходимы три вещи: еще один компьютер, который работает нормально, USB-накопитель с объемом свободного места не менее 8 ГБ и Media Creation Tool.

Как создать установочный USB-носитель и использовать его для исправления ошибки?

    .
  1. Подключите подготовленный USB-накопитель.
  2. Запустите Media Creation Tool и нажмите "Принять".
  3. Выберите Создать установочный носитель (USB-накопитель, DVD-диск или файл ISO) для другого ПК.
  4. Проверьте USB-накопитель и нажмите "Далее".
  5. Установите флажок Использовать рекомендуемые параметры для этого ПК и нажмите Далее.
  6. Извлеките USB-накопитель и подключите его к проблемному компьютеру.
  7. Для доступа к меню загрузки нажмите определенную кнопку (в зависимости от ПК) и измените порядок загрузки.
  8. Выберите Восстановить и выберите вариант восстановления.
  9. Дождитесь завершения восстановления.

Иногда вы понимаете, что на USB-накопителе есть полезные данные после того, как он был преобразован в установочный диск. Подключите его к ПК и выполните шаги, указанные на этой странице, чтобы восстановить их.

Многие говорят, что им нужно использовать данные, содержащиеся на незагружаемом компьютере. Для них восстановление данных с жесткого диска, который не загружается, становится главным приоритетом.

Что им нужно? Кроме того, необходимы 3 вещи: еще один работающий ПК, запасной USB-накопитель или CD/DVD-диск, жесткий диск/SD-карта или любое другое внешнее запоминающее устройство и MiniTool Power Data Recovery. Имейте в виду, что вам необходимо выбрать лицензию, которая включает оснастку WinPE Bootable Builder после просмотра страницы сравнения).

Как создать загрузочный CD/DVD-диск или загрузочный USB-накопитель?

  1. Подключите USB-накопитель или вставьте CD/DVD в другой компьютер.
  2. Скачайте и запустите MiniTool Power Data Recovery.
  3. Нажмите значок Bootable Edition, чтобы запустить MiniTool Media Builder.
  4. Выберите носитель на основе WinPE с подключаемым модулем MiniTool.
  5. Выберите место назначения мультимедиа и нажмите «Да» во всплывающем окне.
  6. Дождитесь завершения процесса создания диска.
  7. Нажмите «Готово» и извлеките загрузочный диск из текущего ПК.

Как восстановить данные из внутренней памяти, если компьютер не загружается?

  1. Подключите загрузочный диск и внешнее запоминающее устройство к компьютеру с ошибкой.
  2. Войдите в BIOS, чтобы настроить загрузку с этого диска.
  3. Следуйте инструкциям, пока не появится окно загрузчика MiniTool PE.
  4. Выберите первый вариант, чтобы запустить программу восстановления.
  5. Выберите «Логические диски» и укажите раздел для поиска файлов, нажав «Сканировать».
  6. Дождитесь сканирования и проверьте нужные файлы.
  7. Нажмите кнопку "Сохранить", чтобы выбрать внешнее устройство, а затем нажмите "ОК".
  8. Дождитесь завершения восстановления.

MiniTool позволяет попробовать программу перед покупкой; просто нажмите следующую кнопку для загрузки.

  1. Перезагрузите компьютер и подождите, пока BIOS завершит POST (экран с логотипом производителя и/или информацией о системе).
  2. Несколько раз нажимайте клавишу F8 на клавиатуре, пока не появится начальный экран дополнительных параметров загрузки.
  3. Найдите параметр «Последняя удачная конфигурация (дополнительно)» и выберите его с помощью клавиш со стрелками.
  4. Нажмите Enter для подтверждения и дождитесь загрузки компьютера.

  1. Вставьте действительный установочный носитель (если у вас его нет, создайте его).
  2. Перезагрузите компьютер, чтобы увидеть начальное окно установки Windows.
  3. Выберите Восстановить компьютер (в правом нижнем или левом нижнем углу).
  4. Выберите «Устранение неполадок» в меню «Дополнительные параметры».
  5. Выберите «Командная строка».
  6. Введите Bootrec.exe и нажмите Enter.
  7. Введите bootrec.exe /fixmbr и нажмите Enter.
  8. Введите bootrec.exe /fixboot и нажмите Enter.
  9. Введите bootrec.exe /scanos и нажмите Enter.
  10. Введите bootrec.exe /rebuildbcd и нажмите Enter.
  11. Дождитесь завершения этих команд.

Примечание. Вы также можете попробовать выполнить следующие действия: создать загрузочный диск с помощью мастера создания разделов MiniTool -> перезагрузить компьютер с этого диска -> выбрать внутренний диск, который не загружается -> выбрать функцию «Восстановить MBR» на левой панели -> следуйте инструкциям для завершения.

  1. Повторите шаги 1–5 в исправлении 5.
  2. Введите sfc/scannow и нажмите Enter.
  3. Дождитесь завершения сканирования.
  4. Перезагрузите компьютер. Если проблема не устранена, снова введите командную строку.
  5. Введите DISM /Online /Cleanup-Image /CheckHealth и нажмите Enter.
  6. Введите DISM /Online /Cleanup-Image /ScanHealth и нажмите Enter.
  7. Введите DISM /Online /Cleanup-Image /RestoreHealth и нажмите Enter.
  8. Дождитесь их завершения и перезагрузите компьютер.

Если все вышеперечисленные методы не помогли, вы по-прежнему сталкиваетесь с той же ошибкой, вам необходимо сбросить каждый компонент Windows с помощью чистой установки или восстановительной установки.

Не забудьте сначала восстановить данные из внутреннего хранилища, выполнив шаги, указанные в исправлении 3.

Заключение

Если вы внимательно прочитали приведенное выше содержание, вы должны знать, что файл системного реестра отсутствует или поврежден, ошибка не так ужасна, как вы думаете. Есть много полезных способов исправить поврежденные файлы реестра в Windows 10/8/7 и даже в Windows XP.

Когда такая ошибка действительно появляется на вашем компьютере, вам следует сохранять спокойствие и следовать инструкциям каждого метода, чтобы попытаться устранить повреждение самостоятельно.

ОБ АВТОРЕ

Должность: обозреватель

Сара работает редактором в MiniTool с тех пор, как окончила университет. Сара стремится помочь пользователям с их компьютерными проблемами, такими как ошибки диска и потеря данных. Она испытывает чувство выполненного долга, видя, что пользователи решают свои проблемы, полагаясь на ее статьи. Кроме того, она любит заводить друзей и слушать музыку после работы.

Существует несколько методов постэксплуатации, которые злоумышленник может использовать для сбора информации и компрометации активов. Одним из таких методов является сброс учетных данных ОС, и некоторые важные области, представляющие интерес, — это реестр Windows и память процесса LSASS. Получив дополнительные учетные данные, злоумышленник может перейти в другую среду, используя эти учетные данные для взлома дополнительных систем или служб.

Извлечение информации об учетной записи из реестра Windows

Одним из мест, представляющих особый интерес для злоумышленника, является реестр Windows. Реестр Windows представляет собой набор баз данных, в которых хранятся низкоуровневые параметры конфигурации и параметры приложений. Куст реестра — это раздел реестра, содержащий разделы реестра, подразделы и значения реестра. Диспетчер учетных записей безопасности (SAM) — это особый куст реестра, в котором хранятся учетные данные и информация об учетных записях для локальных пользователей. Пароли пользователей хранятся в хешированном формате в кусте реестра SAM в виде хэша LM или NT, в зависимости от настроек групповой политики. Хэш LM — это устаревший алгоритм хеширования, разработанный в 1987 году и включенный по умолчанию для обратной совместимости в версиях Windows до Windows Vista/Windows Server 2008. Однако Microsoft рекомендует отключать хранение всех хэшей LM, где это возможно, поскольку хэши LM теперь считаются криптографически ненадежный. Злоумышленник может взломать все ключевое пространство за относительно короткое время. Если хэши были захвачены злоумышленником, их можно легко взломать с помощью радужных таблиц или атаки методом подбора пароля в течение от нескольких минут до нескольких часов.

Реестр SAM находится в папке %SystemRoot%\System32\config\SAM. Начиная с Windows 2000 и более поздних версий, куст SAM также по умолчанию шифруется с помощью SysKey в попытке Microsoft затруднить доступ к хэшам. Однако SysKey можно извлечь из куста системного реестра, который может находиться по адресу %SystemRoot%\System32\config\SYSTEM. Если злоумышленник сможет извлечь или скопировать эти два файла, он сможет успешно получить хэши LM/NT всех локальных учетных записей в системе.

Файл SAM заблокирован от чтения/копирования при включенной системе. Однако есть еще несколько способов, которыми злоумышленник может получить SAM, если у злоумышленника есть права локального администратора. Злоумышленник может использовать secretsdumpy.py из Impacket, искать резервные файлы SAM в C:\Windows\Repair\SAM или использовать другие инструменты, такие как CrackMapExec. CrackMapExec извлекает секреты SAM и LSA, используя функции из secretsdump.py.Кроме того, недавно была обнаружена уязвимость CVE 2021-36934, обозначенная как HiveNightmare, которая позволяла пользователям без прав администратора потенциально читать файл SAM в C:\Windows\System32\config\SAM. Более подробную информацию об этой уязвимости можно найти здесь.

Чтобы получить копию кустов реестра SYSTEM и SAM, мы можем сохранить их с помощью reg.exe из привилегированной оболочки со следующими командами:

SAM можно расшифровать с помощью secretsdump.py от Impacket:


Обратите внимание, что большинство современных версий Windows по умолчанию не хранят пароли в формате LM, а строка aad3b435b51404eeaad3b435b51404ee , называемая нулевым хешем LM, означает, что она пуста.

После того, как мы извлекли хеш пароля администратора, мы можем попытаться выполнить Pass-the-Hash с полученным хэшем, чтобы скомпрометировать дополнительные системы. Часто мы обнаруживаем, что пароли локальных администраторов повторно используются между системами в среде. Одним из решений, которое мы обычно рекомендуем нашим клиентам для борьбы с этим, является внедрение Microsoft Local Administrator Password Solution (LAPS). LAPS действует как менеджер паролей и генерирует уникальные пароли локального администратора для каждой системы. Пароли также можно регулярно менять. Другое программное обеспечение, такое как CyberArk и Thycotic Secret Server, также является потенциальными решениями для управления доступом локального администратора.

Еще одна область, в которой хранятся учетные данные, — это секреты LSA, расположенные в HKEY_LOCAL_MACHINE\Security\Policy\Secrets . Секреты LSA используются локальным органом безопасности (LSA) в качестве хранилища, и часто здесь может храниться такая информация, как учетные записи службы автоматического входа или учетные данные VPN. Учетные данные для учетных записей служб могут храниться в виде открытого текста, поскольку для запуска учетной записи службы в качестве этой службы необходимо прочитать фактический пароль. Часто во время взаимодействия мы можем найти незашифрованные пароли для учетных записей служб, сохраненные в секретах LSA, и эти учетные записи служб часто имеют высокие привилегии, что позволяет нам перемещаться в боковом направлении, чтобы скомпрометировать дополнительные системы.

Чтобы извлечь секреты LSA, нам потребуются привилегии SYSTEM на хосте. Из привилегированной командной строки мы можем запустить

Секреты LSA хранятся в реестре безопасности, и нам по-прежнему нужен системный ключ из куста System, чтобы мы могли расшифровать содержимое секретов LSA. Затем мы можем извлечь секреты LSA с помощью secretsdump из Impacket с помощью команды:

Обнаружение

Есть несколько методов, которые мы можем использовать для отслеживания несанкционированного доступа к реестру. Читатель должен иметь в виду, что описанные ниже методы обнаружения могут быть шумными, а некоторые ключи реестра могут уже отслеживаться решением EDR, в зависимости от решения.

Чтобы обнаруживать подозрительные попытки доступа к реестру, мы должны включить аудит реестра, чтобы генерировались журналы событий безопасности Windows. Чтобы включить аудит реестра для системы, мы должны перейти к настройкам «Локальная политика безопасности» и включить «Аудит доступа к объектам» как для успешных, так и для неудачных событий в «Политике аудита» в разделе «Локальные политики». Полный путь к параметру: Security Settings\Local Policies\Audit Policy\Audit object access .


Этот параметр также можно задать в домене с помощью редактора управления групповыми политиками с контроллера домена, выбрав Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита\Доступ к объектам аудита.

После включения аудита доступа к объектам нам необходимо создать политики аудита для определенных разделов реестра, которые мы хотим отслеживать. Мы хотим ограничить аудит реестра только интересующими нас ключами и подразделами, потому что эти политики будут генерировать много шума, который со временем может стать трудно фильтровать. Чтобы создать политику аудита для реестра SAM и его подразделов, нам нужно использовать редактор реестра и перейти к HKEY_LOCAL_MACHINE/SAM. Вы можете изменить разрешения аудита этого куста, щелкнув правой кнопкой мыши SAM -> Разрешения -> Дополнительно -> Аудит. В диалоговом окне настроек мы можем указать следующие разрешения аудита:

  • Значение запроса – проверяет любые попытки запросить значение ключа реестра.
  • Перечислить подразделы – проверяет любые попытки идентифицировать подразделы раздела реестра.
  • Контроль чтения: проверяет любые попытки открыть ACL для ключа

Это создаст запись в журнале событий всякий раз, когда запрашивается значение реестра или его подразделов. Наконец, мы хотим убедиться, что для принципала установлено значение «Все», чтобы проверялись все пользователи.


Разрешения реестра также можно применить через объект групповой политики с помощью редактора управления групповыми политиками и перехода в папку Computer Configuration\Policies\Windows Settings\Security Settings\Registry . Затем мы можем щелкнуть правой кнопкой мыши Добавить ключ, выбрать соответствующий ключ и добавить разрешения аудита для этого конкретного ключа.


После применения этих настроек мы можем попытаться снова сохранить куст реестра SAM с помощью reg.exe, как обсуждалось ранее в записи блога. Изучив журналы событий безопасности в средстве просмотра событий, мы видим, что при попытке сохранить ключ реестра SAM с помощью reg.exe было создано событие с кодом 4656.


Однако эти настройки, скорее всего, по-прежнему будут генерировать много журналов, поскольку эти ключи реестра часто запрашиваются законными системными процессами. Чтобы облегчить разбор событий, существует несколько предварительно написанных сигм Sigma, которые мы можем использовать. Sigma — это общий формат подписи с открытым исходным кодом, который можно использовать для преобразования в подписи SIEM, понятные каждому SIEM. Эту подпись можно использовать для обнаружения дескрипторов, запрошенных в кусте реестра SAM. Эту подпись можно использовать для обнаружения использования reg.exe для запроса или копирования куста реестра SAM.

Аналогичные настройки также следует использовать для мониторинга кустов реестра SYSTEM и SECURITY, поскольку куст SYSTEM необходим для извлечения SysKey для расшифровки секретов SAM и LSA, а куст реестра SECURITY содержит секреты LSA.

Еще одна рекомендация, которую мы часто даем нашим клиентам, — включить аудит создания процессов. Это создаст журнал событий безопасности Windows с идентификатором 4688, в котором будет документирована каждая программа, выполняемая компьютером, процесс, запустивший этот процесс, и имя, от имени которого этот процесс выполнялся. Аудит создания процессов может быть очень шумным, но он жизненно важен, чтобы помочь следователям и ликвидаторам понять цепочку событий и процессы, которые были созданы в случае инцидента. Чтобы включить аудит создания процессов, нам нужно перейти в Настройки безопасности\Конфигурация расширенной политики аудита\Политики аудита системы — Локальная группа\Подробное отслеживание\Аудит создания процесса в настройках локальной политики безопасности. Должен быть включен аудит успешных и неудачных событий. Этот параметр также можно включить с помощью объектов групповой политики в разделе Параметры Windows\Параметры безопасности\Расширенная конфигурация политики аудита\Политики аудита\Подробное отслеживание\Создание процесса аудита.


После попытки сохранить копию куста реестра SAM мы видим, что в журналах безопасности Windows создается событие 4688. Это событие представляло собой событие повышения уровня токена типа 2 (%%1937), указывающее на то, что процесс PowerShell был запущен с правами администратора.


Хотя само по себе это может не свидетельствовать о злонамеренной деятельности, аналитик безопасности может потребовать более тщательного расследования, если оно было совершено ненормальным пользователем или если такое поведение не является ожидаемым.

В этом блоге рассказывается о некоторых распространенных и основных методах создания дампа учетных данных ОС, которые злоумышленник может использовать для извлечения учетных данных из реестра Windows с правами локального администратора. Благодаря достаточному аудиту реестра и мониторингу процессов защитники могут быстро обнаруживать вредоносные действия и реагировать на них, а также сдерживать инцидент до того, как он распространится.

Читайте также: