ملف SAM في ويندوز: ليه خطره كبير على السيستم!

لو انت SysAdmin، في ملف واحد لازم تبقي واخد بالك منه جدًا - اسمُه SAM File.
الملف ده مش مجرد ملف عادي؛ ده قاعدة بيانات المستخدمين وكلمات السر (مشفّرة كـ hashes) على كل جهاز ويندوز. لو اتسرق أو اتعرض، المشكلة بتكبر بسرعة وبتدي المخترق طرق كتير للحقن أو الانتشار.

يعني إيه SAM File وفين مكانه؟ ​

• اسم الملف: Security Account Manager (SAM).
• مكانه: C:\Windows\System32\Config\SAM.
• الخصوصية: الويندوز بيقفل الملف أثناء التشغيل - حتى الـ System Account مش بيقدر يطلعه بسهولة.
• بيحتوي على: NTLM hashes لحسابات الـ Local Users، وبعض سياسات الباسورد.
• مهم نعرف إنه Local Accounts فقط موجودين هنا - مش الـ Domain Users (اللي بياناتهم على الـ Domain Controller).

---

ليه اللي بيشتغل في الأمن لازم يخاف من الـ SAM؟ ​

لأن أي اختراق لويندوز عادة هدفه الأساس الوصول للـ SAM.
لمّا المخترق يطلع الـHashes، يقدر يعمل حاجات خطيرة زي Pass-the-Hash أو يحاول يكسر الـhashes offline.
وفي شبكة Domain، لو جهاز واحد اتسطح ومفيش Segmentation كويس، الموضوع ممكن يمتد ويمر لـ Domain Controller.

أدوات معروفة بتتعامل مع الـ SAM (لأغراض دفاعية واختبار اختراق مسموح) ​

• mimikatz - أداة معروفة لاستخراج credentials، بتستخدمها فرق الرد على الحوادث ومحترفي الأمن.
• pwdump / fgdump - أدوات قديمة لاستخراج hashes في وضع Offline أو Live.
• Hashcat / John the Ripper - أدوات لكسر الhashes بشكل قانوني لتحليل قوة الباسوردات.

ملاحظة: الأدوات دي لها استخدام دفاعي ولها استخدام خبيث. احرص دايمًا على التعامل معاها في بيئة اختبار أو بعد موافقة رسمية.

علامات ممكن تخبرك إن فيه محاولة للوصول للـ SAM ​

• محاولات وصول مش متوقعة لمسارات النظام في الـ logs.
• نشاط غير طبيعي من مستخدم محلي عند أوقات غير العمل.
• أدوات غريبة بتشتغل بصلاحيات مرتفعة.
• تنبيهات من الـ EDR أو SIEM عن عمليات قراءة للـ registry أو ملفات النظام الحساسة.

---

أوامر وفحوصات سريعة تفيدك كـ SysAdmin ​

افحص حالة BitLocker (لو مفعل ولا لأ)​

manage-bde -status

تأكد من وجود LSA Protection (RunAsPPL) في الريجستري​

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL

لو القيمة موجودة و1 ده كويس (يعني LSA مصنّف كـ Protected Process Light).

شوف إعدادات الـ Auditing العامة​

auditpol /get /category:*

لو مش مفعّل Audit Object Access، فعّله عشان تقدر تراقب محاولات الوصول للـ SAM.

---

إزاي تحمي الـ SAM - خطوات عملية ومباشرة ​

1. فعل LSA Protection / RunAsPPL
   ده بيقلل فرص tools زي mimikatz من قراءة الLSA memory. (تحقق من الدعم في إصدار ويندوز بتاعك).
2. شغل Windows Defender Credential Guard لو ممكن (تحتاج Virtualization-based Security).
3. مطّبق مبدأ Least Privilege - ما تدّيش صلاحيات Admin لأي مستخدم إلا لو ضروري.
4. Network Segmentation - اعزل الأجهزة الحساسة عن باقي الشبكة.
5. فعل BitLocker على الأقراص - عشان لو حد سرق الهارد، الملف يبقى مش قابل للقراءة.
   • افحص بالـ manage-bde -status.
6. راقب Registry والتغييرات الحساسة باستخدام SIEM - شغّل تنبيهات لأي تعديل في المفاتيح دي.
7. حدّث الأنظمة والبرامج دايمًا - الأجهزة القديمة أو الغير محدثة بتبقى هدف سهل.
8. مراقبة الـ Logs بانتظام - خصوصًا Security وSystem وApplication logs.
9. استخدم Credential Vault زي Windows Hello for Business أو حلول Secrets Management (Vault).

---

لو حصل اختراق - إزاي تتصرف بسرعة؟ ​

1. اعزل الجهاز فورًا من الشبكة.
2. خد snapshot/صورة من الـ disk واحتفظ بالـ logs - يعني Evidence.
3. غير كلمات المرور الحساسة فورًا وبالأخص اللي على الأجهزة اللي اتأثرت.
4. اعمل فحص شامل للـ EDR وحقق في تواجد أي backdoors أو لوغات غريبة.
5. راجع طريقة النسخ والـ Backups - مين يملك صلاحية عمل Backup على الجهاز؟ فين النسخ دي مخزنة؟
6. نفّذ Post-incident Hardening: شغّل الحماية اللي فوق، وطبّق Segmentation، وغيّر السياسات.

نصايح عملية للـ Devs وOps عشان ما تفتحش الباب للمهاجمين ​

• ما تخليش الآدمن يعمل Backup على نفس السيرفر الProduction - استعمل Repo مُدار وPrivate (Git) وCI/CD.
• ما تسيبش كلمات سر في ملفات config على الـ filesystem بدون تشفير أو Vault.
• خلّي عمليات الوصول للأدمن تحت مراقبة ومُقيدة بزمن (Just-In-Time access).
• درّب الفريق على التعامل مع الحوادث (IR drills) مرّتين في السنة على الأقل.

خلاصة سريعة - أهم نقاط تخليك في أمان ​

• الـ SAM هو قلب سرية بيانات المستخدمين على ويندوز - لو اتسرق، المشكلة كبيرة.
• الوقاية أهم بكتير من العلاج: شغّل LSA Protection، Credential Guard، BitLocker، وطبّق Least Privilege وNetwork Segmentation.
• راقب الـ logs، وفعل الـ Auditing، وخلي عندك خطة استجابة جاهزة.