Hash auf Maschinen verschieden

Hallo!

Ist es jemanden schon mal vorgekommen, dass zwei verschiedene LM bzw. NTLM Hashs bei gleichem Passwort vorliegen? Die Hash stammen von zwei verschiedenen Rechnern jeweils mit Windows 7.

Die Passwörter sind gleich. LM Hash ist auf den beiden Maschinen aktiviert - selbst dieser "einfache" alte Typ unterscheidet sich.

In den Sicherheitseinstellungen kann ich im Grunde nur dies als Unterscheidung feststellen:
"Für Kerberos zulässige Verschlüsselungstypen konfigurieren"
Die möglichen Verschlüsselungstypen sind alle aktiviert.

Dies hat, soweit mir bekannt, doch nur was mit der Authentifizierung an anderen Systemen zutun und nicht was mit dem Hash der in der SAM enthalten ist - oder?

Kann mir jemand erklären worin diese Unterschiede begründet sind? Im Netz finde ich dazu nichts.

Gruß

Die NTLM Hashes werden mittels MD4 berechnet berechnet und mittels RC4 und dem SysKey gespeichert (=RC4(SysKey, MD4(Password))). Das NTLMv2-Protokoll nutzt dann NTOWFv2, um den Key für die Challenge-Response zu erstellen. Wenn du die beiden verschlüsselten Hashes vergleichst, dann wirst du auf keinen grünen Ast kommen, da der SysKey von System zu System unterschiedlich ist. Hast du denn geprüft, ob du die richtigen Hashes hast?

Auf dem Systemen sind sogar noch die alten LM Hashs aktiviert. Auf verschiedenen Geräten war der Hash zumindest gleich.

Die Hash habe ich mit pwdump7 extrahiert. Allerdings existieren von den Dateien Log1 und Log2 Dateien. Kann es sein, dass da die richtigen Hashs drin gespeichert sind? Sonstige Sicherungen auf dem System habe ich bereits abgeprüft. Pwdadmin, Sam Verschlüsselungen und der weiteren sind nicht vorhanden.

Die Passwörter sind ganz sicher gleich. Und mit Hashcat bekomme ich es im Vergleich zu dem anderen System nicht entschlüsselt.

Da muss irgendwas sein, was ich nicht bedacht habe.

In den SAM Datei werden doch nur die LM bzw NTLM bzw. NTLMv2 Hash gespeichert?! Kerberos ist doch nur bei der Authentifizierung und Netzübertragung von Passwörtern bzw. Anmeldungen wichtig? Oder?

Werden in der SAM noch andere Hash Verfahren gespeichert, die ich nicht bedacht habe? Der NTLMv2 Hash unterscheidet sich doch normal in der SAM eindeutig vom NTLM Hash? Dann kann das auch nicht der v2 Hash sein.

Oder speichert Windows auch wohl irgendwelche stellvertretenden x-beliebige Hash, wenn der eigentliche Hash irgendwo im Netzwerk auf dem AD Server gespeichert wird, obwohl es ein lokales Konto ist?