Можно ли выполнить EFS-шифрование базы данных SAM, чтобы предотвратить взлом пароля в автономном режиме?
Должен ли он быть зашифрован как пользователь SYSTEM ?
3
3 ответа
3
Ну, это просто невозможно
Если вы зашифруете файл, когда Windows не запущена, он не будет использовать правильный сертификат EFS, что, скорее всего, приведет к поломке Windows.
3
Вы, вероятно, не можете, и даже если бы вы могли, это не принесло бы пользы.
Файл SAM всегда используется, и вы даже не можете закрыть ему дескрипторы, если Process Explorer работает как SYSTEM . Следовательно, cipher завершается с ошибкой отказа в доступе.
Если вы зашифровали файл с помощью ключа обычного пользователя, Windows не сможет получить к нему доступ (поскольку для разблокировки ключа требуется ваш пароль), и процесс загрузки завершится неудачно.
Вы можете экспортировать ключ SYSTEM на другой компьютер, смонтировать на нем жесткий диск целевой машины и зашифровать с его помощью автономный файл SAM . Это имеет большой шанс сломать Windows, потому что служба диспетчера учетных записей безопасности (SamSs) утверждает, что она действительно важна для запуска всех других служб:
Запуск этой службы сигнализирует другим службам, что диспетчер учетных записей безопасности (SAM) готов принимать запросы. Отключение этой службы предотвратит уведомление других служб в системе о готовности SAM, что, в свою очередь, может привести к неправильному запуску этих служб. Эта услуга не должна быть отключена.
Служба шифрованной файловой системы (EFS), хотя она явно не зависит от SAM, имеет определенную концепцию учетных записей, поскольку она сопоставляет ключи с пользователями. EFS имеет драйвер режима ядра и работает в том же процессе, что и SAM (lsass.exe), так что он может запуститься раньше, чем потребуется файл SAM , но возиться с такими низкоуровневыми частями ОС Вероятно, сомнительный план.
Если бы вы каким-то образом преуспели, вы бы ничего не достигли. Компьютер должен иметь возможность получить ключ EFS SYSTEM без ввода пароля, поэтому он должен храниться в незашифрованном виде на диске. Поэтому злоумышленник просто захватил закрытый ключ SYSTEM , где бы он ни находился, использовал его для расшифровки SAM , а затем продолжил делать все, что угодно с данными внутри.
2
- Невозможно зашифровать базу данных SAM с использованием EFS.
- Но возможно зашифровать базу данных SAM
Эта функция существует в Windows начиная с Windows NT 4.0 (1996): SysKey. (архив)
Из командной строки запустите:
>syskey.exe
и пользовательский интерфейс появится:
Помните, что это односторонняя операция.
- вам придется вводить пароль каждый раз при загрузке
- Вы не можете удалить шифрование базы данных SAM
Обновление 2017 - SysKey удален из Windows 10
Начиная с Windows 10 версии 1709, SysKey больше не будет включен. От KB4025993
Утилита Syskey.exe больше не поддерживается в Windows 10 версии 1709 и Windows Server версии 1709
Утилита syskey.exe и лежащая в ее основе поддержка в ОС Windows были впервые представлены в Windows 2000 и перенесены в Windows NT 4.0.
К сожалению, ключ шифрования syskey и использование syskey.exe больше не считаются безопасными. Syskey основан на слабой криптографии, которая может быть легко взломана в наше время. Данные, которые защищены syskey, очень ограничены и не охватывают все файлы или данные на томе ОС. Также известно, что утилита syskey.exe используется хакерами как часть мошеннических программ-вымогателей.
Как они отмечают; Вам лучше использовать что-то вроде BitLocker или VeraCrypt для людей из фольги.