Взлом паролей Учетные записи Windows

Question

На работе у нас есть ноутбуки с зашифрованными жесткими дисками. Большинство разработчиков здесь (иногда я тоже виновен) оставляют свои ноутбуки в режиме гибернации, когда они забирают их домой ночью. Очевидно, что в Windows (то есть в фоновом режиме работает программа, которая делает это для окон) должен быть метод для расшифровки данных на диске, иначе он не сможет получить к нему доступ. При этом я всегда думал, что оставить машину Windows в режиме гибернации в небезопасном месте (не на работе с блокировкой) - это угроза безопасности, потому что кто-то может взять машину, оставить ее работающей, взломать учетные записи Windows. и использовать его для шифрования данных и кражи информации. Когда я задумался о том, как мне взломать систему Windows, не перезапуская ее, я не мог понять, возможно ли это.

Я знаю, что можно написать программу для взлома паролей Windows, если у вас есть доступ к соответствующим файлам. Но возможно ли выполнить программу из заблокированной системы Windows, которая будет делать это? Я не знаю, как это сделать, но я не эксперт по Windows. Если так, есть ли способ предотвратить это? Я не хочу раскрывать уязвимости системы безопасности, как это сделать, поэтому я бы попросил, чтобы кто-то не опубликовал необходимые шаги в деталях, но если бы кто-то мог сказать что-то вроде: «Да, возможно, USB-накопитель допускает произвольное выполнение, " это было бы прекрасно!

РЕДАКТИРОВАТЬ: Идея с шифрованием заключается в том, что вы не можете перезагрузить систему, потому что, как только вы это сделаете, шифрование диска в системе требует входа в систему, прежде чем можно будет запускать окна. Поскольку компьютер находится в режиме гибернации, владелец системы уже обошел шифрование для злоумышленника, оставив windows в качестве единственной линии защиты для защиты данных.

Answer 1

Оставлять машину в спящем режиме, безусловно, небезопасно, была обнаружена уязвимость, в которой ОЗУ по-прежнему содержит ключ для блокировщика битов (и других) в спящем режиме памяти. Уже существует доказательство концептуальной атаки на эту уязвимость.

Метод атаки состоит в том, чтобы быстро перезагрузить компьютер и прочитать содержимое оперативной памяти (которая не теряется при отключении питания), после чего программа может искать ключ в дампе.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Возможно, Microsoft уже исправила это.

Однако обычная смена пароля не влияет на шифрование, поскольку зашифрованный контент недоступен без правильного пароля, поэтому простая смена пароля загрузочных дисков не представляет угрозы для безопасности.

Answer 2

Как упоминалось в workmad3, лучший способ атаковать машину, которая заблокирована без перезагрузки, - это посмотреть, насколько она уязвима от сетевого подключения.

Это будет зависеть от политик безопасности вашей сети. Например, все учетные записи домена имеют административный доступ к этим ПК? Если это так, проверьте общий ресурс по умолчанию (\pc-name\c $). Если общий ресурс по умолчанию был включен по какой-либо причине, у вас есть доступ ко всему содержимому ПК по сети со своей учетной записью. Я не уверен, что это работает с зашифрованным жестким диском, но это было бы довольно легко проверить.

Получив удаленный доступ к ПК, вы можете использовать такие инструменты, как инструмент Sysinternals PsExec , для удаленного выполнения программ.

Конечно, это всего лишь один вектор атаки, и он может даже не работать с зашифрованными жесткими дисками, но он дает вам представление о том, что можно сделать.

РЕДАКТИРОВАТЬ: Если у ноутбуков есть активный порт Firewire, вы можете взглянуть на эту уязвимость. Опять же, я не знаю, поможет ли это с зашифрованной машиной, поскольку она основана на прямом доступе к памяти (которая должна быть зашифрована).

Answer 3

Очевидно, что если кто-то имеет физический доступ к машине, все сохраненные учетные данные могут считаться скомпрометированными.

Если можно, например, выполнить загрузку с USB-устройства или оптического привода, можно использовать инструменты «наведи и щелкни», такие как Ophcrack, для восстановления всех паролей. Инструкции здесь: USB Ophcrack | Взломщик паролей Windows

Изменить: Да, я знаю, что теоретически вы не можете вернуться на "зашифрованный жесткий диск", если машина будет перезагружена. Удовлетворяет ли это требование полностью, зависит от программного обеспечения, используемого для доступа к зашифрованным разделам. BitLocker, кажется, делает достойную работу, но многие более ранние реализации были в основном шуткой - и если вы можете получить доступ к машине, тривиально легко выгрузить базу данных SAM на USB-накопитель и выполнить взлом в автономном режиме.

Answer 4

Что ж, моей первой мыслью было бы вывести его из спящего режима, перейти к экрану пароля и затем начать видеть, что уязвимо через сетевое соединение. Если безопасность сети на реальных машинах не до нуля, вы можете получить доступ к большому количеству информации таким образом.

Answer 5

Интересно, что произойдет, если вы запишите CD-ROM с файлом autoplay.ini, подходящим для целей вашего эксперимента, а затем заставите компьютер выйти из режима гибернации. Я на самом деле не знаю, что произойдет, но такую методологию я бы использовал, пытаясь атаковать спящий компьютер - заставить его проснуться и ввести исполняемый файл в один из его портов. Есть ли у него порт FireWire? В теории это тогда взломано от того интерфейса.

Answer 6

Какой тип шифрования вы используете? BitLocker? Зашифрованная файловая система? Не зная, я не могу прямо ответить на ваш вопрос.

В любом случае ваша безопасность будет так же хороша, как и самое слабое звено. Вы должны убедиться, что все последние исправления безопасности установлены быстро. В противном случае такие инструменты, как MetaSploit, можно использовать для проверки известных уязвимостей и получения доступа пользователя или администратора.

Answer 7

Vista и XP-sp3 гораздо менее уязвимы, чем более ранние ОС, которые хранили просто зашифрованный пароль для совместимости с LANMAN. Вы все еще можете взломать простые пароли, используя очень большие радужные таблицы, но в остальном это довольно безопасно от таких инструментов, как ophcrack.

Answer 8

В моей системе шифрования жесткого диска (PGP) мне необходимо ввести пароль шифрования при выходе из режима гибернации.

От приостановки это не разрешено.

Answer 9

Если используемый вами файл спящего режима EFS НЕ зашифрован и предполагается, что он содержит конфиденциальный ключевой материал, необходимый для расшифровки файлов EFS на диске.

Если вы используете полное шифрование диска, файл гибернации шифруется всем остальным, и этот риск уменьшается.

Существует несколько векторов атак для битлокера /TPM, включая ряд отслеживаний по шине и атак в стиле бури. TPM не был разработан для защиты вашей информации от определенного TLA, но все еще довольно эффективен в реальных условиях общего использования.

EFS можно обойти, взломав пароль пользователя, если не включены значимые параметры syskey для снижения этого риска. EFS лучше, чем ничего, но если вы не используете syskey и пароль, устойчивый к таблице Ub3r ra1nb0w, вы не представляете серьезного барьера для компрометации ваших данных EFS.