題 可以使用EFS加密SAM數據庫以防止脫機密碼破解嗎?


是否可以對SAM數據庫進行EFS加密以防止脫機密碼破解?

是否必須加密為 SYSTEM 用戶?


3
2018-04-10 11:40


起源


聽起來像是一種摧毀Windows的萬無一失的方式。 :D我稍後會嘗試使用VM。 - Daniel B
沒關係。首先不需要密碼破解。你所需要的只是破壞肆虐的哈希。看到這個: security.stackexchange.com/questions/168940/... - SDsolar


答案:


嗯,這根本不可能:

asdf

如果您在Windows未運行時加密文件,則不會使用正確的EFS證書,這很可能會破壞Windows。


3
2018-04-10 18:41



好的調查。還要注意,即使努力成功,安全方面也無法實現任何目標。有關詳細信息,請參閱我的回答 - Ben N
謝謝你退房。我猜Bitlocker是最終獲得它的唯一方法嗎? - daninthemix


你可能不會,即使你可以,它也不會有任何好處。

SAM 文件始終在使用中,您甚至無法使用Process Explorer運行它來關閉它的句柄 SYSTEM。因此, cipher 因訪問被拒絕錯誤而失敗。

如果使用普通用戶密鑰加密文件,Windows將無法訪問它(因為它需要您的密碼來解鎖密鑰),並且啟動過程將失敗。

你可以想像出口 SYSTEM是另一台機器的鑰匙,將目標機器的硬盤安裝在那裡,並加密離線 SAM 用它來存檔。這很有可能打破Windows,因為安全帳戶管理器服務(SamSs)聲稱對所有其他服務的開始非常重要:

此服務的啟動表示安全帳戶管理器(SAM)已準備好接受請求的其他服務。禁用此服務將阻止在SAM準備就緒時通知系統中的其他服務,這可能反過來導致這些服務無法正確啟動。不應禁用此服務。

加密文件系統服務(EFS雖然它沒有明確依賴於SAM,但確實有一些帳戶概念,因為它將密鑰映射到用戶。 EFS 確實有內核模式驅動程序,它在與SAM相同的過程中運行(lsass.exe),所以它可以想像在之前開始 SAM 文件是必需的,但擺弄操作系統的這些低級部分可能是一個可疑的計劃。

如果你以某種方式取得成功,你將無法完成任何事情。計算機必須能夠獲得 SYSTEM沒有輸入任何密碼的E​​FS密鑰,因此必須以未加密的方式存儲在磁盤上。因此,攻擊者只會抓住 SYSTEM的私鑰,無論在哪裡,都用它來解密 SAM,然後繼續做內容數據所需的任何事情。


3
2018-04-10 19:02



你是對的,它不會有任何好處。看看這個: security.stackexchange.com/questions/168940/... - SDsolar


  • 無法使用EFS加密SAM數據庫。
  • 但是可以加密SAM數據庫

自Windows NT 4.0(1996)以來,該功能已存在於Windows中: SYSKEY  (存檔)

從命令提示符運行:

>syskey.exe

用戶界面將顯示:

enter image description here

請注意,這是單向操作。

  • 每次啟動時都必須輸入密碼
  • 您無法刪除SAM數據庫的加密

2017年更新 - 從Windows 10中刪除了SysKey

從Windows 10版本1709開始,將不再包含SysKey。從 KB4025993 

Windows 10版本1709和Windows Server版本1709不再支持Syskey.exe實用程序

syskey.exe實用程序及其在Windows操作系統中的底層支持最初是在Windows 2000中引入的,並且向後移植到Windows NT 4.0。

不幸的是,syskey加密密鑰和syskey.exe的使用不再被認為是安全的。 Syskey基於弱密碼學,在現代很容易被破解。受syskey保護的數據非常有限,並未涵蓋OS卷上的所有文件或數據。眾所周知,syskey.exe實用程序也被黑客用作勒索軟件詐騙的一部分。

他們注意到;你最好用BitLocker或者VeraCrypt這樣的錫箔人。


2
2018-06-19 12:10