Mật khẩu bẻ khóa tài khoản Windows

Trong công việc, chúng tôi có máy tính xách tay với ổ cứng được mã hóa. Hầu hết các nhà phát triển ở đây (đôi khi tôi cũng có tội) để máy tính xách tay của họ ở chế độ ngủ đông khi họ mang chúng về nhà vào ban đêm. Rõ ràng, Windows (tức là có một chương trình đang chạy trong nền dành cho windows) phải có phương pháp để giải mã dữ liệu trên ổ đĩa, nếu không nó sẽ không thể truy cập được. Điều đó đã được nói, tôi luôn nghĩ rằng để máy windows ở chế độ ngủ đông ở nơi không an toàn (không hoạt động trên khóa) là một mối đe dọa bảo mật, bởi vì ai đó có thể lấy máy, để nó chạy, hack tài khoản windows và sử dụng nó để mã hóa dữ liệu và đánh cắp thông tin. Khi tôi suy nghĩ về việc tôi sẽ đột nhập vào hệ thống windows như thế nào mà không khởi động lại nó, tôi không thể biết liệu điều đó có khả thi hay không.

Tôi biết có thể viết chương trình bẻ khóa mật khẩu windows khi bạn có quyền truy cập vào (các) tệp thích hợp. Nhưng liệu có thể thực thi một chương trình từ một hệ thống Windows bị khóa sẽ làm điều này không? Tôi không biết cách nào để làm điều đó, nhưng tôi không phải là chuyên gia Windows. Nếu vậy, có cách nào để ngăn chặn nó? Tôi không muốn tiết lộ các lỗ hổng bảo mật về cách thực hiện, vì vậy tôi sẽ yêu cầu ai đó sẽ không đăng các bước cần thiết một cách chi tiết, nhưng nếu ai đó có thể nói điều gì đó như "Có, có thể ổ USB cho phép thực thi tùy ý, "Điều đó sẽ rất tuyệt!

EDIT: Ý tưởng của việc mã hóa là bạn không thể khởi động lại hệ thống, bởi vì một khi bạn thực hiện, mã hóa đĩa trên hệ thống yêu cầu đăng nhập trước khi có thể khởi động windows. Với việc máy đang ở chế độ ngủ đông, chủ sở hữu hệ thống đã bỏ qua mã hóa cho kẻ tấn công, để lại các cửa sổ là tuyến phòng thủ duy nhất để bảo vệ dữ liệu.

Rời khỏi máy trong chế độ ngủ đông chắc chắn không an toàn, một lỗ hổng đã được tìm thấy khi RAM vẫn chứa khóa cho bitlocker (và các thiết bị khác) trong bộ nhớ ngủ đông. Hiện đã có bằng chứng về cuộc tấn công khái niệm cho lỗ hổng này.

Phương pháp tấn công là nhanh chóng khởi động lại PC và đọc nội dung của RAM (không bị mất khi bị cắt nguồn), sau đó một chương trình có thể tìm kiếm bãi chứa khóa.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Microsoft có thể đã sửa lỗi này mặc dù.

Việc thay đổi mật khẩu bình thường không ảnh hưởng đến mã hóa, vì nội dung được mã hóa không thể truy cập được nếu không có mật khẩu chính xác, do đó, việc thay đổi mật khẩu đơn giản không phải là rủi ro bảo mật.

Như workmad3 đã đề cập , cách tốt nhất để tấn công một máy bị khóa mà không khởi động lại là xem nó dễ bị tổn thương như thế nào từ kết nối mạng.

Điều này sẽ phụ thuộc vào các chính sách bảo mật tại chỗ trên mạng của bạn. Chẳng hạn, tất cả các tài khoản miền có quyền truy cập quản trị vào các PC này không? Nếu vậy, hãy kiểm tra chia sẻ mặc định (\ pc-name \ c $). Nếu chia sẻ mặc định đã được bật vì bất kỳ lý do gì, bạn có quyền truy cập vào toàn bộ nội dung của PC qua mạng bằng tài khoản của riêng bạn. Tôi không chắc nếu nó hoạt động với một ổ cứng được mã hóa, nhưng nó sẽ khá dễ dàng để kiểm tra.

Khi bạn có quyền truy cập vào PC từ xa, bạn có thể sử dụng các công cụ như công cụ Sysiternals PsExec để thực thi các chương trình từ xa.

Tất nhiên, đó chỉ là một vectơ tấn công và thậm chí nó có thể không hoạt động với các ổ cứng được mã hóa, nhưng nó cho bạn ý tưởng về những gì có thể được thực hiện.

EDIT: Nếu máy tính xách tay có Cổng Firewire hoạt động, bạn có thể xem qua lỗ hổng này . Một lần nữa, tôi không biết liệu điều này có giúp được với một máy được mã hóa hay không, vì nó dựa trên truy cập bộ nhớ trực tiếp (cần được mã hóa).

Rõ ràng, nếu ai đó có quyền truy cập vật lý vào máy, tất cả thông tin đăng nhập được lưu trữ có thể bị coi là bị xâm phạm.

Ví dụ, nếu một người có thể khởi động từ thiết bị USB hoặc ổ đĩa quang, người ta có thể sử dụng các công cụ điểm và nhấp như Ophcrack để khôi phục tất cả mật khẩu. Hướng dẫn tại đây: USB Ophcrack | Windows mật khẩu đăng nhập cracker

Chỉnh sửa: Có, tôi biết rằng về mặt lý thuyết bạn không thể quay lại "ổ cứng được mã hóa" nếu máy được khởi động lại. Việc giữ yêu cầu đó có phụ thuộc hoàn toàn vào phần mềm được sử dụng để truy cập vào các phân vùng được mã hóa hay không. BitLocker dường như làm rất tốt, nhưng nhiều triển khai trước đó về cơ bản chỉ là một trò đùa - và nếu bạn có thể truy cập vào máy thì thật dễ dàng để chuyển cơ sở dữ liệu SAM vào thanh USB và thực hiện bẻ khóa ngoại tuyến.

Chà, suy nghĩ đầu tiên của tôi là đánh thức nó khỏi chế độ ngủ đông, vào màn hình mật khẩu và sau đó bắt đầu xem những gì dễ bị tổn thương thông qua kết nối mạng. Nếu bảo mật mạng máy thực tế không bị trầy xước thì bạn có thể truy cập vào rất nhiều thông tin theo cách này.

Tôi tự hỏi điều gì sẽ xảy ra nếu bạn ghi CD-ROM với autoplay.ini phù hợp với mục đích thử nghiệm của bạn, sau đó khiến máy thức dậy từ chế độ ngủ đông. Tôi thực sự không biết điều gì sẽ xảy ra, nhưng phương pháp đó là thứ tôi sẽ khám phá nếu cố gắng tấn công một cỗ máy ngủ đông - làm cho nó thức dậy và đưa một thực thi vào một trong các cổng của nó. Liệu nó có một cổng firewire? Về lý thuyết thì nó có thể hack từ giao diện đó.

Bạn đang sử dụng loại mã hóa nào? BitLocker? Hệ thống tập tin được mã hóa? Không biết, tôi không thể trả lời trực tiếp câu hỏi của bạn.

Trong mọi trường hợp, bảo mật của bạn sẽ tốt như liên kết yếu nhất. Bạn cần đảm bảo tất cả các bản vá bảo mật mới nhất được cài đặt kịp thời. Mặt khác, các công cụ như MetaSploit có thể được sử dụng để kiểm tra các lỗ hổng đã biết và giành quyền truy cập của người dùng hoặc quản trị viên.

Vista và XP-sp3 ít biến đổi hơn nhiều so với các hệ điều hành trước đó lưu trữ mật khẩu được mã hóa đơn giản cho khả năng tính toán của LANMAN. Bạn vẫn có thể bẻ khóa mật khẩu dễ dàng bằng cách sử dụng một số bảng cầu vồng rất lớn nhưng mặt khác nó khá an toàn từ các công cụ như ophcrack.

Trên hệ thống mã hóa ổ cứng (PGP) của tôi, tôi được yêu cầu nhập mật khẩu mã hóa khi trở về từ chế độ ngủ đông.

Từ Đình chỉ, nó không được phép.

Nếu sử dụng tệp ngủ đông EFS của bạn KHÔNG được mã hóa và nên được coi là có chứa tài liệu khóa nhạy cảm cần thiết để giải mã các tệp EFS trên đĩa.

Nếu bạn sử dụng mã hóa toàn bộ đĩa, tệp ngủ đông được mã hóa với mọi thứ khác và rủi ro này được giảm thiểu.

Có một số vectơ tấn công cho bitlocker / TPM bao gồm một số cuộc tấn công rình mò trên xe buýt và phong cách tạm thời. TPM không được thiết kế để bảo vệ thông tin của bạn khỏi TLA xác định nhưng vẫn khá hiệu quả trong trường hợp sử dụng chung trong thế giới thực.

EFS có thể được phá vỡ bằng cách bẻ khóa mật khẩu người dùng trừ khi các tùy chọn syskey có ý nghĩa được kích hoạt để giảm thiểu rủi ro này. EFS tốt hơn không có gì, trừ khi bạn sử dụng syskey và mật khẩu kháng bảng Ub3r ra1nb0w, bạn không thực sự đưa ra một rào cản đáng kể để thỏa hiệp dữ liệu EFS của bạn ở nơi đầu tiên.