在工作中,我们的笔记本电脑带有加密硬盘。这里的大多数开发人员(有时我也犯过这种错误)晚上带笔记本电脑回家时都会将其置于休眠模式。显然,Windows(即在后台运行的程序为 Windows 执行此操作)必须有一种方法来解密驱动器上的数据,否则它将无法访问它。话虽如此,我一直认为将处于休眠模式的 Windows 机器放在不安全的地方(不是在工作场所上锁)是一种安全威胁,因为有人可能会拿走机器,让它继续运行,破解 Windows 帐户并使用它来加密数据并窃取信息。当我开始思考如何在不重新启动 Windows 系统的情况下侵入它时,我不知道这是否可行。
我知道,只要您有权访问相应的文件,就可以编写一个程序来破解 Windows 密码。但是,是否可以从锁定的 Windows 系统执行一个程序来执行此操作?我不知道如何做到这一点,但我不是 Windows 专家。如果是这样,有没有办法防止它?我不想暴露有关如何做到这一点的安全漏洞,所以我希望有人不要详细发布必要的步骤,但如果有人可以说“是的,USB 驱动器可能允许任意执行”,那就太好了!
编辑:加密的想法是,您无法重新启动系统,因为一旦重新启动,系统上的磁盘加密就需要登录才能启动 Windows。由于机器处于休眠状态,系统所有者已经为攻击者绕过了加密,只剩下 Windows 成为保护数据的唯一防线。
答案1
让机器处于休眠状态绝对不安全,已发现一个漏洞,其中 RAM 仍包含休眠内存中的 BitLocker(和其他)密钥。目前已有针对此漏洞的概念验证攻击。
攻击方法是快速重启电脑并读取 RAM 的内容(断电时不会丢失),然后程序可以在转储中搜索密钥。
http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/
不过微软可能已经修复了这个问题。
ps 正常的密码更改不会影响加密,因为没有正确的密码就无法访问加密内容,所以简单的密码更改启动盘不会带来安全风险。
答案2
正如提到的工作狂3,攻击无需重新启动的锁定机器的最佳方法是查看它在网络连接方面的脆弱程度。
这取决于您网络上的安全策略。例如,所有域帐户是否都具有对这些 PC 的管理访问权限?如果是,请检查默认共享 (\pc-name\c$)。如果出于任何原因启用了默认共享,则您可以使用自己的帐户通过网络访问 PC 的全部内容。我不确定这是否适用于加密硬盘,但测试起来相当容易。
一旦你可以远程访问电脑,你就可以使用 Sysinternals 等工具执行程序远程执行程序的工具。
当然,这只是攻击的一种方式,它甚至可能不适用于加密硬盘,但它可以让您了解可以做什么。
编辑:如果笔记本电脑有活动的 Firewire 端口,你可以看看此漏洞。再说一次,我不知道这是否对加密机器有帮助,因为它基于直接内存访问(应该是加密的)。
答案3
显然,如果有人可以物理访问机器,则所有存储的凭据都可以被视为已被泄露。
例如,如果可以从 USB 设备或光盘驱动器启动,则可以使用 Ophcrack 等点击工具来恢复所有密码。说明如下:USB Ophcrack | Windows 登录密码破解器
编辑:是的,我知道理论上如果机器重新启动,您就无法重新进入“加密硬盘”。这种说法是否成立完全取决于用于访问加密分区的软件。BitLocker 似乎做得不错,但许多早期的实现基本上是一个笑话 - 如果您可以访问机器,那么将 SAM 数据库转储到 USB 记忆棒并离线执行破解就很容易了。
答案4
我想知道如果你刻录了一张 CD-ROM,会发生什么自动播放配置文件适合实验目的的,然后导致机器从休眠模式唤醒。我实际上不知道会发生什么,但如果尝试攻击休眠的机器,我会探索这种方法——让它醒来并将可执行文件引入其某个端口。它有火线端口吗?理论上,它可以通过该接口进行攻击。