SAM数据库是否可以用EFS加密，防止离线密码破解？

嗯，这根本不可能：

如果您在 Windows 未运行时加密文件，它将不会使用正确的 EFS 证书，这很可能会破坏 Windows。

你可能做不到，而且即使你能，也无济于事。

该SAM文件始终处于使用状态，您甚至无法使用以 身份运行的 Process Explorer 关闭该文件的句柄SYSTEM。因此，cipher会因拒绝访问错误而失败。

如果您使用普通用户的密钥加密文件，Windows 将无法访问它（因为它需要您的密码来解锁您的密钥），并且启动过程将失败。

您可以将SYSTEM的密钥导出到另一台计算机，在那里安装目标计算机的硬盘驱动器，并SAM使用该密钥加密脱机文件。这很有可能破坏 Windows，因为安全帐户管理器服务 ( SamSs) 声称对所有其他服务的启动非常重要：

此服务的启动会向其他服务发出信号，表示安全帐户管理器 (SAM) 已准备好接受请求。禁用此服务将导致系统中的其他服务在 SAM 准备就绪时无法收到通知，这反过来可能会导致这些服务无法正确启动。不应禁用此服务。

加密文件系统服务 ( EFS) 虽然并不明确依赖于 SAM，但确实具有一些帐户概念，因为它将密钥映射到用户。EFS有内核模式驱动程序，并且它与 SAM（lsass.exe）在同一个进程中运行，因此它可以在SAM需要文件之前启动，但摆弄操作系统如此低级的部分可能是一个可疑的计划。

如果你以某种方式成功了，你什么也没做。计算机必须能够SYSTEM在你不输入任何密码的情况下获取 的 EFS 密钥，因此它必须以未加密的形式存储在磁盘上。因此，攻击者只需获取SYSTEM的私钥（无论它在哪里），使用它来解密SAM，然后继续对里面的数据做任何想做的事情。

• 无法使用 EFS 加密 SAM 数据库。
• 但可以加密 SAM 数据库

该功能自 Windows NT 4.0（1996）以来就存在于 Windows 中：系统密钥。 （档案）

从命令提示符运行：

>syskey.exe

用户界面将会出现：

请注意，这是一个单向操作。

• 每次启动时都必须输入密码
• 您无法删除 SAM 数据库的加密

2017 年更新 - SysKey 从 Windows 10 中删除

从 Windows 10 版本 1709 开始，SysKey 将不再包含在内。KB4025993

Windows 10 版本 1709 和 Windows Server 版本 1709 不再支持 Syskey.exe 实用程序

syskey.exe 实用程序及其在 Windows 操作系统中的底层支持最早是在 Windows 2000 中引入的，并移植到 Windows NT 4.0。

不幸的是，syskey 加密密钥和 syskey.exe 的使用不再被视为安全。Syskey 基于弱加密技术，在现代很容易被破解。受 syskey 保护的数据非常有限，并不涵盖操作系统卷上的所有文件或数据。众所周知，黑客还会使用 syskey.exe 实用程序进行勒索软件诈骗。

正如他们所说；对于锡箔人来说，你最好使用像 BitLocker 或 VeraCrypt 这样的软件。