SAM数据库是否可以用EFS加密,防止离线密码破解?

SAM数据库是否可以用EFS加密,防止离线密码破解?

是否可以对 SAM 数据库进行 EFS 加密以防止离线密码破解?

它是否必须以用户身份进行加密SYSTEM

答案1

嗯,这根本不可能:

安省

如果您在 Windows 未运行时加密文件,它将不会使用正确的 EFS 证书,这很可能会破坏 Windows。

答案2

你可能做不到,而且即使你能,也无济于事。

SAM文件始终处于使用状态,您甚至无法使用以 身份运行的 Process Explorer 关闭该文件的句柄SYSTEM。因此,cipher会因拒绝访问错误而失败。

如果您使用普通用户的密钥加密文件,Windows 将无法访问它(因为它需要您的密码来解锁您的密钥),并且启动过程将失败。

您可以将SYSTEM的密钥导出到另一台计算机,在那里安装目标计算机的硬盘驱动器,并SAM使用该密钥加密脱机文件。这很有可能破坏 Windows,因为安全帐户管理器服务 ( SamSs) 声称对所有其他服务的启动非常重要:

此服务的启动会向其他服务发出信号,表示安全帐户管理器 (SAM) 已准备好接受请求。禁用此服务将导致系统中的其他服务在 SAM 准备就绪时无法收到通知,这反过来可能会导致这些服务无法正确启动。不应禁用此服务。

加密文件系统服务 ( EFS) 虽然并不明确依赖于 SAM,但确实具有一些帐户概念,因为它将密钥映射到用户。EFS有内核模式驱动程序,并且它与 SAM(lsass.exe)在同一个进程中运行,因此它可以在SAM需要文件之前启动,但摆弄操作系统如此低级的部分可能是一个可疑的计划。

如果你以某种方式成功了,你什么也没做。计算机必须能够SYSTEM在你不输入任何密码的情况下获取 的 EFS 密钥,因此它必须以未加密的形式存储在磁盘上。因此,攻击者只需获取SYSTEM的私钥(无论它在哪里),使用它来解密SAM,然后继续对里面的数据做任何想做的事情。

答案3

  • 无法使用 EFS 加密 SAM 数据库。
  • 但可以加密 SAM 数据库

该功能自 Windows NT 4.0(1996)以来就存在于 Windows 中:系统密钥 (档案)

从命令提示符运行:

>syskey.exe

用户界面将会出现:

在此处输入图片描述

请注意,这是一个单向操作。

  • 每次启动时都必须输入密码
  • 您无法删除 SAM 数据库的加密

2017 年更新 - SysKey 从 Windows 10 中删除

从 Windows 10 版本 1709 开始,SysKey 将不再包含在内。KB4025993

Windows 10 版本 1709 和 Windows Server 版本 1709 不再支持 Syskey.exe 实用程序

syskey.exe 实用程序及其在 Windows 操作系统中的底层支持最早是在 Windows 2000 中引入的,并移植到 Windows NT 4.0。

不幸的是,syskey 加密密钥和 syskey.exe 的使用不再被视为安全。Syskey 基于弱加密技术,在现代很容易被破解。受 syskey 保护的数据非常有限,并不涵盖操作系统卷上的所有文件或数据。众所周知,黑客还会使用 syskey.exe 实用程序进行勒索软件诈骗。

正如他们所说;对于锡箔人来说,你最好使用像 BitLocker 或 VeraCrypt 这样的软件。

相关内容