是否可以对 SAM 数据库进行 EFS 加密以防止离线密码破解?
它是否必须以用户身份进行加密SYSTEM
?
答案1
答案2
你可能做不到,而且即使你能,也无济于事。
该SAM
文件始终处于使用状态,您甚至无法使用以 身份运行的 Process Explorer 关闭该文件的句柄SYSTEM
。因此,cipher
会因拒绝访问错误而失败。
如果您使用普通用户的密钥加密文件,Windows 将无法访问它(因为它需要您的密码来解锁您的密钥),并且启动过程将失败。
您可以将SYSTEM
的密钥导出到另一台计算机,在那里安装目标计算机的硬盘驱动器,并SAM
使用该密钥加密脱机文件。这很有可能破坏 Windows,因为安全帐户管理器服务 ( SamSs
) 声称对所有其他服务的启动非常重要:
此服务的启动会向其他服务发出信号,表示安全帐户管理器 (SAM) 已准备好接受请求。禁用此服务将导致系统中的其他服务在 SAM 准备就绪时无法收到通知,这反过来可能会导致这些服务无法正确启动。不应禁用此服务。
加密文件系统服务 ( EFS
) 虽然并不明确依赖于 SAM,但确实具有一些帐户概念,因为它将密钥映射到用户。EFS有内核模式驱动程序,并且它与 SAM(lsass.exe
)在同一个进程中运行,因此它可以在SAM
需要文件之前启动,但摆弄操作系统如此低级的部分可能是一个可疑的计划。
如果你以某种方式成功了,你什么也没做。计算机必须能够SYSTEM
在你不输入任何密码的情况下获取 的 EFS 密钥,因此它必须以未加密的形式存储在磁盘上。因此,攻击者只需获取SYSTEM
的私钥(无论它在哪里),使用它来解密SAM
,然后继续对里面的数据做任何想做的事情。
答案3
- 无法使用 EFS 加密 SAM 数据库。
- 但可以加密 SAM 数据库
该功能自 Windows NT 4.0(1996)以来就存在于 Windows 中:系统密钥。 (档案)
从命令提示符运行:
>syskey.exe
用户界面将会出现:
请注意,这是一个单向操作。
- 每次启动时都必须输入密码
- 您无法删除 SAM 数据库的加密
2017 年更新 - SysKey 从 Windows 10 中删除
从 Windows 10 版本 1709 开始,SysKey 将不再包含在内。KB4025993
Windows 10 版本 1709 和 Windows Server 版本 1709 不再支持 Syskey.exe 实用程序
syskey.exe 实用程序及其在 Windows 操作系统中的底层支持最早是在 Windows 2000 中引入的,并移植到 Windows NT 4.0。
不幸的是,syskey 加密密钥和 syskey.exe 的使用不再被视为安全。Syskey 基于弱加密技术,在现代很容易被破解。受 syskey 保护的数据非常有限,并不涵盖操作系统卷上的所有文件或数据。众所周知,黑客还会使用 syskey.exe 实用程序进行勒索软件诈骗。
正如他们所说;对于锡箔人来说,你最好使用像 BitLocker 或 VeraCrypt 这样的软件。