Взлом паролей Учетные записи Windows

Оставлять машину в спящем режиме, безусловно, небезопасно, была обнаружена уязвимость, в которой ОЗУ по-прежнему содержит ключ для блокировщика битов (и других) в спящем режиме памяти. Уже существует доказательство концептуальной атаки на эту уязвимость.

Метод атаки состоит в том, чтобы быстро перезагрузить компьютер и прочитать содержимое ОЗУ (которое не теряется при отключении питания), после чего программа может найти ключ в дампе.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Возможно, Microsoft уже исправила это.

Однако обычная смена пароля не влияет на шифрование, так как зашифрованный контент недоступен без правильного пароля, поэтому простая смена пароля загрузочных дисков не представляет угрозы для безопасности.

Как упоминалось в workmad3, лучший способ атаковать машину, которая заблокирована без перезагрузки, - это посмотреть, насколько она уязвима от сетевого подключения.

Это будет зависеть от политик безопасности вашей сети. Например, все учетные записи домена имеют административный доступ к этим ПК? Если это так, проверьте общий ресурс по умолчанию (\ pc-name \ c $). Если общий ресурс по умолчанию был включен по какой-либо причине, у вас есть доступ ко всему содержимому ПК по сети со своей учетной записью. Я не уверен, что это работает с зашифрованным жестким диском, но это было бы довольно легко проверить.

Получив удаленный доступ к ПК, вы можете использовать такие инструменты, как Sysinternals PsExec, для удаленного выполнения программ.

Конечно, это всего лишь один вектор атаки, и он может даже не работать с зашифрованными жесткими дисками, но он дает вам представление о том, что можно сделать.

РЕДАКТИРОВАТЬ: Если у ноутбуков есть активный порт Firewire, вы можете взглянуть на эту уязвимость . Опять же, я не знаю, поможет ли это с зашифрованной машиной, поскольку она основана на прямом доступе к памяти (которая должна быть зашифрована).

Очевидно, что если кто-то имеет физический доступ к машине, все сохраненные учетные данные могут считаться скомпрометированными.

Если можно, например, загрузиться с USB-устройства или оптического привода, можно использовать инструменты «наведи и щелкни», такие как Ophcrack, чтобы восстановить все пароли. Инструкции здесь: USB Ophcrack | Взломщик паролей Windows

Изменить: Да, я знаю, что теоретически вы не можете вернуться на «зашифрованный жесткий диск», если машина будет перезагружена. Удовлетворяет ли это требование полностью, зависит от программного обеспечения, используемого для доступа к зашифрованным разделам. BitLocker, кажется, делает достойную работу, но многие более ранние реализации были в основном шуткой - и если вы можете получить доступ к машине, тривиально легко выгрузить базу данных SAM на USB-накопитель и выполнить взлом в автономном режиме.

Что ж, моей первой мыслью было бы вывести его из спящего режима, перейти к экрану пароля и затем начать видеть, что уязвимо через сетевое соединение. Если безопасность сети на реальных машинах не до нуля, вы можете получить доступ к большому количеству информации таким образом.

Интересно, что произойдет, если вы запишите CD-ROM с файлом autoplay.ini, подходящим для целей вашего эксперимента, а затем заставите компьютер выйти из режима гибернации. Я на самом деле не знаю, что произойдет, но такую ​​методологию я бы использовал, пытаясь атаковать спящий компьютер - заставить его проснуться и ввести исполняемый файл в один из его портов. Есть ли у него порт FireWire? В теории это тогда взломано от того интерфейса.

Какой тип шифрования вы используете? BitLocker? Зашифрованная файловая система? Не зная, я не могу прямо ответить на ваш вопрос.

В любом случае ваша безопасность будет так же хороша, как и самое слабое звено. Вы должны убедиться, что все последние исправления безопасности установлены быстро. В противном случае такие инструменты, как MetaSploit, можно использовать для проверки известных уязвимостей и получения доступа пользователя или администратора.

Vista и XP-sp3 гораздо менее уязвимы, чем более ранние ОС, которые хранили просто зашифрованный пароль для совместимости с LANMAN. Вы все еще можете взломать простые пароли, используя очень большие радужные таблицы, но в остальном это довольно безопасно от таких инструментов, как ophcrack.

В моей системе шифрования жесткого диска (PGP) мне необходимо ввести пароль шифрования при выходе из режима гибернации.

От приостановки это не разрешено.

Если используемый вами файл спящего режима EFS НЕ зашифрован и предполагается, что он содержит конфиденциальный ключевой материал, необходимый для расшифровки файлов EFS на диске.

Если вы используете полное шифрование диска, файл гибернации шифруется всем остальным, и этот риск уменьшается.

Существует несколько векторов атак для битлокера / TPM, включая ряд отслеживаний по шине и атак в стиле бури. TPM не был разработан для защиты вашей информации от определенного TLA, но все еще довольно эффективен в реальных условиях общего использования.

EFS можно обойти, взломав пароль пользователя, если не включены значимые параметры syskey для снижения этого риска. EFS лучше, чем ничего, но если вы не используете syskey и пароль, устойчивый к таблице Ub3r ra1nb0w, вы не представляете серьезного барьера для компрометации ваших данных EFS.