Злом паролів облікових записів Windows

На роботі у нас є ноутбуки із зашифрованими жорсткими дисками. Більшість розробників тут (іноді я теж винен у цьому) залишають свої ноутбуки в режимі сплячки, коли вони забирають їх додому вночі. Очевидно, що у Windows (тобто у фоновому режимі працює програма, яка робить це для Windows) повинен бути метод розшифровки даних на диску, інакше він не зможе отримати доступ до нього. Попри це, я завжди думав, що залишити машину Windows у сплячому режимі в незахищеному місці (а не на роботі в замці) є загрозою безпеці, тому що хтось може забрати машину, залишити її роботою, зламати облікові записи Windows і використовувати їх для шифрування даних та крадіжки інформації. Коли я задумався над тим, як би я почав пробиватися до системи Windows, не перезавантажуючи її, я не міг зрозуміти, чи це можливо.

Я знаю, що можна написати програму для зламування паролів Windows, як тільки ви отримаєте доступ до відповідних файлів. Але чи можна виконати програму із заблокованої системи Windows, яка б це зробила? Я не знаю способу це зробити, але я не фахівець з Windows. Якщо так, чи існує спосіб запобігти це? Я не хочу розкривати вразливості безпеки щодо того, як це зробити, тому я б просив, щоб хтось не публікував необхідні кроки в деталях, але якщо хтось може сказати щось на кшталт "Так, можливо, USB-накопичувач дозволяє довільне виконання, " було б чудово!

EDIT: Ідея шифрування полягає в тому, що ви не можете перезавантажувати систему, тому що, як тільки ви це зробите, для шифрування диска в системі потрібен логін, перш ніж можна запустити вікна. Коли машина перебуває в сплячому режимі, власник системи вже обійшов шифрування для зловмисника, залишивши вікна єдиною лінією захисту для захисту даних.

Залишення машини в сплячому режимі, безумовно, не захищено, виявлена ​​вразливість, коли оперативна пам'ять все ще містить ключ для бітлокера (та інших) в пам'яті зимування. Вже є доказ концептуальної атаки на цю вразливість.

Метод атаки полягає в швидкому перезавантаженні ПК та зчитуванні вмісту ОЗУ (який не втрачається при відключенні живлення), тоді програма може шукати дамп для ключа.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Microsoft, можливо, це вже виправила.

ps Зміна звичайного пароля не впливає на шифрування, оскільки зашифрований контент недоступний без правильного пароля, тому прості завантажувальні диски, що змінюються паролем, не є ризиком для безпеки.

Як зазначав workmad3 , найкращий спосіб напасти на заблоковану машину без перезавантаження - це побачити, наскільки вона вразлива від мережевого з'єднання.

Це залежатиме від політики безпеки у вашій мережі. Наприклад, чи всі адміністратори домену мають адміністративний доступ до цих ПК? Якщо так, перевірте загальну частку (\ pc-name \ c $). Якщо поділка за замовчуванням увімкнена з будь-якої причини, у вас є доступ до всього вмісту ПК через мережу за допомогою власного облікового запису. Я не впевнений, чи працює це із зашифрованим жорстким диском, але це було б досить легко перевірити.

Після віддаленого доступу до ПК ви можете використовувати такі інструменти, як інструмент Sysinternals PsExec для віддаленого виконання програм.

Звичайно, це лише один вектор атаки, і він може не працювати навіть із зашифрованими жорсткими дисками, але це дає вам уявлення про те, що можна зробити.

EDIT: Якщо у ноутбуків є активний порт Firewire, ви можете ознайомитися з цією вразливістю . Знову ж таки, я не знаю, чи це допомогло б зашифрованій машині, оскільки це засноване на прямому доступі до пам'яті (який повинен бути зашифрований).

Очевидно, якщо хтось має фізичний доступ до машини, усі збережені облікові дані можна вважати порушеними.

Якщо можна, наприклад, завантажуватися з USB-пристрою або оптичного накопичувача, можна скористатись точковими та натискаючими інструментами, такими як Ophcrack, для відновлення всіх паролів. Інструкції тут: USB Ophcrack | Зломщик паролів для входу в Windows

Редагувати: Так, я знаю, що ви теоретично не можете повернутися до "зашифрованого жорсткого диска", якщо машина перезавантажиться. Чи має місце ця претензія чи ні, повністю залежить від програмного забезпечення, яке використовується для доступу до зашифрованих розділів. Здається, BitLocker справляє гідну роботу, але багато попередніх реалізацій в основному були жартом - і якщо ви можете отримати доступ до машини, то тривільно легко скинути базу даних SAM на USB-накопичувач і виконати злом в автономному режимі.

Ну, першою моєю думкою було б вибудити його зі сплячого режиму, перейти до екрана паролів і потім почати бачити, що є вразливим через мережеве з'єднання. Якщо фактична мережева безпека машин не досягла, тоді ви можете отримати доступ до великої кількості інформації таким чином.

Цікаво, що б перетворилося, якби ви записали компакт-диск із autoplay.ini, що підходить для ваших експериментів, а потім змусив машину прокинутися зі сплячого режиму. Я насправді не знаю, що б сталося, але така методика - це те, що я вивчив би, намагаючись напасти на сплячу машину - змусити її прокинутися і ввести виконуваний файл в один із своїх портів. Чи є в ньому порту firewire? Теоретично це злом із цього інтерфейсу.

Яке шифрування ви використовуєте? BitLocker? Зашифрована файлова система? Не знаючи, я не можу безпосередньо відповісти на ваше запитання.

У будь-якому випадку, ваша безпека була б такою ж доброю, як і найслабша ланка. Вам потрібно забезпечити негайне встановлення всіх останніх патчів безпеки. В іншому випадку такі інструменти, як MetaSploit, можуть бути використані для тестування відомих уразливостей та отримання доступу користувачів або адміністратора.

Vista та XP-sp3 набагато менш вразливі, ніж попередні ОС, які зберігали просто зашифрований пароль для сумісності LANMAN. Ви все ще можете зламати прості паролі за допомогою дуже великих таблиць веселки, але в іншому випадку це досить захищено від таких інструментів, як ophcrack.

У моїй системі шифрування жорсткого диска (PGP) мені потрібно ввести пароль шифрування під час повернення зі сплячки.

З призупинення заборонено.

Якщо ваш файл з використанням режиму hibernate EFS НЕ шифрується, і слід вважати, що він містить чутливий ключ, необхідний для дешифрування файлів EFS на диску.

Якщо ви використовуєте повне шифрування диска, файл зі сну зашифрований з усім іншим, і цей ризик зменшується.

Існує кількість векторів атаки для бітлокера / ТПМ, включаючи ряд шиномобільних та бурхливих атак. TPM не був розроблений для захисту вашої інформації від визначеної TLA, але все ще досить ефективний у реальному випадку загального користування.

EFS можна обійти, розминувши пароль користувача, якщо не включені значущі параметри syskey для зменшення цього ризику. EFS краще, ніж нічого, окрім випадків, коли ви користуєтесь системою syskey та стійким паролем Ub3r ra1nb0w табл., Насправді, це не є істотним бар'єром для компрометації ваших даних EFS.