Пароль, взламывающий Windows Accounts
На работе у нас есть ноутбуки с зашифрованными жесткими дисками. Большинство разработчиков здесь (при случае я был виновен в нем также) оставляет свои ноутбуки внутри, в спящем режиме режим, когда они отводят домой их ночью. Очевидно, Windows (т.е. существует программа, работающая в фоновом режиме, который делает это для окон) должен иметь метод для нешифрования данных по диску, или это не смогло бы получить доступ к нему. Однако я всегда думал, что отъезд машины окон на в в спящем режиме, режим в незащищенном месте (не на работе над блокировкой) является угрозой нарушения безопасности, потому что кто-то мог взять машину, оставить ее выполнением, взломать учетные записи окон и использовать ее, чтобы зашифровать данные и украсть информацию. Когда я добрался до размышления о том, как я пойду о вторжении в систему окон, не перезапуская его, я не мог выяснить, было ли это возможно.
Я знаю, что возможно записать программу для взламывания паролей Windows, после того как у Вас есть доступ к соответствующему файлу (файлам). Но действительно ли возможно выполнить программу от заблокированной системы Windows, которая сделала бы это? Я не знаю о способе сделать это, но я не эксперт по Windows. Если так, есть ли способ предотвратить его? Я не хочу выставлять уязвимости системы обеспечения безопасности о том, как сделать это, таким образом, я попросил бы, чтобы кто-то не отправлял необходимые шаги в деталях, но если кто-то мог бы сказать что-то как "да, Возможно, что Карта памяти позволяет незаконную казнь", которая была бы большой!
Править: Так как идея с шифрованием, то, что Вы не можете перезагрузить систему, потому что, после того как Вы делаете, шифрование диска в системе требует входа в систему перед способностью запустить окна. Так как машина находится в, в спящем режиме, системный владелец уже обошел шифрование для взломщика, оставив окна как единственную линию обороны для защиты данных.
9 ответов
Оставление внутри машины в спящем режиме, определенно не безопасно, уязвимость была найдена, где RAM все еще содержит ключ для bitlocker (и другие) в бывшей в спящем режиме памяти. Уже существует нападение подтверждения концепции там для этой уязвимости.
Метод нападения должен быстро перезагрузить ПК и считать содержание RAM (который не потерян, когда электроснабжение отключено), затем, программа может искать дамп ключ.
http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/
Microsoft, возможно, уже зафиксировала это все же.
нормальное изменение пароля p.s. не влияет на шифрование, хотя, поскольку зашифрованное содержимое не accesable без правильного пароли, таким образом, простой пароль, изменяющий загрузочные диски, не угрозы безопасности.
Как был упомянут workmad3, лучший способ напасть на машину, это заблокировано без перезагрузки, должен видеть, насколько уязвимый это от сетевого соединения.
Это будет зависеть от политики безопасности на месте в Вашей сети. Например, все учетные записи домена имеют административный доступ к этим ПК? Если так, проверьте долю по умолчанию (\pc-name\c$). Если доля по умолчанию была включена по какой-либо причине, у Вас есть доступ ко всему содержанию ПК по сети с Вашей собственной учетной записью. Я не уверен, работает ли это с зашифрованным жестким диском, но было бы довольно легко протестировать.
После того как у Вас есть доступ к ПК удаленно, можно использовать инструменты как инструмент Sysinternals PsExec для выполнения программ удаленно.
Конечно, это - всего один вектор нападения, и это даже не могло бы работать с зашифрованными жесткими дисками, но это дает Вам общее представление о том, что могло быть сделано.
Править: Если ноутбуки имеют активный Порт Firewire, Вы могли бы смотреть на к этой уязвимости. Снова, я не знаю, помогло ли это с зашифрованной машиной, так как она основана на прямом доступе к памяти (который должен быть зашифрован).
Очевидно, если у кого-то есть физический доступ к машине, все сохраненные учетные данные можно считать поставленными под угрозу.
Если можно, например, загрузиться от USB-устройства или оптического диска, можно использовать, наводят и кликают по инструментам, таким как Ophcrack для восстановления всех паролей. Инструкции здесь: USB Ophcrack | взломщик пароля Windows Login
Править: Да, я знаю, что Вы теоретически не можете возвратиться в "зашифрованный жесткий диск", если машина перезагружается. Содержит ли то требование, зависит полностью от программного обеспечения, используемого для доступа к зашифрованным разделам. BitLocker, кажется, делает достойное задание, но много более ранних реализаций были в основном шуткой - и если можно получить доступ к машине, тривиально легко вывести базу данных SAM к карте с интерфейсом USB и выполнить взламывание офлайн.
Ну, моя первая мысль состояла бы в том, чтобы проснуться, она из в спящем режиме, добирается до пароля, экранируют и затем начинают видеть то, что уязвимо посредством сетевого соединения. Если фактическая сетевая безопасность машин не в хорошем состоянии затем, Вы могли бы получить доступ к большой информации этот путь.
Интересно, что выяснилось бы, если бы Вы записали CD-ROM с autoplay.ini, подходящим для целей Вашего эксперимента, затем заставили машину просыпаться от, в спящем режиме режим. Я на самом деле не знаю то, что произошло бы, но такая методология - то, что я исследовал бы, если попытка напасть на бывшую в спящем режиме машину - заставляет ее просыпаться и вводить исполняемый файл в один из его портов. Это имеет firewire порт? В теории это затем hackable от того интерфейса.
Какое шифрование Вы используете? BitLocker? Зашифрованная файловая система? Без знания я не могу непосредственно ответить на Ваш вопрос.
В любом случае Ваша безопасность была бы так же хороша как самая слабая ссылка. Необходимо удостовериться, что все последние патчи безопасности установлены быстро. Иначе инструменты как MetaSploit могут использоваться, чтобы протестировать известные уязвимости и получить пользователя или доступ администратора.
Vista и XP-sp3 намного менее vunerable, чем более раннее OSs, которое сохранило просто зашифрованный пароль для LANMAN comptibility. Можно все еще взломать легкие пароли с помощью некоторых очень больших таблиц радуги, но это в других отношениях симпатично безопасный от инструментов как ophcrack.
Если Ваше использование, EFS в спящем режиме файл, НЕ шифруется и, как должно предполагаться, содержит чувствительный материал для создания ключей шифрования, должен был дешифровать файлы EFS на диске.
Если Ваше полное шифрование диска использования, быть в спящем режиме файл шифруется со всем остальным и этим риском, смягчено.
Существует количество векторов атаки для bitlocker/TPM включая многое отслеживание шины и нападения стиля бури. TPM не был разработан для защиты информации от решительного TLA, но все еще довольно эффективный при случае общего использования реального мира.
EFS может обойтись путем взламывания пользовательского пароля, если не значимый syskey, опциям позволяют снизить этот риск. EFS лучше чем ничего, но если Ваше использование syskey и таблица Ub3r ra1nb0w стойкий пароль Ваш не действительно представление значительного барьера для компромисса Ваших данных EFS во-первых.