Windowsアカウントのパスワードクラッキング
職場では、暗号化されたハードドライブを搭載したラップトップがあります。ここにいるほとんどの開発者(私も罪を犯していることがあります)は、夜に家に持ち帰るときにラップトップを休止状態のままにします。明らかに、Windows(つまり、Windows用にバックグラウンドで実行されているプログラムがあります)には、ドライブ上のデータの暗号化を解除するメソッドが必要です。そうしないと、データにアクセスできません。そうは言っても、安全でない場所(ロックで作業していない場所)でWindowsマシンを休止状態モードのままにしておくことは、セキュリティ上の脅威であると常に考えていました。それを使用してデータを暗号化し、情報を盗みます。 Windowsシステムを再起動せずに侵入する方法を考えたとき、それが可能かどうかわかりませんでした。
適切なファイルにアクセスできれば、Windowsのパスワードを解読するプログラムを作成できることを私は知っています。しかし、これを行うロックされたWindowsシステムからプログラムを実行することは可能ですか?私はそれを行う方法を知りませんが、私はWindowsの専門家ではありません。もしそうなら、それを防ぐ方法はありますか?その方法に関するセキュリティの脆弱性を明らかにしたくないので、誰かが必要な手順を詳細に投稿しないようにお願いしたいのですが、誰かが「はい、USBドライブが任意の実行を許可する可能性があります。 「それは素晴らしいことです!
編集:暗号化を使用するという考えは、システムを再起動できないということです。再起動すると、システムのディスク暗号化はWindowsを起動する前にログインが必要になるためです。マシンが休止状態にあるため、システム所有者はすでに攻撃者の暗号化をバイパスしており、データを保護するための唯一の防御線としてウィンドウを残しています。
マシンを休止状態のままにしておくことは間違いなく安全ではなく、RAMが休止状態のメモリ内のビットロッカー(およびその他)のキーをまだ含んでいる)の脆弱性が見つかりました。概念実証はすでに存在します。この脆弱性を攻撃します。
攻撃の方法は、PCをすばやく再起動し、RAM(電源を切っても失われません)の内容を読み取ることです。その後、プログラムはダンプでキーを検索できます。
http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/
ただし、Microsoftはすでにこれを修正している可能性があります。
p.s.ただし、暗号化されたコンテンツには正しいパスワードがないとアクセスできないため、通常のパスワード変更は暗号化に影響しません。したがって、単純なパスワード変更ブートディスクはセキュリティリスクにはなりません。
workmad で述べたように、再起動せずにロックされているマシンを攻撃する最善の方法は、ネットワーク接続からの脆弱性を確認することです。
これは、ネットワークに適用されているセキュリティポリシーによって異なります。たとえば、すべてのドメインアカウントにこれらのPCへの管理アクセス権がありますか?その場合は、デフォルトの共有(\ pc-name\c $)を確認してください。何らかの理由でデフォルトの共有がオンになっている場合は、自分のアカウントを使用して、ネットワーク経由でPCのコンテンツ全体にアクセスできます。これが暗号化されたハードドライブで機能するかどうかはわかりませんが、テストは非常に簡単です。
PCにリモートでアクセスできるようになると、Sysinternals PsExec ツールなどのツールを使用してプログラムをリモートで実行できます。
もちろん、これは攻撃の1つのベクトルにすぎず、暗号化されたハードドライブでも機能しない可能性がありますが、何ができるかがわかります。
編集:ラップトップにアクティブなFirewireポートがある場合は、 この脆弱性 を確認できます。繰り返しになりますが、これが暗号化されたマシンに役立つかどうかはわかりません。これは、ダイレクトメモリアクセス(暗号化する必要がある)に基づいているためです。
明らかに、誰かがマシンに物理的にアクセスできる場合、保存されているすべての資格情報が侵害されたと見なされる可能性があります。
たとえば、USBデバイスまたは光学ドライブから起動できる場合は、Ophcrackなどのポイントアンドクリックツールを使用して、すべてのパスワードを回復できます。ここでの手順: SB Ophcrack | Windowsログインパスワードクラッカー
編集:はい、マシンを再起動すると、理論的には「暗号化されたハードドライブ」に戻れないことを認識しています。その主張が成り立つかどうかは、暗号化されたパーティションにアクセスするために使用されるソフトウェアに完全に依存します。 BitLockerはまともな仕事をしているように見えますが、以前の実装の多くは基本的に冗談でした。マシンにアクセスできれば、SAMデータベースをUSBスティックにダンプして、オフラインでクラッキングを実行するのは簡単です。
さて、私の最初の考えは、休止状態から復帰し、パスワード画面に移動してから、ネットワーク接続を介して脆弱なものを確認し始めることです。実際のマシンのネットワークセキュリティが完全ではない場合は、この方法で多くの情報にアクセスできます。
CD-ROMをで焼いたら何が起こるのだろうか autoplay.ini 実験の目的に適した後、マシンを休止状態モードからウェイクアップさせました。私は実際に何が起こるかわかりませんが、その種の方法論は、休止状態のマシンを攻撃しようとした場合に私が探求するものです-それを起こして、実行可能ファイルをそのポートの1つに導入します。ファイアワイヤポートはありますか?理論的には、そのインターフェイスからハッキング可能です。
どのような暗号化を使用していますか? BitLocker?暗号化されたファイルシステム?知らずに、私はあなたの質問に直接答えることはできません。
いずれにせよ、あなたのセキュリティは最も弱いリンクと同じくらい良いでしょう。最新のセキュリティパッチがすべて迅速にインストールされていることを確認する必要があります。それ以外の場合は、 MetaSploit などのツールを使用して、既知の脆弱性をテストし、ユーザーまたは管理者のアクセス権を取得できます。
VistaおよびXP-sp3は、LANMANの互換性のために単純に暗号化されたパスワードを保存していた以前のOSよりもはるかに脆弱ではありません。いくつかの非常に大きなレインボーテーブルを使用して簡単なパスワードを解読することはできますが、それ以外の点では、ophcrackなどのツールからはかなり安全です。
ハードディスク暗号化システム(PGP)では、休止状態から戻るときに暗号化パスワードを入力する必要があります。
サスペンドからは許可されません。
使用しているEFS休止状態ファイルが暗号化されておらず、ディスク上のEFSファイルを復号化するために必要な機密キーイング資料が含まれていると想定する必要がある場合。
フルディスク暗号化を使用している場合、休止状態のファイルは他のすべてのもので暗号化され、このリスクが軽減されます。
バススヌーピングやテンペストスタイルの攻撃など、bitlocker/TPMには多数の攻撃ベクトルがあります。 TPMは、決定されたTLAから情報を保護するようには設計されていませんが、実際の一般的なユースケースでは依然として非常に効果的です。
このリスクを軽減するために意味のあるsyskeyオプションが有効になっていない限り、ユーザーのパスワードを解読することでEFSを回避できます。 EFSは何もないよりはましですが、syskeyとUb3r ra1nb0wテーブル耐性パスワードを使用しない限り、そもそもEFSデータの侵害に対する重大な障壁を実際に提示することはありません。