Week 2
In un post precedente, abbiamo visto come evitare la schermata di accesso in Windows 7 e versioni precedenti sfruttando lo strumento AutoLogon offerto da Microsoft. È stato anche menzionato che il vantaggio principale dell`utilizzo dello strumento AutoLogon è che la password non è memorizzata in modulo di testo normale come si fa quando si aggiungono manualmente le voci del registro. Viene prima crittografato e quindi memorizzato in modo che anche l`amministratore del PC non abbia accesso allo stesso. Nel post di oggi, parleremo di come decrittografare il valore DefaultPassword salvato nell`editor del Registro di sistema utilizzando lo strumento AutoLogon.
Per prima cosa, avresti ancora bisogno di avere Privilegi dell`amministratore per decrittografare il valore DefaultPassword. La ragione di questa ovvia restrizione è che tale sistema crittografato e i dati dell`utente sono governati da una speciale politica di sicurezza, nota come Local Security Authority (LSA) che concede l`accesso solo all`amministratore di sistema. Quindi, prima di passare alla decifratura delle password, diamo un`occhiata a questa politica di sicurezza ed è co-related know-how.
LSA - Che cos`è e come memorizza i dati
LSA viene utilizzato da Windows per gestire la politica di sicurezza locale del sistema ed eseguire il processo di auditing e autenticazione sugli utenti che accedono al sistema mentre salva i propri dati privati in una posizione di archiviazione speciale. Questa posizione di archiviazione è denominata Segreti LSA in cui i dati importanti utilizzati dalla politica LSA vengono salvati e protetti. Questi dati vengono archiviati in un formato crittografato nell`editor del Registro di sistema, nella chiave HKEY_LOCAL_MACHINE / Security / Policy / Secrets , che non è visibile agli account utente generali a causa di elenchi di controllo di accesso (ACL) con restrizioni. Se disponi dei privilegi amministrativi locali e conosci i segreti di LSA, puoi accedere alle password RAS / VPN, alle password di Autologon e ad altre password / chiavi di sistema. Di seguito è riportato un elenco.
- $ MACHINE.ACC : correlato all`autenticazione di dominio
- DefaultPassword : valore della password crittografata se AutoLogon è abilitato
- NL $ KM : segreto chiave utilizzata per crittografare le password del dominio memorizzate nella cache
- L $ RTMTIMEBOMB : per memorizzare l`ultimo valore di data per l`attivazione di Windows
Per creare o modificare i segreti, è disponibile un set speciale di API per gli sviluppatori software. Qualsiasi applicazione può accedere alla posizione LSA Secrets ma solo nel contesto dell`account utente corrente.
Come decrittografare la password AutoLogon
Ora, per decrittografare e sradicare il valore DefaultPassword memorizzato in LSA Secrets, si può semplicemente rilasciare una chiamata API Win32. È disponibile un semplice programma eseguibile per ottenere il valore decrittografato del valore DefaultPassword. Segui i seguenti passaggi per farlo:
- Scarica il file eseguibile da qui - ha solo 2 KB di dimensione.
- Estrai il contenuto di DeAutoLogon.zip file.
- Fai clic con il pulsante destro DeAutoLogon.exe ed eseguilo come amministratore.
- Se la funzione AutoLogon è abilitata, il valore DefaultPassword dovrebbe essere proprio lì davanti a te.
Se provi ad eseguire il programma senza i privilegi di amministratore, ti imbatteresti in un errore. Quindi, assicurarsi di acquisire i privilegi di amministratore locale prima di eseguire lo strumento. Spero che questo aiuti!
Gridare nella sezione commenti qui sotto nel caso in cui hai qualche domanda.
Che valore ha un valore di Facebook?
Un "mi piace" su Facebook si traduce in vendite difficili? Uno sforzo per misurare il valore di ogni fan ha una risposta.
Ripristina il valore del Registro di sistema BootExecute per risolvere i problemi di Arresto di Windows e avvio
È Possibile ripristinare il valore del registro di avvio autocheck autochk * sul valore predefinito per correggere Problemi di avvio e arresto di Windows. Determina il comportamento di avvio e spegnimento.
EncryptedRegView: decrittografare e decifrare i dati del registro crittografati
Alcuni dati del registro sono crittografati per ragioni di sicurezza. EncryptedRegView è in grado di decifrare i dati del registro segreto crittografati utilizzando l`algoritmo DPAPI.