Come decrittografare il valore DefaultPassword salvato nel registro per AutoLogon

In un post precedente, abbiamo visto come evitare la schermata di accesso in Windows 7 e versioni precedenti sfruttando lo strumento AutoLogon offerto da Microsoft. È stato anche menzionato che il vantaggio principale dell`utilizzo dello strumento AutoLogon è che la password non è memorizzata in modulo di testo normale come si fa quando si aggiungono manualmente le voci del registro. Viene prima crittografato e quindi memorizzato in modo che anche l`amministratore del PC non abbia accesso allo stesso. Nel post di oggi, parleremo di come decrittografare il valore DefaultPassword salvato nell`editor del Registro di sistema utilizzando lo strumento AutoLogon.

Per prima cosa, avresti ancora bisogno di avere Privilegi dell`amministratore per decrittografare il valore DefaultPassword. La ragione di questa ovvia restrizione è che tale sistema crittografato e i dati dell`utente sono governati da una speciale politica di sicurezza, nota come Local Security Authority (LSA) che concede l`accesso solo all`amministratore di sistema. Quindi, prima di passare alla decifratura delle password, diamo un`occhiata a questa politica di sicurezza ed è co-related know-how.

LSA - Che cos`è e come memorizza i dati

LSA viene utilizzato da Windows per gestire la politica di sicurezza locale del sistema ed eseguire il processo di auditing e autenticazione sugli utenti che accedono al sistema mentre salva i propri dati privati ​​in una posizione di archiviazione speciale. Questa posizione di archiviazione è denominata Segreti LSA in cui i dati importanti utilizzati dalla politica LSA vengono salvati e protetti. Questi dati vengono archiviati in un formato crittografato nell`editor del Registro di sistema, nella chiave HKEY_LOCAL_MACHINE / Security / Policy / Secrets , che non è visibile agli account utente generali a causa di elenchi di controllo di accesso (ACL) con restrizioni. Se disponi dei privilegi amministrativi locali e conosci i segreti di LSA, puoi accedere alle password RAS / VPN, alle password di Autologon e ad altre password / chiavi di sistema. Di seguito è riportato un elenco.

• $ MACHINE.ACC : correlato all`autenticazione di dominio
• DefaultPassword : valore della password crittografata se AutoLogon è abilitato
• NL $ KM : segreto chiave utilizzata per crittografare le password del dominio memorizzate nella cache
• L $ RTMTIMEBOMB : per memorizzare l`ultimo valore di data per l`attivazione di Windows

Per creare o modificare i segreti, è disponibile un set speciale di API per gli sviluppatori software. Qualsiasi applicazione può accedere alla posizione LSA Secrets ma solo nel contesto dell`account utente corrente.

Come decrittografare la password AutoLogon

Ora, per decrittografare e sradicare il valore DefaultPassword memorizzato in LSA Secrets, si può semplicemente rilasciare una chiamata API Win32. È disponibile un semplice programma eseguibile per ottenere il valore decrittografato del valore DefaultPassword. Segui i seguenti passaggi per farlo:

1. Scarica il file eseguibile da qui - ha solo 2 KB di dimensione.
2. Estrai il contenuto di DeAutoLogon.zip file.
3. Fai clic con il pulsante destro DeAutoLogon.exe ed eseguilo come amministratore.
4. Se la funzione AutoLogon è abilitata, il valore DefaultPassword dovrebbe essere proprio lì davanti a te.

Se provi ad eseguire il programma senza i privilegi di amministratore, ti imbatteresti in un errore. Quindi, assicurarsi di acquisire i privilegi di amministratore locale prima di eseguire lo strumento. Spero che questo aiuti!

Gridare nella sezione commenti qui sotto nel caso in cui hai qualche domanda.