パスワードクラッキングWindowsアカウント

職場では、暗号化されたハードドライブを搭載したラップトップがあります。ここにいるほとんどの開発者（私もときどき罪を犯している）は、夜間に家に持ち帰るときにラップトップを休止状態のままにします。明らかに、Windows（つまり、Windows用にバックグラウンドで実行するプログラムがあります）には、ドライブ上のデータを暗号化解除する方法が必要です。そうしないと、データにアクセスできません。そうは言っても、誰かがマシンを持ち、実行したままにして、Windowsアカウントをハッキングする可能性があるため、セキュリティで保護されていない場所（ロックで作業していない）でWindowsマシンを休止状態モードのままにすることはセキュリティ上の脅威であると常に考えていましたそれを使用してデータを暗号化し、情報を盗みます。再起動せずにWindowsシステムに侵入する方法について考え始めたとき、それが可能かどうかはわかりませんでした。

適切なファイルにアクセスしたら、Windowsパスワードをクラックするプログラムを作成できることを知っています。しかし、これを行うロックされたWindowsシステムからプログラムを実行することは可能ですか？その方法はわかりませんが、Windowsの専門家ではありません。もしそうなら、それを防ぐ方法はありますか？その方法に関するセキュリティの脆弱性を公開したくないので、誰かが必要な手順を詳細に投稿しないようにお願いしますが、誰かが「はい、USBドライブは任意の実行を許可している可能性があります「それは素晴らしいことです！

編集：暗号化の考え方は、システムを再起動できないということです。一度再起動すると、Windowsを起動する前にシステムのディスク暗号化にログインする必要があります。マシンが休止状態になっているため、システム所有者はすでに攻撃者の暗号化をバイパスしており、データを保護する唯一の防御線としてウィンドウを残しています。

マシンを休止状態のままにしておくのは間違いなく安全ではありません。RAMが休止状態のメモリにビットロッカー（およびその他）のキーを保持している脆弱性が見つかりました。この脆弱性に対する概念実証攻撃がすでに存在します。

攻撃の方法は、PCをすばやく再起動し、RAMの内容を読み取り（電源が切れても失われない）、プログラムがキーのダンプを検索できるようにすることです。

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

ただし、Microsoftはすでにこれを修正している可能性があります。

ps通常のパスワード変更は暗号化には影響しません。暗号化されたコンテンツは正しいパスワードなしではアクセスできないため、ブートディスクを変更するだけの簡単なパスワードはセキュリティリスクになりません。

workmad3で述べたように、再起動せずにロックされているマシンを攻撃する最善の方法は、ネットワーク接続によるマシンの脆弱性を確認することです。

これは、ネットワークに設定されているセキュリティポリシーによって異なります。たとえば、すべてのドメインアカウントにこれらのPCへの管理アクセス権がありますか？その場合は、デフォルトの共有（\ pc-name \ c $）を確認してください。何らかの理由でデフォルトの共有がオンになっている場合は、自分のアカウントを使用してネットワーク経由でPCのコンテンツ全体にアクセスできます。これが暗号化されたハードドライブで動作するかどうかはわかりませんが、テストは非常に簡単です。

PCにリモートでアクセスしたら、Sysinternals PsExecツールなどのツールを使用して、プログラムをリモートで実行できます。

もちろん、それは攻撃の1つのベクトルにすぎず、暗号化されたハードドライブでも機能しない可能性がありますが、何ができるのかはわかります。

編集：ラップトップにアクティブなFirewireポートがある場合は、この脆弱性をご覧ください。繰り返しますが、これが暗号化されたマシンに役立つかどうかはわかりません。なぜなら、それはダイレクトメモリアクセス（暗号化されるべき）に基づいているからです。

明らかに、誰かがマシンに物理的にアクセスできる場合、保存されているすべての資格情報が危険にさらされていると見なすことができます。

たとえば、USBデバイスまたは光学ドライブから起動できる場合、Ophcrackなどのポイントアンドクリックツールを使用してすべてのパスワードを回復できます。こちらの手順：USB Ophcrack | Windowsログインパスワードクラッカー

編集：はい、マシンが再起動された場合、理論的には「暗号化されたハードドライブ」に戻れないことを認識しています。その主張が成立するかどうかは、暗号化されたパーティションへのアクセスに使用されるソフトウェアに完全に依存します。BitLockerはまともな仕事をしているようですが、以前の実装の多くは基本的に冗談でした-マシンにアクセスできれば、SAMデータベースをUSBスティックにダンプしてオフラインでクラッキングを実行するのは簡単です。

さて、最初に考えたのは、休止状態から復帰し、パスワード画面に移動してから、ネットワーク接続を介して脆弱なものを見始めることです。実際のマシンのネットワークセキュリティがスクラッチでない場合、この方法で多くの情報にアクセスできます。

実験の目的に適したautoplay.iniを使用してCD-ROMを作成し、マシンを休止状態モードからウェイクアップすると、何が起きるのでしょうか。私は実際に何が起こるかわかりませんが、そのような方法論は、冬眠マシンを攻撃しようとする場合に探求するものです-ウェイクアップして、実行可能ファイルをそのポートの1つに導入します。firewireポートはありますか？理論的には、そのインターフェースからハッキング可能です。

どのような暗号化を使用していますか？BitLocker？暗号化されたファイルシステム？知らずに、あなたの質問に直接答えることはできません。

いずれにせよ、あなたのセキュリティは最も弱いリンクと同じくらい良いでしょう。すべての最新のセキュリティパッチを迅速にインストールする必要があります。それ以外の場合、MetaSploitなどのツールを使用して既知の脆弱性をテストし、ユーザーまたは管理者のアクセス権を取得できます。

VistaおよびXP-sp3は、LANMANの互換性のために単純に暗号化されたパスワードを保存した以前のOSよりもはるかに脆弱ではありません。非常に大きなレインボーテーブルを使用して簡単なパスワードを解読することもできますが、それ以外の場合はophcrackなどのツールからはかなり安全です。

ハードディスク暗号化システム（PGP）では、休止状態から戻るときに暗号化パスワードを入力する必要があります。

サスペンドからは許可されません。

使用しているEFS hibernateファイルが暗号化されておらず、ディスク上のEFSファイルを解読するために必要な機密キーイングマテリアルが含まれていると想定する必要がある場合。

フルディスク暗号化を使用している場合、休止状態ファイルは他のすべてで暗号化され、このリスクは軽減されます。

多数のバススヌーピングやテンペストスタイルの攻撃など、bitlocker / TPMには多くの攻撃ベクトルがあります。TPMは、決定されたTLAから情報を保護するようには設計されていませんが、実際の一般的なユースケースでは依然として非常に効果的です。

このリスクを軽減するために意味のあるsyskeyオプションが有効になっていない限り、ユーザーのパスワードを解読することでEFSを回避できます。EFSは何よりも優れていますが、syskeyとUb3r ra1nb0wテーブル耐性パスワードを使用しない限り、そもそもEFSデータの侵害に対する大きな障壁を実際に提示することはありません。