Phenquestions
I et tidligere innlegg har vi sett hvordan vi kan omgå påloggingsskjermen i Windows 7 og eldre versjoner ved å dra nytte av AutoLogon verktøy som tilbys av Microsoft. Det ble også nevnt at den største fordelen med å bruke AutoLogon-verktøyet er at passordet ditt ikke er lagret i ren tekstform som gjøres når du manuelt legger til registeroppføringene. Den blir først kryptert og deretter lagret slik at selv PC-administratoren ikke har tilgang til det samme. I dagens innlegg vil vi snakke om hvordan du dekrypterer Standard passord verdien lagret i Registerredigering ved hjelp av AutoLogon verktøy.
Først og fremst må du fortsatt ha det Administratorrettigheter for å dekryptere Standard passord verdi. Årsaken bak denne åpenbare begrensningen er at slike krypterte system- og brukerdata styres av en spesiell sikkerhetspolitikk, vet som Lokal sikkerhetsmyndighet (LSA) som bare gir tilgang til systemadministratoren. Så før vi tar skritt for å dekryptere passordene, la oss ta en titt på denne sikkerhetspolitikken, og det er co-relaterte kunnskaper.
LSA - Hva det er og hvordan det lagrer data
LSA brukes av Windows til å administrere systemets lokale sikkerhetspolicy og utføre revisjons- og autentiseringsprosessen på brukerne som logger på systemet mens de lagrer sine private data på et spesielt lagringssted. Denne lagringsplassen kalles LSA Secrets der viktige data som brukes av LSA-policyen, lagres og beskyttes. Disse dataene lagres i en kryptert form i registereditoren, i HKEY_LOCAL_MACHINE / Sikkerhet / Retningslinjer / Hemmeligheter nøkkel, som ikke er synlig for generelle brukerkontoer på grunn av begrenset Tilgangskontrollister (ACL). Hvis du har lokale administrative rettigheter og kjenner deg rundt LSA Secrets, kan du få tilgang til RAS / VPN-passord, Autologon-passord og andre systempassord / nøkler. Nedenfor er en liste for å nevne noen.
- $ MASKIN.ACC: Relatert til domeneautentisering
- Standard passord: Kryptert passordverdi hvis AutoLogon er aktivert
- NL $ KM: Hemmelig nøkkel som brukes til å kryptere passord for hurtigbufrede domener
- L $ RTMTIMEBOMB: For å lagre den siste datoverdien for Windows-aktivering
For å opprette eller redigere hemmelighetene, er det et spesielt sett med APIer tilgjengelig for programvareutviklere. Alle applikasjoner kan få tilgang til LSA Secrets-lokasjonen, men bare i sammenheng med den nåværende brukerkontoen.
Hvordan dekryptere AutoLogon-passordet
Nå, for å dekryptere og fjerne rot fra Standard passord verdi lagret i LSA Secrets, kan man ganske enkelt utstede en Win32 API-samtale. Det er et enkelt kjørbart program tilgjengelig for å få den dekrypterte verdien av DefaultPassword-verdien. Følg trinnene nedenfor for å gjøre det:
- Last ned den kjørbare filen herfra - den er bare 2 KB stor.
- Pakk ut innholdet i DeAutoLogon.glidelås fil.
- Høyreklikk DeAutoLogon.exe filen og kjør den som administrator.
- Hvis du har aktivert AutoLogon-funksjonen, bør DefaultPassword-verdien være der foran deg.
Hvis du prøver å kjøre programmet uten administratorrettigheter, vil du støte på en feil. Sørg derfor for å skaffe deg lokale administratorrettigheter før du kjører verktøyet. Håper dette hjelper!
Rop ut i kommentarfeltet nedenfor hvis du har spørsmål.
