암호 크래킹 Windows 계정

직장에는 암호화 된 하드 드라이브가 장착 된 랩톱이 있습니다. 여기에있는 대부분의 개발자 (때때로 죄가있는 경우도 있음)는 밤에 집으로 가져갈 때 랩톱을 최대 절전 모드로 둡니다. 분명히 Windows (즉, 백그라운드에서 Windows 용 프로그램을 실행하는 프로그램이 있음)에는 드라이브의 데이터를 암호화 해제 할 수있는 방법이 있어야합니다. 그렇지 않으면 액세스 할 수 없습니다. 즉, 누군가가 컴퓨터를 가져 와서 실행하고 Windows 계정을 해킹 할 수 있기 때문에 안전하지 않은 장소 (잠금 작업 중이 아닌)에서 Windows 컴퓨터를 최대 절전 모드로 유지하는 것은 보안 위협이라고 생각했습니다. 데이터를 암호화하고 정보를 훔치는 데 사용합니다. Windows 시스템을 다시 시작하지 않고 침입하는 방법에 대해 생각했을 때 가능한지 알 수 없었습니다.

적절한 파일에 액세스하면 Windows 암호를 해독하는 프로그램을 작성할 수 있다는 것을 알고 있습니다. 그러나 이것을 수행하는 잠긴 Windows 시스템에서 프로그램을 실행할 수 있습니까? 방법을 모르지만 Windows 전문가는 아닙니다. 그렇다면이를 방지 할 수있는 방법이 있습니까? 어떻게해야하는지에 대한 보안 취약점을 공개하고 싶지 않기 때문에 누군가 필요한 단계를 자세하게 게시하지 말 것을 요청하지만 누군가 "예, USB 드라이브가 임의의 실행을 허용 할 수 있습니다. "좋아요!

편집 : 암호화에 대한 아이디어는 시스템을 재부팅 할 수 없다는 것입니다. 시스템을 부팅하면 창을 시작하기 전에 시스템의 디스크 암호화에 로그인이 필요하기 때문입니다. 컴퓨터가 최대 절전 모드 인 상태에서 시스템 소유자는 이미 공격자의 암호화를 우회하여 데이터를 보호하는 유일한 방어선으로 창을 남겨 둡니다.

컴퓨터를 최대 절전 모드로 유지하는 것은 확실하게 안전하지 않습니다. RAM에 여전히 최대 절전 모드 메모리의 비트 로커 (및 기타) 키가 포함되어있는 취약점이 발견되었습니다. 이미이 취약점에 대한 개념 증명 공격이 있습니다.

공격 방법은 PC를 빠르게 재부팅하고 RAM의 내용 (전원이 끊어졌을 때 손실되지 않음)을 읽은 다음 프로그램에서 덤프를 검색하여 키를 검색하는 것입니다.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Microsoft는 이미 이것을 고쳤을 수도 있습니다.

ps 일반 비밀번호 변경은 암호화 된 내용이 올바른 비밀번호없이 액세스 할 수 없으므로 암호화에 영향을 미치지 않으므로 간단한 비밀번호 변경 부트 디스크는 보안 위험이 없습니다.

workmad3 에서 언급했듯이 재부팅하지 않고 잠긴 머신을 공격하는 가장 좋은 방법은 네트워크 연결에서 얼마나 취약한 지 확인하는 것입니다.

네트워크에있는 보안 정책에 따라 다릅니다. 예를 들어 모든 도메인 계정에 이러한 PC에 대한 관리 액세스 권한이 있습니까? 그렇다면 기본 공유 (\ pc-name \ c $)를 확인하십시오. 어떤 이유로 든 기본 공유가 켜져 있으면 자신의 계정으로 네트워크를 통해 PC의 전체 내용에 액세스 할 수 있습니다. 이것이 암호화 된 하드 드라이브와 함께 작동하는지 확실하지 않지만 테스트하기는 쉽습니다.

PC에 원격으로 액세스하면 Sysinternals PsExec 도구 와 같은 도구를 사용하여 프로그램을 원격으로 실행할 수 있습니다.

물론 이는 공격의 한 가지 방법 일 뿐이며 암호화 된 하드 드라이브에서는 작동하지 않을 수 있지만 수행 할 수있는 작업에 대한 아이디어를 제공합니다.

편집 : 랩톱에 Firewire 포트가 활성화되어 있으면 이 취약점을 살펴볼 수 있습니다 . 다시 말하지만 이것이 직접 메모리 액세스 (암호화되어야 함)를 기반으로하기 때문에 암호화 된 컴퓨터에 도움이되는지 모르겠습니다.

누군가가 머신에 실제로 액세스 할 수있는 경우 저장된 모든 자격 증명이 손상된 것으로 간주 될 수 있습니다.

예를 들어 USB 장치 또는 광학 드라이브에서 부팅 할 수 있으면 Ophcrack과 같은 포인트 앤 클릭 도구를 사용하여 모든 암호를 복구 할 수 있습니다. 여기 지침 : USB Ophcrack | Windows 로그인 비밀번호 크래커

편집 : 예, 기계를 재부팅하면 이론적으로 "암호화 된 하드 드라이브"로 돌아갈 수 없다는 것을 알고 있습니다. 해당 소유권 주장의 유무는 전적으로 암호화 된 파티션에 액세스하는 데 사용되는 소프트웨어에 따라 다릅니다. BitLocker는 적절한 작업을 수행하는 것처럼 보이지만 이전의 많은 구현은 기본적으로 농담이었습니다. 시스템에 액세스 할 수 있으면 SAM 데이터베이스를 USB 스틱에 덤프하고 오프라인에서 크래킹을 수행하는 것이 매우 쉽습니다.

글쎄, 내 생각은 최대 절전 모드에서 해제하고 암호 화면으로 이동 한 다음 네트워크 연결을 통해 취약한 것을보기 시작하는 것입니다. 실제 머신 네트워크 보안이 완전히 손상되지 않은 경우이 방법으로 많은 정보에 액세스 할 수 있습니다.

실험 목적에 적합한 autoplay.ini를 사용하여 CD-ROM을 구운 다음 컴퓨터가 최대 절전 모드에서 깨어날 경우 어떻게 될지 궁금 합니다. 나는 실제로 어떤 일이 일어날 지 모르지만, 이런 종류의 방법론은 최대 절전 시스템을 공격하려고 시도 할 때 탐색해야 할 것입니다. 파이어 와이어 포트가 있습니까? 이론적으로는 해당 인터페이스에서 해킹 가능합니다.

어떤 종류의 암호화를 사용하고 있습니까? BitLocker? 암호화 된 파일 시스템? 모른 채 귀하의 질문에 직접 답변을 드릴 수 없습니다.

어쨌든 귀하의 보안은 가장 약한 링크만큼 좋습니다. 최신 보안 패치를 모두 즉시 설치해야합니다. 그렇지 않으면 MetaSploit 과 같은 도구를 사용하여 알려진 취약점을 테스트하고 사용자 또는 관리자 액세스 권한을 얻을 수 있습니다.

Vista 및 XP-sp3는 LANMAN 호환을 위해 암호화 된 비밀번호를 저장 한 이전 OS보다 훨씬 덜 취약합니다. 매우 큰 무지개 테이블을 사용하여 쉬운 암호를 해독 할 수는 있지만 그렇지 않으면 ophcrack과 같은 도구를 사용하여 매우 안전합니다.

내 하드 디스크 암호화 시스템 (PGP)에서 최대 절전 모드에서 돌아올 때 암호화 암호를 입력해야합니다.

일시 중지에서는 허용되지 않습니다.

EFS 최대 절전 모드 파일을 사용하는 경우 암호화되지 않으며 디스크에서 EFS 파일을 해독하는 데 필요한 중요한 키 자료가 포함되어 있다고 가정합니다.

전체 디스크 암호화를 사용하는 경우 최대 절전 모드 파일이 다른 모든 항목으로 암호화되므로이 위험이 완화됩니다.

많은 버스 스누핑 및 폭풍 스타일 공격을 포함하여 bitlocker / TPM에 대한 공격 벡터가 있습니다. TPM은 결정된 TLA로부터 정보를 보호하도록 설계되지 않았지만 실제 일반 사용 사례에서 여전히 효과적입니다.

의미있는 syskey 옵션을 사용하여이 위험을 완화하지 않으면 사용자 암호를 해독하여 EFS를 피할 수 있습니다. EFS는 syskey와 Ub3r ra1nb0w 테이블 내성 암호를 사용하지 않는 한 EFS 데이터가 손상 될 수있는 중요한 장벽을 제시하지 않는 한 아무것도 아닙니다.