Используйте утилиту SysKey для блокировки компьютера Windows с помощью USB-накопителя

SysKey – встроенная утилита Windows, которая может помочь вам защитить Управление учетными записями безопасности или базу данных SAM . Если вы не знаете, в базе данных SAM хранятся хешированные копии наших пользовательских паролей, которые шифруются локально сохраненным системным ключом.

Операционная система Windows предотвращает использование сохраненных, незашифрованных хэшей паролей и требует, чтобы хэши паролей и информация о пользователях были зашифрованы. Эти зашифрованные версии паролей обычно хранятся в файле с именем sam , который находится в папке system32 \ config . Этот файл является частью реестра, в двоичном формате и недоступен.

Если вы хотите обеспечить дополнительную безопасность для базы данных SAM, вы можете использовать SysKey для перемещения ключа шифрования базы данных SAM с вашего компьютера. Более того, используя SysKey, вы также можете настроить вводный пароль для дешифрования системного ключа, чтобы можно было получить доступ к базе данных SAM.

В этой статье я расскажу вам, как вы можете использовать SysKey или SAM Lock Tool для дополнительной защиты базы данных управления учетными записями Windows.

ОБНОВЛЕНИЕ : утилита Syskey.exe больше не поддерживается в Windows 10 v1709 и более поздних версиях. Если вы хотите использовать безопасность ОС во время загрузки, вы можете использовать BitLocker.

Syskey Utility

Чтобы открыть SAM Lock Tool , введите syskey в начале поиска и нажмите Enter.

Нажмите «Обновить», чтобы включить шифрование по умолчанию.

Выберите параметр Запуск пароля , если вы хотите ввести пароль для запуска Windows. Убедитесь, что вы используете надежный пароль – вы можете использовать его длиной от 12 до 128 символов! Если вы не хотите использовать эту опцию, оставьте ее невыбранной.

Если вы выберете Хранить ключ запуска локально , он будет хранить ключ как часть операционной системы, и от пользователя не требуется никакого взаимодействия во время запуска системы. Если вы выбрали эту опцию, т.е. Хранить ключ запуска локально, и нажмите кнопку ОК, вы получите сообщение о том, что ключ запуска базы данных учетной записи был изменен.

Нажмите OK еще раз, и утилита закроется. Теперь каждый раз, когда ваш компьютер загружается, если вы выбрали опцию Password Startup, вам будет предложено ввести Startup Password , прежде чем вы сможете войти в систему, используя свои учетные данные для входа.

Если вы выберете Сохранить ключ запуска на дискете , чтобы сохранить пароль запуска системы на дискете и нажмете кнопку ОК, вам будет предложено вставить дискету или, в нашем случае, USB-накопитель – никто не использует дискета в наши дни – так что вы можете использовать флешку.

Важно отметить, что носитель должен быть смонтирован на диске A. Используя «Управление дисками», вы всегда можете сначала назначить эту букву вашему флэш-накопителю USB, прежде чем запускать SysKey.

После того, как вы вставили флешку, нажмите ОК. Теперь ключ запуска будет сохранен на USB-накопителе!

Теперь, чтобы войти в свой компьютер, вам нужно будет сначала вставить USB-накопитель при загрузке компьютера. Если вы не вставите USB-накопитель, вы не сможете войти в систему. Когда вы вставляете USB-накопитель, Windows загружает ключ шифрования с диска «A», в который вы вставили USB-накопитель. Если вы установили пароль, вам будет предложено ввести его, прежде чем вы сможете продолжить ввод учетных данных для входа.

Удаление Syskey

Чтобы отменить это действие и отключить SysKey, снова запустите SysKey и на этот раз выберите Хранить ключ запуска локально.

Кстати, еще в 1999 году в SysKey была обнаружена дыра в безопасности, которая позволяла взломать его с помощью некоторых инструментов для атаки методом грубой силы. Но исправление этой ошибки SysKey было позже выпущено, и дыра исправлена.

SAM Lock Tool может не обеспечивать надежную защиту – по крайней мере, от профессиональных хакеров – но по крайней мере это еще один дополнительный уровень безопасности – кроме использования BitLocker – вы может дать на ваш компьютер Windows 7.

Некоторые из вас, возможно, захотят ознакомиться с этим списком бесплатных программ, который поможет вам заблокировать Windows с помощью USB-накопителя.

Windows 10 защита входа через syskey

Обязательно своей административной учетной записи нужно присваивать логин и пароль, а также настроить чтобы перед входом в систему нажимались сочетание клавиш: Ctrl + Alt + Del → это основа защиты Вашего компьютера/ноутбука с установленной любой операционной системы Windows. Вообще мер по защите системы множество, но есть одна интересная — это установить пароль на Syskey, то нельзя будет даже воспользоваться заметкой,т. к. сперва запрашивается пароль на разблокировку SAM Lock Tool, а уже потом на вход в систему.

У меня был случай когда недовольный сотрудник уходил с работы и напоследок заблокировал таким образом свой компьютер. Пришлось воспользоваться дистрибутивом HirensBootCD чтобы убрать блокировку Syskey. Так вот это хорошая защита, ее не так просто обойти если до этого никогда с ней дело не имел.

Но я задался целью, а как же можно снять блокировку Syskey, имея на руках лишь оригинальный дистрибутив Windows 10.

В этом случае поможет выше указанная заметка, но за одним лишь исключение — мне нужна только командная строка в режиме восстановления.

Press any key to boot from CD or DVD… нажимаю клавишу Enter

• Устанавливаемый язык: Русский (Россия)
• Формат времени и денежных единиц: Русский (Россия)
• Метод ввода (раскладка клавиатуры): США

и нажимаю «Далее«, затем «Восстановление системы» — «Поиск и устранение неисправностей» — «Командная строка»

Проверяю, на каком логическом диске развернута система Windows 10, определил, что на диске D:

X:\Sources\diskpart

DISKPART> list disk

Выбираю его:
DISKPART>select disk 0
DISKPART> list volume
из вывода определяю, что система Windows 10 установлена на логический диск D:

Отлично, теперь выхожу из консоли утилиты diskpart

DISKPART> exit

Завершение работы DiskPart…

X:\Sources\mkdir d:\regbackup

Копирую текущие настройки защиты базы SAM в резервный каталог:

X:\Sources\xcopy d:\Windows\System32\config d:\regbackup /y

Подменяю дефолтными настройками файлы ответственные за работу syskey:

X:\Sources>xcopy d:\Windows\System32\Config\RegBack d:\Windows\System32\Config /y

Теперь нужно извлечь образ Windows 10 и перезагрузиться:

X:\Sources>exit

нажимаю «Выключить компьютер» консоли «Восстановление системы» этим действием система Windows 10 на которой кто-то включил блокировку будет выключена. Включаю ее, через BIOS отменяю что первым с чего нужно грузиться это CD-ROM, а ставлю, как обычно DISK. После чего наблюдаю за монитором, как загружается система и установленной блокировки SAM Lock Tool больше нет. Т.к. у меня был настроен AutoLogon, то система загрузилась полностью и передо мной рабочий стол.

Поставленная задумка отраженная в этой заметке полностью работоспособна. Добавить что-либо нет необходимости, а значит я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.

4 варианта шифрования Syskey для Windows 10

Средство шифрования Windows Syskey удаляется в следующем обновлении Windows 10 Fall Creators

, Утилита шифрует информацию о паролях, хранящуюся в системных базах данных, которые, в свою очередь, хранятся в реестре Windows.

Его первоначальной целью было предотвращение несанкционированных попыток взлома паролей в автономном режиме. Однако мошенники поняли, что могут использовать

интегрированная утилита для блокировки пользователей от их систем, заставляя их платить выкуп (предварительно вымогателей, но все еще используется в телефонных мошенничествах — есть тысячи видео на YouTube). В других средах Syskey обеспечивает проверку подлинности перед загрузкой, когда у пользователя запрашивается пароль перед загрузкой операционной системы.

Microsoft рекомендует BitLocker в качестве замены Syskey. Но каковы ваши варианты? Давайте взглянем.

1. BitLocker

Если у вас Windows 10 Pro, Enterprise или Education, у вас установлен BitLocker. К сожалению, Windows 10 Home не предлагает BitLocker в качестве стандартной функции.

На данный момент я скажу: если вы не рассматриваете возможность обновления до Windows 10 Pro

(или иметь доступ к выпуску Enterprise или Education), есть и другие бесплатные альтернативы Syskey, которые я собираюсь перечислить ниже. Но если вы уже используете Windows 10 Pro, стоит подумать о BitLocker.

BitLocker предлагает полное шифрование диска с использованием AES 128-bit или AES 256-bit. Обе сильные стороны шифрования используют алгоритм Diffuser для дополнительной защиты от атак манипулирования шифротекстом. Зашифрованный диск BitLocker разблокируется с помощью аппаратного устройства (через модуль Trusted Platform Module или TPM), PIN-кода или ключа запуска, хранящегося на отдельном съемном носителе (например, USB-накопителе), или комбинации всех трех.

Вы можете найти параметры BitLocker, включая мастер установки BitLocker, набрав BitLocker в строке поиска Cortana (нажмите клавишу Windows + S).

Групповая политика TPM

Когда вы пытаетесь Включить BitLocker, вы можете встретить следующее сообщение:

Это означает, что нам нужно изменить параметр групповой политики

Тип gpedit в панель поиска и выберите лучшее соответствие.

Голова к Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Шифрование диска BitLocker> Диски операционной системы. Затем выберите Требовать дополнительную аутентификацию при запуске.

Далее выберите Включено разрешить редактирование политики. Затем под Опции, Выбрать Разрешить BitLocker без совместимого доверенного платформенного модуля. Удар Применять, затем Хорошо.

Затем, когда вы вернетесь назад, ваша попытка включить BitLocker будет успешной.

2. VeraCrypt

Существует несколько бесплатных альтернатив BitLocker. Возможно, самым известным является VeraCrypt

, построенный из пепла устаревшего инструмента шифрования, TrueCrypt

VeraCrypt предлагает целый ряд инструментов, включая создание и подключение виртуального зашифрованного диска, полное шифрование диска или раздела, а также проверку подлинности перед загрузкой (зашифрованный раздел операционной системы).

Кроме того, VeraCrypt обладает расширенными функциями, такими как скрытое шифрование операционной системы и другие инструменты скрытых томов.

VeraCrypt предлагает более широкий спектр алгоритмов шифрования

пользователям, включая AES, Twofish, Serpent и Camellia. Кроме того, пользователи могут выбрать один из двух алгоритмов хеширования, SHA-256 или RIPEMD-160.

Вывод для многих очевиден: если вы не переходите на Windows 10 Pro за 99 долларов, VeraCrypt — это то, что вам нужно. Фактически, есть много пользователей VeraCrypt, которые используют Windows 10, независимо от BitLocker, из-за его широких возможностей шифрования.

3. DiskCryptor

DiskCryptor — еще один инструмент полного шифрования диска с открытым исходным кодом. Первоначально он был разработан в качестве замены для корпоративного (и коммерческого продукта) пакета DriveCrypt Plus, который также имеет функцию проверки подлинности перед загрузкой, но поставляется с дорогим ценником (125 евро или 149 долларов на момент написания статьи) ,

DiskCryptor был первоначально запущен бывшим пользователем TrueCrypt, который использует дескриптор «ntldr». Версии от 0,1 до 0,4 были полностью совместимы с TrueCrypt, используя соответствующее форматирование разделов, а также шифрование с помощью 256-битного AES. Однако DiskCryptor 0.5 запустил новый формат разделов, предназначенный для шифрования томов дисков, уже содержащих данные (формат TrueCrypt изначально шифровал только пустой или только что созданный том диска).

DiskCryptor использует алгоритмы шифрования AES, Twofish и Serpent, все с 256-битными ключами. Кроме того, DiskCryptor особенно полезен для тех, кто желает зашифровать мультизагрузочные системы, предлагая сторонние загрузчики полной совместимости, такие как GRUB и LILO (предлагая предзагрузочную аутентификацию для каждого загрузочного раздела).

4. Jetico BestCrypt Volume Encryption

От отличного бесплатного варианта до одного из лучших платных инструментов шифрования на рынке. Он может зашифровать широкий спектр типов томов, включая диски RAID

и предлагает предзагрузочную аутентификацию (с настраиваемым текстом, не меньше).

Кроме того, BestCrypt поддерживает TPM, а также возможность загрузки зашифрованных томов только из доверенной сети. Инструмент Volume Encryption использует четыре основных алгоритма шифрования, все с 256-битными ключами: AES, RC6, Serpent и Twofish.

Jetico BestCrypt Volume Encryption — это инструмент шифрования высшего уровня. Эксперт по шифрованию Брюс Шнайер даже рекомендует его «несмотря на то, что он проприетарный», что много говорит об инструменте. Тем не менее, премиальные продукты имеют премиальный ценник. BestCrypt Volume Encryption обойдется вам в $ 119,99.

Какой вариант Syskey вы выберете?

Это четыре отличные альтернативы Syskey, который скоро обесценится.

А, хорошо. Syskey больше не входит в состав Windows и больше не может работать самостоятельно.

— Мохамед аль-Хаджами ++? (@ monstertruck550) 5 сентября 2017 г.

Вы можете спросить, почему в списке нет больше опций. Ну, честно говоря, это одни из лучших продуктов на рынке, по нескольким причинам.

Например, BitLocker интегрирован в операционную систему Windows 10. Таким образом, это бесплатно, если у вас уже есть правильная лицензия, и очень хорошо поддерживается (как Microsoft, так и более широким технологическим сообществом). Если у вас Windows 10, у вас под рукой будет чрезвычайно мощный инструмент полного шифрования диска.

Veracrypt и DiskCryptor имеют открытый исходный код, полностью открыты для стороннего аудита и хорошо поддерживаются (читай: активно работали) соответствующими командами. Опять же, они предлагают отличное, чрезвычайно мощное полное шифрование диска, полностью бесплатное.

Наконец, Jetico BestCrypt может вернуть вам кучу денег, но вы вкладываете средства в свою личную безопасность.

Поймали меня мошенником из службы технической поддержки Microsoft. Ему было довольно грустно узнать, что syskey пропал в Windows 10 RS3 :).

— Chris123NT (@ Chris123NT) 3 сентября 2017 г.

Есть и другие варианты, доступные на рынке. Такие инструменты, как Sophos SafeGuard Easy и Symantec Drive Encryption, также превосходны, но имеют более высокую цену. Тем не менее, те читатели в малых и средних предприятий могут рассмотреть их за дополнительную поддержку.

Вам не нужно тратить много. На самом деле, вам вообще не нужно тратить деньги, чтобы гарантировать дополнительный уровень личной безопасности.

Однако важно отметить, что системы, использующие Syskey в качестве дополнительного или обязательного уровня безопасности не будет обновляться до обновления Fall Creators.

Будете ли вы переходить на BitLocker? Или имеет смысл перейти к решению с открытым исходным кодом в настоящее время? Какие ваши любимые инструменты полного шифрования диска? Дайте нам знать ваши мысли ниже!