Используйте утилиту SysKey для блокировки компьютера Windows с помощью USB-накопителя

SysKey – встроенная утилита Windows, которая может помочь вам защитить Управление учетными записями безопасности или базу данных SAM . Если вы не знаете, в базе данных SAM хранятся хешированные копии наших пользовательских паролей, которые шифруются локально сохраненным системным ключом.

Операционная система Windows предотвращает использование сохраненных, незашифрованных хэшей паролей и требует, чтобы хэши паролей и информация о пользователях были зашифрованы. Эти зашифрованные версии паролей обычно хранятся в файле с именем sam , который находится в папке system32 \ config . Этот файл является частью реестра, в двоичном формате и недоступен.

Если вы хотите обеспечить дополнительную безопасность для базы данных SAM, вы можете использовать SysKey для перемещения ключа шифрования базы данных SAM с вашего компьютера. Более того, используя SysKey, вы также можете настроить вводный пароль для дешифрования системного ключа, чтобы можно было получить доступ к базе данных SAM.

В этой статье я расскажу вам, как вы можете использовать SysKey или SAM Lock Tool для дополнительной защиты базы данных управления учетными записями Windows.

ОБНОВЛЕНИЕ : утилита Syskey.exe больше не поддерживается в Windows 10 v1709 и более поздних версиях. Если вы хотите использовать безопасность ОС во время загрузки, вы можете использовать BitLocker.

Syskey Utility

Чтобы открыть SAM Lock Tool , введите syskey в начале поиска и нажмите Enter.

Нажмите «Обновить», чтобы включить шифрование по умолчанию.

Выберите параметр Запуск пароля , если вы хотите ввести пароль для запуска Windows. Убедитесь, что вы используете надежный пароль – вы можете использовать его длиной от 12 до 128 символов! Если вы не хотите использовать эту опцию, оставьте ее невыбранной.

Если вы выберете Хранить ключ запуска локально , он будет хранить ключ как часть операционной системы, и от пользователя не требуется никакого взаимодействия во время запуска системы. Если вы выбрали эту опцию, т.е. Хранить ключ запуска локально, и нажмите кнопку ОК, вы получите сообщение о том, что ключ запуска базы данных учетной записи был изменен.

Нажмите OK еще раз, и утилита закроется. Теперь каждый раз, когда ваш компьютер загружается, если вы выбрали опцию Password Startup, вам будет предложено ввести Startup Password , прежде чем вы сможете войти в систему, используя свои учетные данные для входа.

Если вы выберете Сохранить ключ запуска на дискете , чтобы сохранить пароль запуска системы на дискете и нажмете кнопку ОК, вам будет предложено вставить дискету или, в нашем случае, USB-накопитель – никто не использует дискета в наши дни – так что вы можете использовать флешку.

Важно отметить, что носитель должен быть смонтирован на диске A. Используя «Управление дисками», вы всегда можете сначала назначить эту букву вашему флэш-накопителю USB, прежде чем запускать SysKey.

После того, как вы вставили флешку, нажмите ОК. Теперь ключ запуска будет сохранен на USB-накопителе!

Теперь, чтобы войти в свой компьютер, вам нужно будет сначала вставить USB-накопитель при загрузке компьютера. Если вы не вставите USB-накопитель, вы не сможете войти в систему. Когда вы вставляете USB-накопитель, Windows загружает ключ шифрования с диска «A», в который вы вставили USB-накопитель. Если вы установили пароль, вам будет предложено ввести его, прежде чем вы сможете продолжить ввод учетных данных для входа.

Удаление Syskey

Чтобы отменить это действие и отключить SysKey, снова запустите SysKey и на этот раз выберите Хранить ключ запуска локально.

Кстати, еще в 1999 году в SysKey была обнаружена дыра в безопасности, которая позволяла взломать его с помощью некоторых инструментов для атаки методом грубой силы. Но исправление этой ошибки SysKey было позже выпущено, и дыра исправлена.

SAM Lock Tool может не обеспечивать надежную защиту – по крайней мере, от профессиональных хакеров – но по крайней мере это еще один дополнительный уровень безопасности – кроме использования BitLocker – вы может дать на ваш компьютер Windows 7.

Некоторые из вас, возможно, захотят ознакомиться с этим списком бесплатных программ, который поможет вам заблокировать Windows с помощью USB-накопителя.

,What is syskey? How to use syskey to protect your computer.

Viknews Global Beauty & Tips — Women’s magazine !

Mar 5, 2019 · 5 min read

There are a lot of ways to protect Windows systems with passwords, in which the most common way is to use third-party software. However, just a few people know that in Windows 2000 / XP / 2003 operating system, Microsoft has integrated a powerful security utility (128-bit), which is Syskey. Today, Viknews.com will answer for you what is syskey and how to use this software.

What is syskey?

Syskey is a solid “shell” for the entire database (user account information) contained in the SAM (Security Accounts Manager) file. This is considered a “steel wall” and so far no tools can easily “hack”.

How to install Syskey

5 step to install Syskey

S t ep 1: You have to log in to the system as an administrator, then access the Run dialog from the Start menu.

Step 2: Type “syskey” (with or without quotation marks) and press Enter. You can also directly activate the “syskey.exe” file at the link \WINDOWS\system32

Step 3: In the open window, click the Update button for the Encryption Enabled item to bring up the next dialog box. Startup key with 2 options as Password startup (Windows will ask you to enter the password every time you boot the system) and System generated password (the system will automatically create a password and save it directly to the — Store startup key on Floppy disk or the system will save the protected password as part of the operating system and “stay idle command “at the specified location — Store startup key locally).

Step 4: Obviously, the second option is not good at security. So you should choose the first option (Password startup), then enter the password protected (maximum length of 128 characters) in 2 Password and Confirm boxes.

Step 5: Next, click OK 2 times and restart the computer to establish the effect. Now (before entering the Log on screen), you will be asked to enter a password.

– If you enter the wrong password 3 times, the system will restart automatically.

– You should remember the password carefully because if you forget, the only solution for you is to reinstall Windows or restore the system with Norton Ghost if you have previously created a copy (backup).

– In case you want to change the old password with a new password, you will do the same steps. But there is a small note that after entering the new password into two Password and Confirm boxes, Windows will pop out a dialog box that requires you to enter the old password and you have to remember it. If the password change is successful, there will be a message saying “The account database startup key was changed”.

– In case you do not want Windows to display a dialog box asking for a password, please access the Startup key window, select Store startup key locally and enter the current password to confirm.

– Options to log into the system using Safe mode, Safe mode networking or Safe mode prompt will be disabled (lost effect).

– To increase security, you should set up the system-level BIOS password (system).

How to break syskey password

When you forget your syskey password, because it is a strong password, it must be very careful to break it if you do not want to reinstall the operating system. Breaking the syskey password is rarely mentioned on the Internet. Therefore, Viksnew.com will guide the method to completely unlock the Syskey Password, so that everyone interested can follow.

Prepare

– You need to prepare a Hiren’s BootCD version 9.6 or higher version.

Proceed

– Insert Hiren’s BootCD into the drive, go to Safe Mode and set the boot order to boot from the CD / DVD drive.

– When the interface of Hiren’s BooCD appears, select “Dos Program” -> Enter.

– Press key 3 to select 3. Password & Registry Tool then enter.

– Press number 1 to select: 1. Offline NT / 2000 / XP / Vista / 7 Password Changer then enter.

– Wait a moment for the program to load. The interface shown below is displayed, press A and Enter to display all the found partitions.

– Continue to press number 1 and Enter to select the partition containing the operating system. Maybe your device is work with another number, but usually 1.

– In the interface, press 1 to select key: 1 — Password Reset (Sam system security) -> Enter.

– At the line “What to do?” You press 2 — Syskey status & change then Enter.

– The screen appears a dialog box “Do you really wish to disable SYSKEY”, press Y and Enter.

– Press Q to exit the program.

– Continue to press Y.

– You can try again if it somehow failed … . press N and Enter

– Press Ctrl + Alt + Del to restart the computer, ending the process of breaking SYSKEY. The computer will enter the login screen and will stop there. The problem now is that all users are required to enter User name and Password even though you have not previously set a Pass. So the next step is to break the pass for Administrator and then log in with the Administrator and Set the password for the remaining users.

Syskey.exe utility is no longer supported in Windows 10, Windows Server 2016, and later versions

Windows 10, version 1709, Windows Server, version 2004 and later versions of Windows no longer support the syskey.exe utility.

Original product version: В Windows 10 — all editions, Windows Server 2019, Windows Server 2016
Original KB number: В 4025993

Changes detail

The following changes are made:

• The syskey.exe utility is no longer included in Windows.
• Windows will never prompt for a syskey password during startup.
• Windows will no longer support installing an Active Directory domain controller by using Install-From-Media (IFM) that was externally encrypted by the syskey.exe utility.

If an operating system (OS) was externally encrypted by the syskey.exe utility, you can’t upgrade it to Windows 10 version 1709, Windows Server version 2004, or a later version of Windows.

Workaround

If you want to use boot-time OS security, we recommend that you use BitLocker or similar technologies instead of the syskey.exe utility.

If you use Active Directory IFM media to install replica Active Directory domain controllers, we recommend that you use BitLocker or other file encryption utilities to protect all IFM media.

To upgrade an OS that’s externally encrypted by the syskey.exe utility to Windows 10 RS3 or Windows Server 2016 RS3, the OS should be configured not to use an external syskey password. For more information, see step 5 in How to use the SysKey utility to secure the Windows Security Accounts Manager database.

More information

Syskey is a Windows internal root encryption key that’s used to encrypt other sensitive OS state data, such as user account password hashes. The SysKey utility can be used to add an extra layer of protection, by encrypting the syskey to use an external password. In this state, the OS blocks the boot process and prompt users for the password (either interactively or by reading from a floppy disk).

Unfortunately, the syskey encryption key and the use of syskey.exe are no longer considered secure. Syskey is based on weak cryptography that can easily be broken in modern times. The data that’s protected by syskey is limited and doesn’t cover all files or data on the OS volume. The syskey.exe utility has also been known to be used by hackers as part of ransomware scams.

Active Directory previously supported the use of an externally encrypted syskey for IFM media. When a domain controller is installed by using IFM media, the external syskey password had to be provided as well. Unfortunately, this protection suffers from the same security flaws.

How to use the SysKey utility to secure the Windows Security Accounts Manager database

For a Microsoft Windows NT version of this article, see 143475.

Summary

The Microsoft Windows 2000, Microsoft Windows XP, and Microsoft Windows 2003 Security Accounts Management Database (SAM) stores hashed copies of user passwords. This database is encrypted with a locally stored system key. To keep the SAM database secure, Windows requires that the password hashes are encrypted. Windows prevents the use of stored, unencrypted password hashes.

You can use the SysKey utility to additionally secure the SAM database by moving the SAM database encryption key off the Windows-based computer. The SysKey utility can also be used to configure a start-up password that must be entered to decrypt the system key so that Windows can access the SAM database. This article describes how to use the SysKey utility to secure the Windows SAM database.

More Information

Configure Windows System Key Protection

To Configure Windows System Key Protection, follow these steps:

At a command prompt, type syskey, and then press ENTER.

In the Securing the Windows Account Database dialog box, note that the Encryption Enabled option is selected and is the only option available. When this option is selected, Windows will always encrypt the SAM database.

Click Password Startup if you want to require a password to start Windows. Use a complex password that contains a combination of upper case and lower case letters, numbers, and symbols. The startup password must be at least 12 characters long and can be up to 128 characters long.

Note If you must remotely restart a computer that requires a password (if you use the Password Startup option), a person must be at the local console during the restart. Use this option only if a trusted security administrator will be available to type the Startup password.

Click System Generated Password if you do not want to require a startup password.

Select either of the following options:

Click Store Startup Key on Floppy Disk to store the system startup password on a floppy disk. This requires that someone insert the floppy disk to start the operating system.

Click Store Startup Key Locally to store the encryption key on the hard disk of the local computer. This is the default option.

Click OK two times to complete the procedure.

Remove the SAM encryption key from the local hard disk by using the Store Startup Key on Floppy Disk option for optimum security. This provides the highest level of protection for the SAM database.

Always create a back-up floppy disk if you use the Store Startup Key on Floppy Disk option. You can restart the system remotely if someone is available to insert the floppy disk into the computer when it restarts.

Note The Microsoft Windows NT 4.0 SAM database was not encrypted by default. You can encrypt the Windows NT 4.0 SAM database by using the SysKey utility.