В данной заметке я покажу, как защитить Базу данных учётных записей Windows (применительно к Windows 7 / Windows Server 2008 / R2) по системному ключу, т.е обезопасим вход в систему дополнительным паролем.
Заходим в систему под учётной записью Администратора и запускаем командную строку (cmd.exe) с правами Администратора, далее вводим команду syskey:
Start – All Programs – Accessories – Command Prompt
Для справки:
SYSKEY — утилита, которая шифрует информацию хешированного пароля в базе данных SAM в системе Windows, используя 128-битный ключ шифрования.
В появившемся окне, выбираем вариант Encryption Enabled (Включено шифрование) и щёлкаем на кнопке Update (Обновить):
После выбираем пункт: Password Startup (Пароль запуска) – Requires a password to be entered during system start (Требовать ввода пароля при загрузке системы):
Используйте сложный пароль, который содержит:
- сочетание букв верхнего регистра
- нижнего регистра, цифр и символов.
Пароль для запуска должен быть по крайней мере 12 символов и может иметь длину до 128 символов.
Перезагружаем систему, что понять, как это работает:
И наблюдаем окно
В поле Password набираем пароль, которым мы защищали базу SAM для разблокировки входа в систему и нажимаем кнопку “Ok”, а при нажатии кнопки Restart – система перезагружается.
Для справки:
SAM – Диспетчер учётных записей безопасности — RPC-сервер Windows, оперирующий базой данных учётных записей.
SAM выполняет следующие задачи:
- Идентификация субъектов (трансляции имён в идентификаторы (SID’ы) и обратно);
- Проверка пароля, авторизация (участвует в процессе входа пользователей в систему);
- Хранит статистику (время последнего входа, количества входов, количества некорректных вводов пароля);
- Хранит настройки политики учётных записей и приводит их в действие (политика паролей и политика блокировки учетной записи);
- Хранит логическую структуру группировки учётных записей (по группам , доменам, алиасам);
- Контролирует доступ к базе учётных записей;
- Предоставляет программный интерфейс для управления базой учётных записей.
База данных SAM хранится в реестре (в ключе HKEY_LOCAL_MACHINE\SAM\SAM), доступ к которому запрещён по умолчанию даже администраторам.
Вот собственно и всё, с уважением ekzorchik.