Дополнительное шифрование базы данных учётных записей

Posted by

В данной заметке я покажу, как защитить Базу данных учётных записей Windows (применительно к / Windows / R2) по системному ключу, т.е обезопасим вход в систему дополнительным паролем.

Заходим в систему под учётной записью Администратора и запускаем командную строку (cmd.exe) с правами Администратора, далее вводим команду :

Start – All Programs – Accessories – Command Prompt

Запускаем командную строку с правами Администратора

Для справки:

SYSKEYутилита, которая шифрует информацию хешированного пароля в базе данных в системе Windows, используя 128-битный ключ шифрования.

В появившемся окне, выбираем вариант Encryption Enabled (Включено шифрование) и щёлкаем на кнопке Update (Обновить):

Включаем шифрование

После выбираем пункт: Password Startup (Пароль запуска) – Requires a password to be entered during system start (Требовать ввода пароля при загрузке системы):

Используйте сложный пароль, который содержит:

  • сочетание букв верхнего регистра
  • нижнего регистра, цифр и символов.

Пароль для запуска должен быть по крайней мере 12 символов и может иметь длину до 128 символов.

Устанавливаем пароль при загрузке системы

Перезагружаем систему, что понять, как это работает:

И наблюдаем окно

Наблюдаем окно при загрузке системы на разблокировку базы SAM

В поле Password набираем пароль, которым мы защищали базу SAM для разблокировки входа в систему и нажимаем кнопку “Ok”, а при нажатии кнопки Restart – система перезагружается.

Для справки:

SAM — Диспетчер учётных записей безопасности — RPC-сервер Windows, оперирующий базой данных учётных записей.

SAM выполняет следующие задачи:

  • Идентификация субъектов (трансляции имён в идентификаторы (SID’ы) и обратно);
  • Проверка пароля, авторизация (участвует в процессе входа пользователей в систему);
  • Хранит статистику (время последнего входа, количества входов, количества некорректных вводов пароля);
  • Хранит настройки политики учётных записей и приводит их в действие (политика паролей и политика блокировки учетной записи);
  • Хранит логическую структуру группировки учётных записей (по группам , доменам, алиасам);
  • Контролирует доступ к базе учётных записей;
  • Предоставляет программный интерфейс для управления базой учётных записей.

База данных SAM хранится в реестре (в ключе HKEY_LOCAL_MACHINE\SAM\SAM), доступ к которому запрещён по умолчанию даже администраторам.

Вот собственно и всё, с уважением ekzorchik.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

12 − 9 =