Cum se poate decripta valoarea DefaultPassword salvată în registry pentru AutoLogon

Într-un articol mai devreme, am văzut cum să ocolim ecranul de conectare în Windows 7 și în versiunile mai vechi, profitând de instrumentul AutoLogon oferit de Microsoft. De asemenea, sa menționat că beneficiul major al utilizării instrumentului AutoLogon este că parola dvs. nu este stocată în formularul text simplu așa cum se întâmplă atunci când adăugați manual intrările de registry. Este mai întâi criptat și stocat astfel încât chiar și Administratorul de PC-uri să nu aibă acces la acesta. În postarea de astăzi vom vorbi despre cum să decriptați valoarea DefaultPassword salvată în editorul de registru utilizând instrumentul AutoLogon.

Mai întâi, mai întâi trebuie să aveți Administrator privilegii pentru a decripta valoarea DefaultPassword. Motivul din spatele acestei restricții evidente este că astfel de date criptate ale sistemului și ale utilizatorilor sunt guvernate de o politică de securitate specială, știe ca Autoritatea locală de securitate (LSA) care acordă acces numai administratorului de sistem. Deci, înainte de a ne deplasa cu privire la decriptarea parolelor, să aruncăm o privire la această politică de securitate și să cunoaștem în legătură cu aceasta.

LSA - ce este și cum stochează datele

LSA este folosit de Windows să gestioneze politica de securitate locală a sistemului și să efectueze procesul de audit și autentificare asupra utilizatorilor care se loghează în sistem în timp ce salvează datele lor private într-o locație specială de stocare. Această locație de stocare este denumită LSA Secrets unde datele importante folosite de politica LSA sunt salvate și protejate. Aceste date sunt stocate într-o formă criptată în editorul de registru, în cheia HKEY_LOCAL_MACHINE / Security / Policy / Secrets , care nu este vizibilă pentru conturile generale de utilizatori din cauza restricțiilor. Dacă aveți privilegiile administrative locale și vă cunoașteți în jurul LSA Secrets, puteți avea acces la parolele RAS / VPN, la parolele Autologon și la alte parole / chei de sistem. Mai jos este o listă pentru a numi câteva

• $ MACHINE.ACC : Legată de autentificarea pe domenii
• DefaultPassword : Valoarea parolei criptate dacă AutoLogon este activat
• NL $ KM cheia utilizată pentru a cripta parolele de domeniu cache
• L $ RTMTIMEBOMB : Pentru a stoca ultima valoare pentru activarea Windows

Pentru a crea sau edita secretele, există un set special de API disponibili pentru dezvoltatorii de software. Orice aplicație poate avea acces la locația LSA Secrets, dar numai în contextul contului curent de utilizator.

Cum se poate decripta parola AutoLogon

Acum, pentru a decripta și a elimina valoarea DefaultPassword stocate în Secretele LSA, se poate emite un apel API Win32. Există un program simplu executabil disponibil pentru obținerea valorii decriptate a valorii DefaultPassword. Urmați pașii de mai jos pentru a face acest lucru:

1. Descărcați fișierul executabil de aici - are doar 2 KB în mărime
2. Extrageți conținutul fișierului DeAutoLogon.zip
3. Fișierul DeAutoLogon.exe și rulați-l ca Administrator
4. Dacă aveți activată caracteristica AutoLogon, valoarea DefaultPassword ar trebui să fie chiar în fața dvs.

Dacă încercați să executați programul fără privilegii Administrator, ai întâmpina o eroare. Prin urmare, asigurați-vă că achiziționați privilegii de administrator local înainte de a rula instrumentul. Sper că acest lucru vă ajută!

Răsturnați în secțiunea de comentarii de mai jos, în cazul în care aveți orice întrebare.