In che modo syskey in Windows aumenta la sicurezza in un dominio?

Naviga le tue risposte
4

Uso syskey in Windows XP e Windows 7. Ho letto articolo di Microsoft ma ho domande.

  1. In che modo questa soluzione aumenta la sicurezza?
  2. Quali sono le differenze tra l'utilizzo di Syskey in un client che si collega a un Active Directory con un server di certificazione rispetto a una workstation? Syskey ottiene maggiore sicurezza se utilizzato in un client che si unisce a un controller di dominio?
  3. In Windows XP e 7, questo comando crea un dischetto. C'è un modo per rendere un dispositivo rimovibile USB? o un dispositivo wireless che mi consenta di accedere con un dispositivo wave Bluetooth?
posta saber tabatabaee yazdi 30.10.2012 - 08:19
fonte

2 risposte

2

Risponderò solo alla prima domanda.

Se le password di Windows con hash sono archiviate in chiaro, sono suscettibili a due tipi di attacco:

  • Rompere le password con hash con la forza bruta. Questo può essere fatto perché Windows non usa un algoritmo di hashing della password lenta come PBKDF2 o bcrypt.
  • Passa la password con hash al kernel di Windows. Questo attacco è descritto in questo SANS
    carta     .

Quindi Windows crittografa le password con hash con syskey. Il problema è: se syskey è memorizzato sulla stessa macchina delle password con hash, questo non fa molto - un utente malintenzionato con accesso alle password hash (crittografate) molto probabilmente ha anche accesso a syskey e può decifrare le password con hash. Pertanto è importante mantenere syskey su un dispositivo separato come un disco rimovibile.

    
risposta data 30.10.2012 - 10:09
fonte
4

Indirizzamento di ciascuna parte a sua volta:

1) Questo controllo protegge dal seguente scenario di minacce: un utente malintenzionato ottiene il controllo fisico del disco rigido della macchina. Estrae il database SAM locale, che contiene gli hash delle password per gli account sulla macchina e li forza bruta per ottenere le password che usano per accedere su un'altra macchina di cui non hanno il controllo fisico. SYSKEY funziona crittografando la copia locale degli hash delle password e scrivendo la chiave di crittografia su un dischetto. Fornisci il floppy con la chiave all'avvio del sistema.

2) Qualsiasi macchina che non è un controller di dominio memorizza solo gli hash per gli account locali nel suo database SAM, quindi in realtà non cambia l'attacco se il client partecipa o meno a un dominio.

3) Apparentemente SysKey scrive solo su qualunque sia stata assegnata la lettera di unità A :, quindi se imponi una chiave USB per utilizzare A: in Gestione disco, funzionerà. L'unità deve essere presente e montata all'avvio, quindi è necessario utilizzare un disco floppy o USB, non una condivisione di rete o un dispositivo. È inoltre necessario archiviare il floppy / USB (e qualsiasi altro backup effettuato dall'utente) separatamente dalla macchina, poiché la minaccia è che il controllo fisico della macchina venga perso.

Infine, in termini più generali, stai sbagliando! Hai implementato un controllo senza sapere che cosa fa. Esegui una corretta valutazione del rischio, comprendi la minaccia, quindi seleziona il controllo.

È molto probabile, ad esempio, che l'implementazione della crittografia completa del disco e l'utilizzo di password complesse e il rafforzamento della sicurezza fisica sul dispositivo siano più che sufficienti per gestire il rischio di qualcuno che esegue l'attacco descritto sopra.

    
risposta data 30.10.2012 - 12:44
fonte

Leggi altre domande sui tag

problema di cookie con stesso dominio stesso percorso ma porta diversa Come è cambiata la mia homepage in IE?