Come si può proteggere l'unità di installazione di Windows da "riparare il computer"?

1

È risaputo che puoi crackare la password di un account di Windows usando il tuo computer (non sto dando più dettagli qui)

Quello che mi piacerebbe sapere è se conosci la tecnica per difenderci.

In teoria, anche dopo l'avvio da una porta USB, l'unità di installazione di Windows dovrebbe essere bloccata (in una scatola) in modo che non sia possibile accedere e modificare alcun file o eseguire l'escalation dei privilegi utilizzando la shell di cmd di Windows

Qualche idea?

    
posta Jason Krs 09.01.2017 - 23:04
fonte

3 risposte

2

Autenticazione pre-avvio + crittografia completa del disco. Ciò richiederà una password (o qualche altro fattore di autenticazione) prima di consentire l'accesso al disco.

    
risposta data 09.01.2017 - 23:18
fonte
1

La tua preoccupazione non dovrebbe essere solo la "modalità di ripristino", ma anche quelle in cui Windows non è in uso. La maggior parte degli attacchi modifica il file SAM, che non è scrivibile quando il processo di Local Security Manager è in esecuzione. Questo file contiene le credenziali per il computer locale per consentire gli accessi. Il classico caso di aggirare questo è quando si avvia su un Live CD e si usano gli strumenti per modificare il file SAM, sia per cambiare le password che per annullarle.

L'unica cosa che può impedire modifiche non autorizzate è l'uso dell'utilità syskey integrata in Windows (XP / 7). Funziona come una "password di accesso universale", poiché un utente deve fornire una password per Windows per decrittografare il file SAM prima che inizi a utilizzarlo.

Quanto è sicuro il syskey, o se il blanking può ancora essere fatto, sinceramente non posso commentare. Il modo garantito per evitare manomissioni esterne sta utilizzando la crittografia dell'intero disco. Alcune versioni di Windows includono BitLocker, che può servire a questo scopo.

Altre soluzioni includono TrueCrypt, ma utilizzano nuovamente la crittografia dell'intero disco.

Se si desidera veramente testare le acque, è possibile utilizzare la crittografia integrata del file system in Windows. EFS (Encrypting File System) è legato alla tua password e ad altre credenziali, così che se qualcosa dovesse cambiare, i certificati per la crittografia sono "irrecuperabili". Anche in questo caso è disponibile solo in determinate versioni di Windows.

    
risposta data 09.01.2017 - 23:23
fonte
0
  1. password del BIOS; sempre ovunque

solo per passare questo è necessario smontare laptop o pc e ottenere il disco rigido o ripristinarlo in qualche modo.

  1. come qualcuno ha detto crittografarlo; o tenerlo in una modalità di ibernazione.

  2. potresti provare Linux LVM per crittografare l'intero disco rigido e creare partizioni Windows al suo interno. ma non sono sicuro che sarebbe possibile farlo con il file system ntfs.

risposta data 09.01.2017 - 23:47
fonte

Leggi altre domande sui tag