Сколько бы мы с вами не предупреждали пользователей – они все равно теряли и теряют пароли. В принципе, страшного в этом ничего нет. Существует масса способов смены пароля. Однако иногда нужно не просто сменить пароль, а восстановить его. В первую очередь это необходимо в случае, если пользователь использовал EFS-шифрование и, увы, как обычно, забыл сделать резервную копию. В этом случае вам необходимо именно восстановить пароль.
Рассмотрим несколько программ с помощью которых мы сможем восстановить (сменить) пароль. Вы потеряли (забыли) свой пароль пользователя Windows? Что дальше? На самом деле существует три способа получить доступ к вашей ОС:
- Правильный (рекомендованный Microsoft) путь
- Бесплатный, но «грязный» взлом пароля
- "Элегантный взлом", за который требуется заплатить
Необходимо понимать огромную разницу между восстановлением паролей и их сменой.
Восстановление пароля – это восстановление старого пароля, а смена — это создание нового рабочего пароля не зная старый, оригинальный.
Если вы не используете Windows Encrypting File System (EFS), то для последующего использования ОС и информации практически нет разницы между восстановлением и сменой пароля. Однако в случае использования EFS, вы нуждаетесь именно в восстановлении пароля. В противном случае вы рискуете потерять некоторые файлы.
Вместе с тем, если вы злоумышленник, то восстановить утерянный пароль для вас гораздо важнее чем просто сменить его.
Хотелось бы напомнить неизменный закон компьютерной безопасности:
- Если у злоумышленника есть неограниченный физический доступ к вашему компьютеру, то это больше не ваш компьютер.
Даже если у вас есть сомнения, то рассмотрев детали методов восстановления (смены) паролей, вы убедитесь в том, что я прав. Рассмотрим возможные методы восстановления (смены) паролей.
Диск сброса пароля
Итак, вы забыли свой пароль Windows. Что далее?
Опытные пользователи скажут, что сменить пароль легко, нужно использовать диск сброса пароля. Однако будем откровенны. Так ли уж много пользователей Windows создают подобный диск и более того, так ли много пользователей знают о том, что такой диск вообще существует?
Если вы не знали, то дополнительным преимуществом создания этого диска является то, что его использование позволит возвратить вам не только доступ к своей системе, но и к файлам, зашифрованным с помощью EFS. Однако помните, что этот способ актуален лишь для Windows 7. Для создания диска сброса пароля вам необходимо:
- Вставить сменный диск
- Открыть Панель управления
- Учетные записи
В случае Windows 8 вам необходимо просто восстановить пароль к вашему адресу Windows Live.
Elcomsoft System Recovery
Elcomsoft System Recovery может быть загружен в виде iso-файла, который должен быть записан на CD или DVD-диск и представляет собой загрузочный диск с Windows PE.
Задачи, решаемые с помощью ESR
- Восстановление или сброс паролей пользователей и администраторов
- Восстановление пароля может обеспечить автоматический доступ к файлам, зашифрованным с помощью EFS.
- Разблокирование и включение отключенных учетных записей пользователей и администраторов.
- Присвоение административных полномочий учетной записи любого пользователя
- Сброс или отключение опции истечения пароля
- Поддержка NTFS
- Графический Windows-интерфейс
- Поддерживаемые ОС:
- Windows NT 4.0
- Windows 2000
- Windows XP
- Windows Vista
- Windows 7/8/8.1
- Windows Server 2003
- Windows Server 2008
- Поддерживаются локализованные версии Windows
- Обнаруживает все установки Windows
- Позволяет сохранить хэши паролей для дальнейшего исследования
В случае, если у вас на исследуемом ПК нет DVD-привода (а такое на ноутбуках встречается все чаще), вам потребуется создать загружаемый USB-диск.
Создание загрузочного USB-диска
Для создания загрузочного USB-диска вам потребуется каким-либо образом смонтировать ISO-файл и запустить файл EsrBoot. Вам предложат выбрать USB-диск (рис.1)
Рисунок 1 Выберите сменный USB-диск
Рисунок 2 Создание загрузочного диска
Как видите, создание загружаемого USB-диска сложностей не представляет.
Работа с ESR
Сразу же после загрузки вам будет предложено согласиться с лицензионным соглашением и выбрать язык интерфейса.
Рисунок 3 Выбор языка интерфейса
Если в вашем ПК используются нестандартные интерфейсы жесткого диска (SerialATA, SCSI, RAID или SAS) вы должны загрузить соответствующий драйвер. Для этого необходимо нажать кнопку «Загрузить драйвер» (рис.4).
Рисунок 4 Выбор диска
Режимы работы
Рисунок 5 Выбор режима работы
- Источник учетных записей
- Работа с локальными учетными записями (SAM)
- Работа с учетными записями Active Directory (ntds.dit)
- Режим работы
- Изменение паролей и свойств учетных записей
- Дамп хэшей для дальнейшей расшифровки
- Восстановление реестра или AD из сохраненной копии
- Редактор базы SAM
- Сохранить реестр или AD в архив
Внимание Для того чтобы работать с AD, вы должны использовать ESR на сервере (контроллере домена), работающем под управлением Windows 2000/2003/2008.
Если вы изменили некоторые свойства учетной записи или пароль и хотели откатить изменения, выберите опцию Восстановление реестра или AD из сохраненной копии.
Редактор базы данных SAM позволяет редактировать все поля в базе данных SAM которые содержат усовершенствованные свойства локальных учетных записей пользователя.
Рисунок 6 Изменить пароль учетной записи
Рисунок 7 Свойства и пароли учетных записей
Рисунок 8 Выберите учетную запись пользователя
Если вы выбрали Проверять короткие и простые пароли (рис.7) то ESR попытается восстановить пароли, используя встроенный словарь и атаку перебором. Это не означает что много паролей могут быть расшифрованы, так как весь процесс занимает несколько минут.
Вот примеры тех паролей, которые могут быть восстановлены:
- Очевидные комбинации (пароль равен логину для входа в систему)
- Сохраненные пароли dial-up
- Пароли LM:
- 4 символа (прописные буквы, цифры, 16 символов)
- Пароли, содержащиеся в словаре
- Пароли, содержащиеся в словаре с одной цифрой в конце
- Пароли NTLM:
- Длина до 4 символа (маленькие буквы, цифры, 16 символов)
- Длина до 4 символа (маленькие, прописные буквы)
- Длина до 5 (маленьких) букв
- Длина до 5 (больших) букв
- Длина до 7 цифр
- Длина 3 случайных символа (все символы)
- пароли из словаря
- Пароли из повторяющихся комбинаций (как '00000', 'aaa' и т.д.)
- Легко угадываемые клавиатурные комбинации (например, ‘qwerty’)
Затем программа создает несколько различных 'мутаций' для паролей, которые были найдены в предыдущих шагах, и пытается применить их ко всем учетным записям.
Локальные учетные записи
Рисунок 9 Выбор учетной записи пользователя
Вы можете либо просто удалить пароль выбранной ученой записи, либо сменить его. Однако учтите, что если есть файлы, зашифрованные с помощью EFS, то доступ к ним вы не получите.
Для этого вам необходимо вернуться назад и выбрать Дамп хэша для последующей расшифровки.
Редактор базы SAM
Рисунок 10 Редактор SAM
Рисунок 11 Флаги
Если вы работаете с базой локальных учетных записей (SAM), получаете список всех локальных учетных записей после выбора операционной системы:
- Учетные записи с правами администратора выделены зеленым цветом, заблокированные или отключенные – красным.
- Вы можете включить отображение хэшей паролей чтобы видеть соответствующие хэши для всех учетных записей, имеющих непустые пароли.
- Выберите учетную запись для которой вы хотите изменить свойства
- На рис.11 показано окно программы ESR в котором вы можете сбросить/изменить пароль и следующие свойства учетной записи:
- Учетная запись администратора
- Пароль никогда не истекает
- Пароль истек
- Учетная запись отключена
- Учетная запись деактивирована
После того, как вы проведете необходимые изменения и нажмете Применить, вам будет предложено создать резервную копию базы данных SAM.
Внимание! Не рекомендуется сбрасывать пароль - вместо этого выберите новый (сложный) пароль из соображений безопасности. Это связано с тем, что в локальной политике может быть запрещен вход с пустым паролем. В результате вы его сбросите, но войти не сможете.
Вместе с тем хотелось бы отметить, что сменить пароль в Windows 7/8 можно с помощью стандартного диска восстановления от Microsoft.
Offline NT Password & Registry Editor
- Загрузить образ CD
- Записываем его на диск
- Корректно перезагружаемся - это обязательно, так как в противном случае можем не получить доступа к системному разделу
- Загружаемся с записанного на шаге 2 CD
Рисунок 12 Windows Reset Password
На первом экране нажимаем Enter
Рисунок 13 Удаление пароля
Далее нам необходимо выбрать, что мы хотим сделать с паролем:
- Clear (blank) user password, Очистить пароль, сделать его пустым
- Unlock and enable user account, разблокировать учетную запись
- Promote user - повышает права выбранного пользователя до администраторских
- Add user to a group – добавить пользователя в группу
- Remove user from a group - удалить пользователя из группы
- Для выхода нужно нажать Q и опять Enter
На завершающем этапе нас спрашивают Хотим ли мы сохранить изменения?
Достаточно нажать Y и опять Enter
Далее спрашивают, хотим ли мы редактировать что-то еще? Если нет – нажать N и Enter
Учтите, таким образом вы можете всего лишь удалить пароль. Однако если в локальной групповой политике запрещен вход с пустым паролем, то войти вы не сможете.
Переустановка пароля в Windows 7/8 с помощью диска восстановления
Диск восстановления проще всего получить при наличии образа установочного диска операционной системы. Далее воспользуйтесь утилитой Microsoft Windows 7 USB/DVD download tool, доступной по адресу
После загрузки выберите пункт «Восстановление системы» (рис.14).
Рисунок 14 Параметры восстановления
После того, как система будет найдена, нажмите «Далее», в открывшемся окне (рис.15) выберите «Командная строка».
В окне командной строки наберите следующие команды:
Copy d:windowssystem32sethc.exe d:
Copy d:windowssystem32cmd.exe d:windowssystem32sethc.exe
Где d: — имя вашего раздела жесткого диска, на котором находится папка Windows. Учтите, если вы будете проводить данную операцию как и я, на компьютере с Windows 7 Ultimate или Windows 7 Enterprise с заранее подготовленным к шифрованию разделом, то ваш диск тоже будет обозначаться буквой D:.
После этого перезагрузите компьютер и, когда в окне потребуется ввести пароль пользователя, просто нажмите клавишу Shift 5 раз. Откроется окно командной строки, ведь вы заменили утилиту, отвечающую за «залипание» клавиш на файл, вызывающий командную строку.
В открывшемся окне командной строки (экран 3) введите:
Net user vlad anypassword, где vlad — имя пользователя, которому вы хотите сменить пароль, anypassword – новый пароль данного пользователя.
Рисунок 15 Выбор средства восстановления системы
Рисунок 16 Смена пароля пользователя
Copy d:sethc.exe d:windowssystem32sethc.exe
Перезагрузите компьютер, воспользовавшись диском восстановления и снова выберите командную строку, чтобы вернуть сделанные ранее изменения (кроме пароля).
Снова перезагрузите компьютер и зарегистрируйтесь с помощью учетной записи, для которой вы меняли пароль, воспользовавшись новым паролем.
Смена пароля пользователя в Windows 8 с помощью диска восстановления системы
Если на вашем компьютере установлена операционная система Windows 8, действия будут аналогичные. Вы должны создать диск восстановления. Для этого нажмите комбинацию клавиш Alt+X для вызова панели управления и далее выберите «Восстановление Windows 7» – «Создание диска восстановления». Или же воспользуйтесь установочным диском Windows 8. Далее нужно загрузиться с полученного диска восстановления и выбрать параметр «Восстановление системы» (рис.17).
Рисунок 17 Восстановление Windows 8
Загрузившись, в открывшемся окне следует выбрать пункт «Диагностика» (рис.18).
Рисунок 18 Диагностика в Windows 8
В окне «Дополнительные параметры» выбрать пункт «Командная строка» (рис.19).
Рисунок 19 Окно «Дополнительные параметры» в Windows 8
Учтите, что по умолчанию ваш диск с операционной системой называется D:, так как С: — служебный диск емкостью 350 Мбайт, предназначенный для задач шифрования. Для смены пароля пользователя необходимо ввести следующие команды в окне командной строки:
D:
Cd windows
Cd system32
Copy cmd.exe cmd.exe.original
Copy Utilman.exe Utilman.exe.original
Del Utilman.exe
Ren cmd.exe Utilman.exe
Shutdown –r –t 00
В открывшемся окне (рис.20) щелкните мышью на указанном красной стрелкой значке. Загрузится окно командной строки. В открывшемся окне (рис.21) введите следующую команду:
Net user vlad *
Рисунок 20 Окно ввода пароля в Windows 8
Рисунок 21 Смена пароля в Windows 8
После этого введите пароль и повторите его ввод.
Перезагрузите компьютер с помощью диска восстановления. Перейдите, как указано выше, в окно командной строки и введите следующие команды:
D:
Cd windows
Cd system32
Del Utilman.exe
Ren Utilman.exe.original Utilman.exe
Ren cmd.exe.original cmd.exe
Shutdown –r –t 00
Так вы сможете сменить (удалить) пароль. Однако после этого файлы, зашифрованные с помощью EFS, читаться у вас не будут.
Вывод
Вам самим решать, какое ПО для этих целей вы будете использовать, но помните, что прежде чем вскрывать свои пароли, на всякий случай сохраните их резервные копии.
В.Ф. Безмалый
MVP Consumer Security
Microsoft Security Trusted Advisor
Комментарии
Хотелось бы добавить, что это, безусловно, далеко не все инструменты. На все не хватит у меня сил описывать :) Это те, которыми пользуюсь сам.
Летят на воздушном шаре Шерлок Холмс и доктор Ватсон. Из-за тумана они
заблудились. Видят, внизу пастух коров пасет, спустились пониже, кричат
ему:
- Эй, мужик, где мы находимся ?
Он в ответ:
- Вы находитесь на воздушном шаре.
Летят дальше, Холмс спрашивает:
- Ватсон, кто этот человек по профессии ?
Ватсон:
- Как кто, пастух конечно.
- Вы ошибаетесь, Ватсон. Этот человек по профессии программист.
- Почему Вы так решили, Холмс ?
- Только программист мог дать такой абсолютно правильный ответ, который
нам абсолютно ничего не дает.
Если Вы напишете ещё одну статью по этой теме и дадите в комментариях на неё ссылку, я буду рад. Статья является обзорной для заявленной теме. Если Вам она не оказалась полезной, не стоит об этом писать. Не всегда в публикуемой информации содержится новизна. Значит, Вы не являетесь целевой аудиторией этой статьи.
полностью согласен
А как будут реплицироваться изменения паролей, сделанные в NTDS.DIT в оффлайн-режиме?