Cómo descifrar el valor de DefaultPassword guardado en el registro para AutoLogon
En una publicación anterior, hemos visto cómo omitir la pantalla de inicio de sesión en Windows 7 y versiones anteriores aprovechando AutoLogon Herramienta ofrecida por Microsoft. También se mencionó que el mayor beneficio de usar la herramienta AutoLogon es que su contraseña no está almacenada en forma de texto plano como se hace cuando se agregan manualmente las entradas de registro. Primero se encripta y luego se almacena para que incluso el Administrador de PC no tenga acceso a la misma. En el post de hoy, hablaremos sobre cómo descifrar la Contraseña predeterminada valor guardado en el editor de registro utilizando AutoLogon herramienta.
Lo primero es lo primero, todavía necesitarías tener Privilegios de administrador para descifrar el Contraseña predeterminada valor. La razón detrás de esta restricción obvia es que dichos datos cifrados del sistema y del usuario se rigen por una política de seguridad especial, que se conoce como Autoridad de Seguridad Local (LSA) que otorga el acceso solo al administrador del sistema. Entonces, antes de que hagamos nuestro cambio en descifrar las contraseñas, echemos un vistazo a esta política de seguridad y sus co-know know hows.
LSA - Qué es y cómo almacena los datos
Windows utiliza la LSA para administrar la política de seguridad local del sistema y realizar el proceso de auditoría y autenticación en los usuarios que inician sesión en el sistema mientras guardan sus datos privados en una ubicación de almacenamiento especial. Esta ubicación de almacenamiento se llama Secretos LSA donde los datos importantes utilizados por la política de LSA se guardan y protegen. Estos datos se almacenan en forma cifrada en el editor de registro, en el HKEY_LOCAL_MACHINE / Seguridad / Política / Secretos clave, que no es visible para las cuentas de usuario generales debido a restricciones Listas de control de acceso (ACL). Si tiene los privilegios administrativos locales y conoce los secretos de LSA, puede obtener acceso a las contraseñas de RAS / VPN, las contraseñas de inicio de sesión automático y otras contraseñas / claves del sistema. A continuación hay una lista para nombrar algunos.
- $ MACHINE.ACC: Relacionado con la autenticación de dominio
- Contraseña predeterminada: El valor de la contraseña cifrada si AutoLogon está habilitado
- NL $ KM: Clave secreta utilizada para cifrar contraseñas de dominio en caché
- L $ RTMTIMEBOMB: Para almacenar el último valor de fecha para la activación de Windows
Para crear o editar los secretos, hay un conjunto especial de API disponibles para los desarrolladores de software. Cualquier aplicación puede obtener acceso a la ubicación de LSA Secrets pero solo en el contexto de la cuenta de usuario actual.
Cómo descifrar la contraseña de AutoLogon
Ahora, para descifrar y desarraigar el Contraseña predeterminada valor almacenado en LSA Secrets, uno simplemente puede emitir una llamada a la API Win32. Hay un programa ejecutable simple disponible para obtener el valor descifrado del valor DefaultPassword. Siga los pasos a continuación para hacerlo:
- Descargue el archivo ejecutable desde aquí: solo tiene un tamaño de 2 KB.
- Extraer los contenidos de DeAutoLogon.zip expediente.
- Botón derecho del ratón DeAutoLogon.exe archivar y ejecutarlo como administrador.
- Si tiene habilitada la función AutoLogon, el valor de DefaultPassword debe estar justo delante de usted.
Si intenta ejecutar el programa sin privilegios de administrador, se encontrará con un error. Por lo tanto, asegúrese de adquirir privilegios de administrador local antes de ejecutar la herramienta. Espero que esto ayude!
Grite en la sección de comentarios a continuación en caso de que tenga alguna pregunta.