Syskey Mechanismus

#1 Also inwiefern schützt Syskey die sam? Wie ist es dann trotzdem möglich, dass pwdump darauf zugreift?

#2 http://www.kes.info/archiv/online/04-1-017.htm

Wie setzt du pwdump ein? Lokal nachdem du dich als Administrator eingeloggt hast?
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#3 ja; ich will, dass syskey deaktiviert ist. und zwar als admin oder vorzugsweise als user

#4

Zitat

ja; ich will, dass syskey deaktiviert ist. und zwar als admin oder vorzugsweise als user

Warum das? Aber um deine Frage zu beantworten: Entweder du steigst um auf NT4, da kannst du ab SP3 Syskey
*optional* aktivieren (oder es eben auch deaktiviert lassen) oder du nutzt 3'rd Party Software um Syskey
unter 2K, XP & 2K3 zu disablen. Dies wird mit sehr hoher Wahrscheinlichkeit ein instabiles System zur Folge haben.
Du kannst unter o.g. OS Syskey mit Boardmitteln nicht komplett disablen. Der Mode 1 bleibt immer aktiv. Dies ist
so gewollt und wurde ab 2K eingeführt. Lediglich Mode 2 und 3 lassen sich konfigurieren bzw. wieder de-
aktivieren.
Btw, weder PWdump noch andere neuere Software hat Probleme mit Syskey im Mode 1.

Gruß,

Sepia

#5 Danke. Ich versteh aber leider nicht ganz, ich will die hashes extrahieren und zwar ohne die syskey-Verschlüsselung.
Ist das denn mit einem Programm möglich?

#6

Zitat

Danke. Ich versteh aber leider nicht ganz, ich will die hashes extrahieren und zwar ohne die syskey-Verschlüsselung.

Und wozu brauchst Du das ?
Anmerkung:
Verwandtes Thema SAM unter DOS auslesen
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7 Ja das schon nur hier geht es speziell um syskey

#8

Zitat

Ich versteh aber leider nicht ganz, ich will die hashes extrahieren und zwar ohne die syskey-Verschlüsselung.

Wenn du Zugriff auf die SAM hast und die im Thread "SAM unter DOS auslesen" genannten Programme verwendest,
ist Syskey kein Problem. Syskey in Mode 1 (Encryption der SAM verbunden mit dem lokalen Speichern des computer-
generierten Passwortes = Mode 1) ist gebrochen. Lediglich uralte Versionen von LC und möglicherweise auch PWdump
hätten Probleme damit.
Mit anderen Worten: Sowohl Passwort-Rücksetzungs Software als auch SAM/Hash Brute-Forcer der neueren
Generation können dies handeln.

Zitat

[..]und zwar ohne die syskey-Verschlüsselung

Sobald du die Hashes ausgelesen hast stellt sich die Frage nicht mehr.

Nochmal: Du kannst auf herkömmlichen Weg Syskey nicht deaktivieren. Für das Auslesen der Hashes aus der SAM
ist Syskey ein absolut zu vernachlässigender Faktor weil es kein Hindernis darstellt.
Eine Ausnahme würde Syskey in Mode 2 (Eingabe des Passwortes durch den User beim Booten) oder Mode 3 (Key extern auf Diskette)
darstellen: In beiden Fällen wird beim Hochfahren des PCs jeweils eine Aktion des User gefordert. Für Passwort-Rücksetzungs-
Software gilt hier: Passwort eines Accounts resetten ist möglich, jedoch erscheint die Abfrage nach dem
Syskey Passwort (oder der Disk) weiterhin beim Starten.
Alternativ gibt es Software, die *sowohl* die Kennwörter neu vergeben, als auch Syskey disablen kann. In diesem
Fall ist die Abfrage nach dem Syskey Passwort (oder der Disk) eliminiert.
ABER: Das System wird mit hoher Wahrscheinlichkeit ruiniert sein. Die bekannten und teuren PW-Rücksetzungs-
CDs bieten diese Option aus o.g. Grund wahrscheinlich deshalb erst gar nicht an, die Software, die es kann, warnt
eindringlich davor, dieses Feature zu nutzen!

Gruß,

Sepia

#9 Danke, hast mir weitergeholfen!
Gruß

#10 Hallo!

Also meine Frage is folgende:
Ist es trotz Syskey möglich ein Pw zu recovern?