¿Cómo syskey en Windows aumenta la seguridad en un dominio?

4

Yo uso syskey en Windows XP y Windows 7. He leído artículo de Microsoft pero tengo preguntas.

  1. ¿Cómo aumenta la seguridad esta solución?
  2. ¿Cuáles son las diferencias entre el uso de Syskey en un cliente que se une a un Active Directory con un servidor de certificación frente a una estación de trabajo? ¿Syskey logra más seguridad si se usa en un cliente que se une a un controlador de dominio?
  3. En Windows XP y 7, este comando crea un disquete. ¿Hay alguna manera de hacer un dispositivo USB extraíble? ¿O un dispositivo inalámbrico que me permita iniciar sesión con un dispositivo de onda Bluetooth?
pregunta saber tabatabaee yazdi 30.10.2012 - 08:19
fuente

2 respuestas

2

Sólo responderé la primera pregunta.

Si las contraseñas de Windows con hash se almacenan de forma clara, son susceptibles a dos tipos de ataques:

  • Rompe las contraseñas con hash usando fuerza bruta. Esto se puede hacer porque Windows no usa un algoritmo de hashing de contraseña lento como PBKDF2 o bcrypt.
  • Pase la contraseña con hash al kernel de Windows. Este ataque es descrito en este SANS
    papel
    .

Así, Windows cifra las contraseñas con hash con syskey. El problema es: si syskey se almacena en la misma máquina que las contraseñas de hash, entonces esto no hace mucho: un atacante con acceso a las contraseñas de hash (encriptadas) probablemente también tenga acceso a syskey y puede descifrar las contraseñas de hash. Por lo tanto, es importante mantener syskey en un dispositivo separado, como un disco extraíble.

    
respondido por el David Wachtfogel 30.10.2012 - 10:09
fuente
4

Direccionando cada parte sucesivamente:

1) Este control protege contra el siguiente escenario de amenaza: un atacante obtiene el control físico del disco duro de la máquina. Extraen la base de datos SAM local, que contiene hashes de contraseñas para las cuentas en la máquina y los obliga a obtener las contraseñas que usan para iniciar sesión en otra máquina de la que no tienen control físico. SYSKEY funciona cifrando la copia local de los hashes de contraseña y escribiendo la clave de cifrado en un disquete. Usted proporciona el disquete con la clave en el arranque del sistema.

2) Cualquier máquina que no sea un controlador de dominio solo almacena hashes para cuentas locales en su base de datos SAM, por lo que realmente no cambia el ataque si el cliente participa en un dominio o no.

3) Al parecer, SysKey simplemente escribe en la letra de unidad A :, a la que se le haya asignado, así que si obliga a una llave USB a usar A: en Administración de discos, funcionará. La unidad debe estar presente y montada en el arranque, por lo que debe usar un disquete o un disco USB, no un recurso compartido de red o dispositivo. También debe almacenar el disquete / USB (y cualquier copia de seguridad que haga de él) por separado de la máquina, ya que la amenaza es que se pierde el control físico de la máquina.

Por último, en términos más generales, lo estás haciendo mal. Ha implementado un control sin saber lo que hace. Haga una evaluación de riesgos adecuada, comprenda la amenaza y luego seleccione el control.

Es bastante probable, por ejemplo, que la implementación del cifrado completo del disco y el uso de contraseñas seguras y el refuerzo de la seguridad física en el dispositivo sea más que suficiente para administrar el riesgo de que alguien realice el ataque descrito anteriormente.

    
respondido por el Graham Hill 30.10.2012 - 12:44
fuente

Lea otras preguntas en las etiquetas