Me encontré con esta herramienta "Hiren" y me permite habilitar el Administrador integrado, así como cambiar las contraseñas de los usuarios locales simplemente iniciando la memoria USB con su ISO. No pude encontrar ninguna explicación sobre por qué o cómo funciona esto. ¿No es esto un enorme agujero de seguridad para Windows? Aparentemente, esto es muy fácil y ni siquiera necesitas una herramienta de terceros para lograrlo. Entonces, ¿alguien podría explicarme cómo funciona exactamente ese proceso y si existe alguna protección contra esto (tal vez cifrado/Bitlocker?).
EDITAR: No quiero decir,¿Cómo uso Hiren?, sino más bien¿Cómo funciona Hiren?. Quiero entender la tecnología detrás de esto, por así decirlo.
Respuesta1
No pude encontrar ninguna explicación sobre por qué o cómo funciona esto.
El sistema operativo tiene un archivo que contiene una lista de todas las cuentas de usuario, junto con sus hash de contraseña. Editar el archivo para cambiar el hash de la contraseña a algún valor conocido (por ejemplo, el hash de nada) hará que el sistema operativo espere esa nueva contraseña.
En Windows, ese archivo es SAM(parte del Registro). Linux tiene /etc/passwdy /etc/shadow.
¿No es esto un enorme agujero de seguridad para Windows?
No, generalmente no se considera un agujero de seguridad en ningún sistema operativo. El sistema de cuentas está destinado a hacer su trabajo.mientras el sistema operativo se está ejecutando– si no está funcionando, entonces sus reglas ya no se aplican; También puedes usar Hiren para copiar todos los archivos (sin pasar por las ACL, también conocidas como "permisos de archivos" que aplicaría el sistema operativo principal), o para intercambiar un .exe por otro (haciendo que Minesweeper.exe robe todos tus archivos). Realmente, en lugar de iniciar Hiren, puedes simplemente sacar el disco del sistema, conectarlo a otra computadora mediante USB y hacer lo mismo.
En otras palabras, si el atacante tiene acceso físico al dispositivo (o solo al disco del sistema), generalmente se considera queel atacante obtiene acceso físicoFue el verdadero agujero de seguridad.
Por supuesto, con las computadoras portátiles y otros dispositivos móviles, el acceso de seguridad es mucho más fácil de obtener, y la solución más comúnmente aceptada es el cifrado del dispositivo: cifrar todo el disco del sistema, por ejemplo a través de Windows BitLocker, evitaría que alguien acceda a cualquiera de los archivos que contiene. . (La mayoría de las CPU modernas tienen aceleración para el cifrado, por lo que no hace que el sistema sea más lento en absoluto).
(Cifrado de discodeberíacombinarse con Secure Boot para evitar, por ejemplo, la manipulación de la solicitud de frase de contraseña, aunque, de manera realista, para la mayoría de las personas se trata más de "puede/debería" que de "debe absolutamente").
Aunque tenga en cuenta que la contraseña de inicio de sesión también se utiliza directamente para cifrar ciertos datos específicos del usuario. Restablecer la contraseña de esta manera (o realmente, encualquierde otra manera, incluso si hubiera utilizado poderes legítimos de administrador para hacerlo) hará que los archivos cifrados con EFS de ese usuario o los datos protegidos por DPAPI, como las contraseñas del navegador (enalgunonavegadores), queden para siempre inaccesibles. Entonces, si no puede usar BitLocker, EFS puede ayudarlo un poco.
Aparentemente, esto es súper fácil y ni siquiera necesitas una herramienta de terceros para lograrlo.
contrataresuna herramienta de terceros.