大约 22 年前,微软试图通过增加一层额外的保护来让 Windows 更加安全,该保护层就是,syskey 实用程序。SAM Lock Tool 通常称为 SYSKEY(其可执行文件的名称),用于加密 Windows 安全帐户管理器(SAM)数据库的内容,加密使用的是 128 位 RC4 加密密钥。不过 2017 年 7 月 24 日,微软宣布,此功能将在九月发布的秋季创意者更新中删除。
SysKey 实用程序可用于通过移动 SAM 数据库关闭基于 Windows 的计算机的加密密钥的另外保护 SAM 数据库。SysKey 实用程序也可以用于配置,以便 Windows 可以访问 SAM 数据库解密系统密钥时必须输入的启动密码。
用户可以选择指定密码,以保护存储在 SAM 数据库中的 Windows 帐户的身份验证凭据。如果设置了 SYSKEY 密码,Windows 将在启动期间要求你输入此密码,然后再显示登录名和密码提示。
虽然 SYSKEY 没有使用最强的加密算法,但是在没有首先解密 SAM 数据库的情况下,攻击(暴力破坏或重置)用户的 Windows 登录名和密码是不可能的。因此,在访问系统的 Windows 帐户之前,SYSKEY 密码将要求攻击者强制或重置 SYSKEY 保护。更重要的是,未知的 SYSKEY 密码会阻止用户的系统完全启动。攻击者正式利用这一点,来开发出相应的勒索软件勒索用户的,近些年,你可以在很多所谓的 " 技术支持 " 的攻击案例看到这一攻击,攻击者通过虚假的 " 技术支持 " 调用,让受害者无法使用自己的计算机。
由于 SAM 数据库会加密,重新安装或修复 Windows 都无法解决此问题,除非用户可以访问最近的备份或系统还原点。出于这个原因,Microsoft 删除了在 Windows 10(版本 1709)和 Windows Server 2016(版本 1709)中设置 SYSKEY 密码的功能,从而迫使用户转向更加安全的 BitLocker 加密。但是,旧系统仍然容易受到 SYSKEY 勒索软件攻击。Windows BitLocker 驱动器加密通过加密 Windows 操作系统卷上存储的所有数据可以更好的保护计算机中的数据。BitLocker 使用 TPM 帮助保护 Windows 操作系统和用户数据,并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。BitLocker 还可以在没有 TPM 的情况下使用。若要在计算机上使用 BitLocker 而不使用 TPM,则必须通过使用组策略更改 BitLocker 安装向导的默认行为,或通过使用脚本配置 BitLocker。使用 BitLocker 而不使用 TPM 时,所需加密密钥存储在 USB 闪存驱动器中,必须提供该驱动器才能解锁存储在卷上的数据。
