如何重置或恢復Windows SYSKEY密碼

大約22年前，微軟試圖通過增加一層額外的保護來讓Windows更加安全，該保護層就是，syskey實用程序。SAM Lock Tool通常稱為SYSKEY（其可執行文件的名稱），用於加密Windows安全帳戶管理器（SAM）資料庫的內容，加密使用的是128位RC4加密密鑰。不過2017年7月24日，微軟宣布，此功能將在九月發布的秋季創意者更新中刪除。

SysKey實用程序可用於通過移動SAM資料庫關閉基於Windows的計算機的加密密鑰的另外保護SAM資料庫。SysKey實用程序也可以用於配置，以便Windows可以訪問SAM資料庫解密系統密鑰時必須輸入的啟動密碼。

用戶可以選擇指定密碼，以保護存儲在SAM資料庫中的Windows帳戶的身份驗證憑據。如果設置了SYSKEY密碼，Windows將在啟動期間要求你輸入此密碼，然後再顯示登錄名和密碼提示。

雖然SYSKEY沒有使用最強的加密演算法，但是在沒有首先解密SAM資料庫的情況下，攻擊（暴力破壞或重置）用戶的Windows登錄名和密碼是不可能的。因此，在訪問系統的Windows帳戶之前，SYSKEY密碼將要求攻擊者強制或重置SYSKEY保護。更重要的是，未知的SYSKEY密碼會阻止用戶的系統完全啟動。攻擊者正式利用這一點，來開發出相應的勒索軟體勒索用戶的，近些年，你可以在很多所謂的 「技術支持」的攻擊案例看到這一攻擊，攻擊者通過虛假的「技術支持」調用，讓受害者無法使用自己的計算機。

由於SAM資料庫會加密，重新安裝或修復Windows都無法解決此問題，除非用戶可以訪問最近的備份或系統還原點。出於這個原因，Microsoft刪除了在Windows 10（版本1709）和Windows Server 2016（版本1709）中設置SYSKEY密碼的功能，從而迫使用戶轉向更加安全的BitLocker加密。但是，舊系統仍然容易受到SYSKEY勒索軟體攻擊。Windows BitLocker驅動器加密通過加密Windows操作系統卷上存儲的所有數據可以更好的保護計算機中的數據。BitLocker使用TPM幫助保護Windows操作系統和用戶數據，並幫助確保計算機即使在無人參與、丟失或被盜的情況下也不會被篡改。BitLocker還可以在沒有TPM的情況下使用。若要在計算機上使用BitLocker而不使用TPM，則必須通過使用組策略更改BitLocker安裝嚮導的默認行為，或通過使用腳本配置BitLocker。使用BitLocker而不使用TPM時，所需加密密鑰存儲在USB快閃記憶體驅動器中，必須提供該驅動器才能解鎖存儲在卷上的數據。

由於SYSKEY保護是個相當老舊的技術，因此它不再安全。SYSKEY勒索軟體或「技術支持」詐騙者的受害者現在可以通過恢復或重置SYSKEY密碼來恢復其系統，杜絕這類攻擊。 Elcomsoft System Recovery工具能夠發現或重置SYSKEY密碼，以恢復系統的正常啟動操作。這也是我們第一次發布Elcomsoft System Recovery用戶界面的屏幕截圖。

刪除SYSKEY密碼

SYSKEY加密是一個相對鮮為人知的功能，這也是被「技術支持」詐騙者和勒索軟體主動利用該技術的原因。激活SYSTEM密碼後，整個SAM註冊表配置單元都會被加密。這使得Windows很難恢復到工作狀態，特別是如果攻擊者刪除了所有系統還原點後，恢復過程就更麻煩了。受到攻擊後，受害者在嘗試啟動計算機時會看到這樣的消息：「此計算機配置為需要密碼才能啟動」。

Elcomsoft System Recovery可以嘗試自動重置SYSKEY保護。由於直接刪除SYSKEY密碼可能會破壞Windows啟動過程。因此，Elcomsoft System Recovery會執行許多安全檢查，以確定重置特定系統的SYSKEY密碼是否會導致問題。

注意，在接下來的章節中，我們會假定你已經創建了包含Elcomsoft System Recovery 5.40或更高版本的可啟動工具。

要刪除未知的SYSKEY密碼，請執行以下7步：

1.使用Elcomsoft System Recovery工具將計算機啟動到可啟動的存儲介質。根據計算機主板製造商的不同，你可能需要按Del，F8，F11，F12或其他鍵來調用一個特殊菜單以暫時覆蓋啟動順序或進入UEFI / BIOS設置。

2.在Elcomsoft System Recovery中，指定安裝Windows的磁碟或分區，然後單擊「下一步」。

3.刪除SYSKEY密碼的功能位於Miscellaneous選項下：

4.選擇SYSKEY：

5.選擇ESR來自動搜索SAM資料庫或是人工指定其位置：

6.該工具將執行必要的安全檢查，並在檢測到潛在問題時向你發出警告。要重置密碼，請將「搜索...」選項留空，單擊「重置SYSKEY」完成設置。

7.最後，重新啟動計算機，Windows應該就可以正常啟動。

如果發現潛在問題，你將看到以下警告。

如果繼續，你將無法訪問DPAPI加密數據（EFS加密的文件和文件夾）。此外，我們建議你製作SAM，SYSTEM和SECURITY註冊表配置單元的備份副本（必須手動完成）。

恢復SYSKEY密碼

重置SYSKEY密碼可能有效，也可能無效，具體取決於特定系統的配置。所以恢復SYSKEY密碼是一項非常安全的操作，不會因簡單的重置密碼而產生錯誤影響。 Elcomsoft System Recovery可以自動檢查你的計算機，以在整個系統中查找緩存的SYSKEY密碼。該工具將分析各種註冊表項，臨時文件和資料庫，以查找SYSKEY密碼的緩存副本。如果成功，可以立即刪除SYSKEY保護並且不會產生錯誤影響。

要查找SYSKEY密碼，請執行以下4步操作：

1.使用Elcomsoft System Recovery將計算機啟動到可啟動的存儲介質。根據計算機主板製造商的不同，你可能需要按Del，F8，F11，F12或其他鍵來調用特殊菜單以暫時覆蓋啟動順序或進入UEFI / BIOS設置。

2.按照Elcomsoft System Recovery中的步驟2到步驟6進行操作，但是，這次你一定要確保選中「搜索SYSKEY純文本密碼」選項。

3.你可以選擇快速掃描或徹底掃描，點擊「恢復系統鍵」繼續。該工具將嘗試在你的計算機上找到SYSKEY密碼。

4.記下發現的SYSKEY密碼並重新啟動計算機，在出現提示時輸入發現的SYSKEY密碼即可正常啟動。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！