O banco de dados SAM pode ser criptografado com o EFS para impedir a quebra de senha offline?

Bem, simplesmente não é possível:

Se você fosse criptografar o arquivo enquanto o Windows não estava em execução, ele não usaria o certificado EFS correto, o que provavelmente quebraria o Windows.

Você provavelmente não pode, e mesmo se pudesse, não adiantaria nada.

O arquivo SAM está sempre em uso e você não pode nem mesmo fechar as alças para ele com o Process Explorer sendo executado como SYSTEM . Portanto, cipher falha com um erro de acesso negado.

Se você criptografou o arquivo com a chave de um usuário normal, o Windows não poderá acessá-lo (porque ele precisa da sua senha para desbloquear sua chave) e o processo de inicialização falhará.

Você poderia exportar a chave SYSTEM para outra máquina, montar o disco rígido da máquina alvo e criptografar o arquivo SAM offline com ela. Isso tem uma grande chance de quebrar o Windows, porque o serviço Gerenciador de contas de segurança ( SamSs ) afirma ser realmente importante para o início de todos os outros serviços:

The startup of this service signals other services that the Security Accounts Manager (SAM) is ready to accept requests. Disabling this service will prevent other services in the system from being notified when the SAM is ready, which may in turn cause those services to fail to start correctly. This service should not be disabled.

O serviço Sistema de arquivos com criptografia ( EFS ), embora não dependa explicitamente do SAM, possui algum conceito de contas, pois mapeia as chaves para os usuários. O EFS possui um driver de modo kernel e é executado no mesmo processo que o SAM ( lsass.exe ), por isso poderia começar antes que o arquivo SAM fosse necessário, mas mexer nas partes de baixo nível do SO é provavelmente um plano dúbio.

Se você conseguisse, de alguma forma, não teria conseguido nada. O computador tem que ser capaz de obter a chave EFS do SYSTEM sem você digitar qualquer senha e, portanto, ela deve ser armazenada sem criptografia no disco. Portanto, o invasor pegaria apenas a chave privada de SYSTEM , onde quer que ela esteja, use-a para descriptografar SAM e, em seguida, faça tudo o que desejar com os dados contidos nela.

• Não é possível criptografar o banco de dados SAM usando o EFS.
• Mas é possível criptografar o banco de dados SAM

O recurso existe no Windows desde o Windows NT 4.0 (1996): SysKey . (arquivo)

Em um prompt de comando, execute:

>syskey.exe

e a interface do usuário será exibida:

Estejacientedequeéumaoperaçãounidirecional.

• vocêteráquedigitarasenhasemprequeinicializar
• vocênãopoderemoveracriptografiadobancodedadosSAM

Atualizaçãode2017-SysKeyremovidodoWindows10

ApartirdoWindows10versão1709,oSysKeynãoserámaisincluído.De KB4025993

Syskey.exe utility is no longer supported in Windows 10 version 1709 and Windows Server version 1709

The syskey.exe utility and its underlying support in the Windows OS was first introduced in Windows 2000 and backported to Windows NT 4.0.

Unfortunately, the syskey encryption key and the use of syskey.exe are no longer considered secure. Syskey is based on weak cryptography that can easily be broken in modern times. The data that is protected by syskey is very limited and does not cover all files or data on the OS volume. The syskey.exe utility has also been known to be used by hackers as part of ransomware scams.

Como eles notam; é melhor você usar algo como BitLocker ou VeraCrypt para as pessoas de folha de flandres.