Cómo descifrar el valor de DefaultPassword guardado en el registro para AutoLogon

En una publicación anterior, hemos visto cómo omitir la pantalla de inicio de sesión en Windows 7 y versiones anteriores al aprovechar la herramienta AutoLogon que ofrece Microsoft. También se mencionó que el principal beneficio de utilizar la herramienta AutoLogon es que su contraseña no se almacena en formulario de texto plano como se hace cuando agrega manualmente las entradas del registro. Primero se cifra y luego se almacena para que incluso el administrador de la PC no tenga acceso a la misma. En la publicación de hoy, hablaremos sobre cómo descifrar el valor DefaultPassword guardado en el editor del Registro usando la herramienta AutoLogon.

Lo primero es lo primero, aún necesitaría tener Privilegios de administrador para descifrar el valor de Contraseña predeterminada. La razón detrás de esta restricción obvia es que dichos datos cifrados del sistema y del usuario se rigen por una política de seguridad especial, conocida como Local Security Authority (LSA) , que otorga el acceso solo al administrador del sistema. Por lo tanto, antes de proceder a descifrar las contraseñas, echemos un vistazo a esta política de seguridad y sus conocimientos prácticos relacionados.

LSA: qué es y cómo almacena datos

LSA es utilizado por Windows Administrar la política de seguridad local del sistema y realizar el proceso de auditoría y autenticación en los usuarios que inician sesión en el sistema mientras guardan sus datos privados en una ubicación de almacenamiento especial. Esta ubicación de almacenamiento se llama LSA Secrets donde los datos importantes utilizados por la política de LSA se guardan y protegen. Estos datos se almacenan en forma cifrada en el editor de registro, en la clave HKEY_LOCAL_MACHINE / Security / Policy / Secrets , que no está visible para las cuentas de usuario generales debido a las Listas de control de acceso (ACL) restringidas. . Si tiene los privilegios administrativos locales y conoce bien los secretos de LSA, puede obtener acceso a las contraseñas de RAS / VPN, contraseñas de Autologon y otras contraseñas / claves del sistema. A continuación se muestra una lista para nombrar algunos.

• $ MACHINE.ACC : relacionado con la autenticación de dominio
• DefaultPassword : valor de contraseña cifrada si AutoLogon está habilitado
• NL $ KM : Secret clave utilizada para encriptar contraseñas de dominio en caché
• L $ RTMTIMEBOMB : Para almacenar el último valor de fecha para la activación de Windows

Para crear o editar los secretos, hay un conjunto especial de API disponibles para los desarrolladores de software. Cualquier aplicación puede obtener acceso a la ubicación de los secretos de LSA, pero solo en el contexto de la cuenta de usuario actual.

Cómo descifrar la contraseña de AutoLogon

Ahora, para descifrar y desarraigar el valor de Contraseña predeterminada almacenado en LSA Secrets, uno simplemente puede emitir una llamada API de Win32. Hay un programa ejecutable simple disponible para obtener el valor descifrado del valor de DefaultPassword. Siga los pasos a continuación para hacerlo:

1. Descargue el archivo ejecutable desde aquí; tiene solo 2 KB de tamaño.
2. Extraiga el contenido del archivo DeAutoLogon.zip.
3. Haga clic con el botón derecho Archivo DeAutoLogon.exe y ejecútelo como Administrador.
4. Si tiene activada la característica AutoLogon, el valor de ContraseñaPredeterminada debe estar justo frente a usted.

Si intenta ejecutar el programa sin privilegios de administrador., te encuentras con un error. Por lo tanto, asegúrese de adquirir privilegios de administrador local antes de ejecutar la herramienta. Espero que esto ayude!

Grite en la sección de comentarios a continuación en caso de que tenga alguna pregunta.