Jeśli zapomniałeś hasła...

Nowsze wersje systemu Windows oferują ochronę danych użytkowników poprzez system kont z hasłem dostępu. Jest to bardzo wygodne i bezpieczne, ale może stwarzać ogromne problemy, jeśli zapomnisz hasła.

Nowsze wersje systemu Windows oferują ochronę danych użytkowników poprzez system kont z hasłem dostępu. Jest to bardzo wygodne i bezpieczne, ale może stwarzać ogromne problemy, jeśli zapomnisz hasła.

Resetowanie hasła administratora systemu za pomocą Offline NT Password & Registry Editor.

Resetowanie hasła administratora systemu za pomocą Offline NT Password & Registry Editor.

Zapominanie haseł jest jednym z podstawowych problemów użytkowników (i administratorów). Na szczęście są odpowiednie metody dostania się do systemu w sytuacji awaryjnej. Wszystkie nowsze wersje Windows przeznaczone do biznesu są oparte na systemie kont użytkowników i haseł dostępu, natomiast wersje Windows przeznaczone do użytku domowego (Windows 9x/Me) nie mają tego typu mechanizmów. Co prawda, Windows 98 i Me wyposażono w mechanizm haseł użytkowników, ale w wypadku tych wersji najlepszym rozwiązaniem jest ponowna instalacja systemu do tego samego katalogu z opcją naprawy. Dopiero Windows XP wprowadza zaawansowany system zarządzania kontami i hasłami w komputerach domowych.

Windows NT i Windows 2000

Systemy Windows NT i Windows 2000 przechowują informacje o użytkownikach i ich hasła (w postaci zaszyfrowanej) w pliku \winnt\system32\config\sam. Ten plik jest częścią Rejestru systemu, ale niedostępną z poziomu użytkownika (nawet dla administratora). Niezależni programiści rozpracowali jednak strukturę tego pliku i opracowali własny edytor Rejestru, który ma możliwość bezpośredniej ingerencji w plik bazy sam. Oficjalnie firma Microsoft nie oferuje żadnej procedury resetowania haseł (zwłaszcza administratora) w systemach Windows NT i 2000.

Najwygodniejszym sposobem jest użycie narzędzia Offline NT Password & Registry Editor - dostępny na naszym CD-ROM-ie w postaci binarnego (plik bd000401.bin) obrazu dyskietki startowej, zawierającej narzędzia do manipulacji Rejestrem Windows NT/2000. Jest to specjalnie przygotowana wersja systemu Linux, zawierająca sterownik systemu plików NTFS oraz znakowy edytor Rejestru. Dyskietka została przygotowana tak, aby można się nią było posłużyć łatwo i szybko - skrypt prowadzi użytkownika, zadając serię prostych pytań. Żeby użyć dyskietki, musisz nagrać jej binarny obraz (plik bd000401.bin) na dyskietkę. Użyj do tego programu rawrite2.exe, również znajdującego się na płycie dołączonej do numeru, wykonując polecenie:

rawrite2 -f bd000401.bin -d a:

Opcja Zapobiegaj zapominaniu hasła jest ukryta w Zadaniach pokrewnych apletu Konta użytkowników.

Opcja Zapobiegaj zapominaniu hasła jest ukryta w Zadaniach pokrewnych apletu Konta użytkowników.

Należy uruchomić komputer z dyskietki i postępować zgodnie ze wskazówkami na ekranie. Narzędzie pozwala zmieniać hasło dla dowolnego użytkownika w systemie. Oczywiście najważniejsze jest konto administratora, ponieważ pozwala na zarządzanie wszystkimi użytkownikami. W przypadku komputerów pracujących w domenie Active Directory/NT resetowanie hasła lokalnego administratora wygląda tak samo. Jedynym wyjątkiem jest Windows 2000 pracujący w domenie Active Directory. System ten ma dodatkowy mechanizm szyfrowania haseł - SysKey. Użycie narzędzia Offline NT Password & Registry Editor na takim komputerze pozwoli, co prawda, zresetować hasło administratora lokalnego, ale komputer nie będzie już mógł przyłączyć się do domeny, ponieważ kontroler domeny odmówi mu autoryzacji. Pamiętaj, że korzystanie z tego narzędzia to niemal hakerstwo, bo może ono - jak każde narzędzie - posłużyć do włamania do cudzego systemu. Dlatego ważne jest fizyczne zabezpieczenie komputera, w którym przechowujesz dane.

Windows XP

Pamiętając o problemach z resetowaniem i odzyskiwaniem haseł w Windows NT i Windows 2000, Microsoft wprowadził w Windows XP wygodny mechanizm odtwarzania haseł kont użytkowników. Procedura odtwarzania ma zastosowanie jedynie do kont lokalnych (znajdujących się w danej maszynie), hasła do kont w Active Directory nie mogą być przywrócone w ten sposób. Dodatkowo każdy użytkownik może wykonać kopię zapasową jedynie tego konta, na którym obecnie pracuje - w praktyce najważniejsze jest, aby wykonał ją administrator systemu z poziomu konta administratora, ponieważ jest on uprawniony do zmiany haseł zabezpieczających konta użytkowników. Plik zawierający klucz prywatny, który posłuży do zresetowania hasła, jest przechowywany w lokalnym komputerze, ale za to w specjalnej, odrębnej od Security Accounts Manager (systemowy mechanizm zarządzania kontami i hasłami) bazie. Nawet jeśli napastnik dostanie się jakoś do systemu i zdobędzie klucz prywatny, do zresetowania hasła będzie potrzebował również klucza publicznego zapisanego na dyskietce do resetowania hasła.

Przygotowanie dyskietki do resetowania hasła

Kreator przypominania hasła jest uruchamiany z poziomu okna logowania do systemu.

Kreator przypominania hasła jest uruchamiany z poziomu okna logowania do systemu.

Chcąc przygotować dyskietkę do odzyskiwania hasła, otwórz Panel sterowania, kliknij ikonę Konta użytkowników i wybierz swoje konto. Kliknij następnie opcję Zadania pokrewne i przycisk Zapobiegaj zapominaniu hasła. Zostanie uruchomiony Kreator przypominania hasła, który poprosi Cię o włożenie pustej dyskietki i zapisze na niej jeden niewielki plik. Może on być w przyszłości użyty do zresetowania hasła.

W rzeczywistości na dyskietce nie jest zapisywane oryginalne hasło, a jedynie klucz publiczny (o długości 2048 bitów), podpisywany dodatkowo cyfrowym certyfikatem zawierającym identyfikator (tzw. SID) użytkownika i zaszyfrowane hasło. Mechanizm odtwarzania haseł w Windows XP został oparty na procedurze stosowanej w Windows 2000 podczas awaryjnego odzyskiwaniu plików chronionych za pomocą wbudowanego systemu ich szyfrowania - EFS (Encrypting File System). Różnica polega na tym, że w Windows 2000 do odszyfrowania plików użytkownika wystarczał klucz szyfrujący administratora systemu. W przypadku resetowania haseł w Windows XP administrator nie ma takich uprawnień. Sprawa wygląda nieco inaczej, gdy komputer z systemem Windows XP pracuje w domenie Active Directory/NT - będzie wówczas używana domenowa lista kont użytkowników, nawet jeśli zalogowałeś się na konto lokalne. Po zalogowaniu należy nacisnąć kombinację klawiszy [Ctrl Alt Delete]. Otworzy się okno Zabezpieczenia systemu Windows, w którym trzeba kliknąć przycisk Zmień hasło, a następnie Kopia zapasowa. Zostanie uruchomiony Kreator przypominania hasła. Kreator przypominania hasła umożliwia użytkownikom archiwizowanie haseł bez konieczności przygotowywania nowej dyskietki po każdej ich zmianie. Nowe hasło jest szyfrowane kluczem publicznym i funkcją taką samą, jak poprzednie, a nowe zaszyfrowane hasło jest dodawane do listy poprzednich zmian haseł, przechowywanej w tym samym pliku, co klucz publiczny.

Odtwarzanie haseł

Kreator przypominania hasła służy zarówno do archiwizacji, jak i odtwarzania haseł w Windows XP.

Kreator przypominania hasła służy zarówno do archiwizacji, jak i odtwarzania haseł w Windows XP.

Już po pierwszej nieudanej próbie zalogowania do systemu Windows XP (Professional) proponuje uruchomienie Kreatora przypominania hasła - z poziomu okna logowania. Kreator poprosi o włożenie wcześniej przygotowanej dyskietki z kopią zapasową haseł i poprosi o wprowadzenie nowego. Gdy je wpiszesz, kreator użyje klucza publicznego z dyskietki do tego, aby - używając klucza publicznego obecnego w systemie - odszyfrować oryginalne, zapomniane hasło i zresetować je zgodnie z życzeniem użytkownika.

Jeśli to się uda, użytkownik zostaje zalogowany, ale gdy klucz szyfrowy jest nieprawidłowy, kreator przerywa pracę i nie pozwala na wejście do systemu. Jeżeli system działa w domenie Active Direcotory/NT, po kilku nieudanych próbach może dojść do zablokowania konta domenowego - czasowo lub na stałe. Wówczas konieczny będzie kontakt z administratorem sieci. Pamiętaj, że dyskietki ratunkowej możesz użyć tylko w tym komputerze i systemie, w którym została wygenerowana, i że można resetować jedynie hasła lokalne. Oczywiście należy chronić dyskietkę przed niepowołanymi osobami.

Narzedzia komercyjne

Warto pamiętać, że jest co najmniej kilka narzędzi komercyjnych ułatwiających dostanie się do systemu. Najlepsze to:

ERD Commander 2002 firmy Winternals Software (www.winternals.com/products/repairandrecovery/erdcommander2002.asp) oraz Windows XP/2000/NT Key firmy LostPassword (www.lostpassword.com/windows-xp-2000-nt.htm), do którego dostępne jest nawet ograniczone funkcjonalnie demo.


Zobacz również