如何重置或恢复Windows SYSKEY密码

大约22年前，微软试图通过增加一层额外的保护来让Windows更加安全，该保护层就是，syskey实用程序。SAM Lock Tool通常称为SYSKEY（其可执行文件的名称），用于加密Windows安全帐户管理器（SAM）数据库的内容，加密使用的是128位RC4加密密钥。不过2017年7月24日，微软宣布，此功能将在九月发布的秋季创意者更新中删除。

SysKey实用程序可用于通过移动SAM数据库关闭基于Windows的计算机的加密密钥的另外保护SAM数据库。SysKey实用程序也可以用于配置，以便Windows可以访问SAM数据库解密系统密钥时必须输入的启动密码。

用户可以选择指定密码，以保护存储在SAM数据库中的Windows帐户的身份验证凭据。如果设置了SYSKEY密码，Windows将在启动期间要求你输入此密码，然后再显示登录名和密码提示。

虽然SYSKEY没有使用最强的加密算法，但是在没有首先解密SAM数据库的情况下，攻击（暴力破坏或重置）用户的Windows登录名和密码是不可能的。因此，在访问系统的Windows帐户之前，SYSKEY密码将要求攻击者强制或重置SYSKEY保护。更重要的是，未知的SYSKEY密码会阻止用户的系统完全启动。攻击者正式利用这一点，来开发出相应的勒索软件勒索用户的，近些年，你可以在很多所谓的 “技术支持”的攻击案例看到这一攻击，攻击者通过虚假的“技术支持”调用，让受害者无法使用自己的计算机。

由于SAM数据库会加密，重新安装或修复Windows都无法解决此问题，除非用户可以访问最近的备份或系统还原点。出于这个原因，Microsoft删除了在Windows 10（版本1709）和Windows Server 2016（版本1709）中设置SYSKEY密码的功能，从而迫使用户转向更加安全的BitLocker加密。但是，旧系统仍然容易受到SYSKEY勒索软件攻击。Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好的保护计算机中的数据。BitLocker使用TPM帮助保护Windows操作系统和用户数据，并帮助确保计算机即使在无人参与、丢失或被盗的情况下也不会被篡改。BitLocker还可以在没有TPM的情况下使用。若要在计算机上使用BitLocker而不使用TPM，则必须通过使用组策略更改BitLocker安装向导的默认行为，或通过使用脚本配置BitLocker。使用BitLocker而不使用TPM时，所需加密密钥存储在USB闪存驱动器中，必须提供该驱动器才能解锁存储在卷上的数据。

由于SYSKEY保护是个相当老旧的技术，因此它不再安全。SYSKEY勒索软件或“技术支持”诈骗者的受害者现在可以通过恢复或重置SYSKEY密码来恢复其系统，杜绝这类攻击。 Elcomsoft System Recovery工具能够发现或重置SYSKEY密码，以恢复系统的正常启动操作。这也是我们第一次发布Elcomsoft System Recovery用户界面的屏幕截图。

删除SYSKEY密码

SYSKEY加密是一个相对鲜为人知的功能，这也是被“技术支持”诈骗者和勒索软件主动利用该技术的原因。激活SYSTEM密码后，整个SAM注册表配置单元都会被加密。这使得Windows很难恢复到工作状态，特别是如果攻击者删除了所有系统还原点后，恢复过程就更麻烦了。受到攻击后，受害者在尝试启动计算机时会看到这样的消息：“此计算机配置为需要密码才能启动”。

Elcomsoft System Recovery可以尝试自动重置SYSKEY保护。由于直接删除SYSKEY密码可能会破坏Windows启动过程。因此，Elcomsoft System Recovery会执行许多安全检查，以确定重置特定系统的SYSKEY密码是否会导致问题。

注意，在接下来的章节中，我们会假定你已经创建了包含Elcomsoft System Recovery 5.40或更高版本的可启动工具。

要删除未知的SYSKEY密码，请执行以下7步：

1.使用Elcomsoft System Recovery工具将计算机启动到可启动的存储介质。根据计算机主板制造商的不同，你可能需要按Del，F8，F11，F12或其他键来调用一个特殊菜单以暂时覆盖启动顺序或进入UEFI / BIOS设置。

2.在Elcomsoft System Recovery中，指定安装Windows的磁盘或分区，然后单击“下一步”。

3.删除SYSKEY密码的功能位于Miscellaneous选项下：

4.选择SYSKEY：

5.选择ESR来自动搜索SAM数据库或是人工指定其位置：

6.该工具将执行必要的安全检查，并在检测到潜在问题时向你发出警告。要重置密码，请将“搜索...”选项留空，单击“重置SYSKEY”完成设置。

7.最后，重新启动计算机，Windows应该就可以正常启动。

如果发现潜在问题，你将看到以下警告。

如果继续，你将无法访问DPAPI加密数据（EFS加密的文件和文件夹）。此外，我们建议你制作SAM，SYSTEM和SECURITY注册表配置单元的备份副本（必须手动完成）。

恢复SYSKEY密码

重置SYSKEY密码可能有效，也可能无效，具体取决于特定系统的配置。所以恢复SYSKEY密码是一项非常安全的操作，不会因简单的重置密码而产生错误影响。 Elcomsoft System Recovery可以自动检查你的计算机，以在整个系统中查找缓存的SYSKEY密码。该工具将分析各种注册表项，临时文件和数据库，以查找SYSKEY密码的缓存副本。如果成功，可以立即删除SYSKEY保护并且不会产生错误影响。

要查找SYSKEY密码，请执行以下4步操作：

1.使用Elcomsoft System Recovery将计算机启动到可启动的存储介质。根据计算机主板制造商的不同，你可能需要按Del，F8，F11，F12或其他键来调用特殊菜单以暂时覆盖启动顺序或进入UEFI / BIOS设置。

2.按照Elcomsoft System Recovery中的步骤2到步骤6进行操作，但是，这次你一定要确保选中“搜索SYSKEY纯文本密码”选项。

3.你可以选择快速扫描或彻底扫描，点击“恢复系统键”继续。该工具将尝试在你的计算机上找到SYSKEY密码。

4.记下发现的SYSKEY密码并重新启动计算机，在出现提示时输入发现的SYSKEY密码即可正常启动。