Syskey windows 10 не запускается

From Microsoft official announcement, for the sake of security, syskey has been removed from Windows 10 version 1709 or Windows 10 server 2016.

But in reality, since this syskey.exe utility was firstly introduced on Windows server 2000, it is likely some of you are still using the boot-time OS security syskey on Windows XP, Windows 7, and 8 if you have not yet upgraded to Windows 10.

While you decide to upgrade or update to Windows 10 V1709 and later, possibly, you failed to do so as the external encryption syskey utility is replaced by its alternative BitLocker. The syskey has been removed from Windows 10 Fall Creators update and the following updates, like 1803 and 1809, so you won’t be prompted to enter the syskey password at Windows 10 startup.

How could it happen to syskey on Windows systems? This post will show you a complete guide of syskey.exe utility, from what it is, why it doesn’t work on Windows 10 Fall Creators Update and upcoming ones to how to remove it. If you are using it now or just show interest in the syskey, go ahead.

What is Syskey?

Also known as SAM Lock Tool, syskey (System Key) is a Windows embedded utility used to encrypt system data, such as user account password hashes. But on the other hand, the syskey.exe tool is able to offer Windows another kind of protection, which means syskey can be externally encrypted to install Active Directory domain controller using IFFM (Install-From-Media).

So what does syskey do in the process? For one thing, syskey moves the SAM (Security Accounts Management) database encryption key away from the Windows system, like Windows XP, Windows 7 and 8, Windows 10 versions prior to Fall Creators Update, thus protecting the SAM database.

For another thing, this syskey utility also functions to prohibit you from booting the system and to ask for the password via USB drive in most cases.

Above all are the definition of syskey and the purpose of syskey and external syskey.

Why Does Windows 10 No Longer Support Syskey.exe Utility?

Undoubtedly, you may be wondering now that SAM keys helps on Windows XP, Windows 7 and 8, why Microsoft chooses to remove it from Windows 10 and urges you to use syskey alternatives, such as BitLocker, VeraCrypt.

Of course, SAM Lock tool won’t be left out unless there are some syskey issues showing up.

In detail, some syskey bugs make it less reliable on Windows systems. So Microsoft drops it out on Windows 10 Fall Creators Update and its upcoming ones.

Among syskey issues, the most prominent and unbearable ones are:

1. The syskey.exe utility is developed upon rather a weak cryptography, which is prone to be broken in the future.

2. Not all Windows-based data or files can be encrypted by the syskey tool, therefore it is unable to make sure Windows system is secure.

3. Syskey.exe has often been hacked by ransomware ever since its use.

4. The external encryption from syskey for installing Active Directory domain controller also shows security weakness.

Based on these flaws of syskey.exe utility, Microsoft replaced it with BitLocker, which boasts improved functionality to both secure your data and block virus and threats.

For instance, if you need to make use of boot-time OS security or to use IFM to install Active Directory or to upgrade to Windows 10 Server 2016 RS3, it is wise to use BitLocker drive encryption rather than the outmoded SAM Lock Tool.

How to Remove Syskey from your PC?

For clients whose syske.exe is still in use, to avoid the syskey hack, you would rather do a syskey removal and try to utilize such syskey alternatives as BitLocker, VeraCrypt, DiskCryptor, etc.

Or if you feel like upgrading to or updating to Windows 10 V1709 or later, there is a surge in need to disable syskey.exe utility on Windows 10. Only after that can you update to Windows 10 server 2016 successfully.

1. Type in syskey in the search box and then press Enter to head for Securing the Windows account database.

2. In Securing the Windows account database, hit Update.

You can see above the Encryption is enabled by default.

3. In Startup Key, first tick the circle of System Generated Password and then choose to Store Startup key Locally to save the syskey to local PC’s hard drive.

Here is you want, it is also available to set Password setup. In this way, next time you starts Windows 10, you are required to enter the password.

The instant you click OK, the syskey would also be disabled as no interaction is required during system restart.

4. You will be prompted Account database start-up key was changed in the following window. Hit OK to finish the process.

Картинка с сайта: tencomputer.com

Considering that BitLocker is officially released by Microsoft, after getting rid of SAM key from Windows XP, Windows 7 or 8 or 10, you might as well let BitLocker to safeguard system files and data. For most of you, as long as you wish to use syskey password to lock Windows 10, it is strongly recommended to try BitLocker.

To conclude, no matter you are to prevent security risks of syskey or to upgrade to Windows 10 version 1709 (Windows 10 server 2016) or later, it is a necessity for you to learn what syskey is and how to remove it from Windows 10.

More Articles:

What is OpenAL and Should I Remove it Windows 10?

What is Alljoyn Router Service and How to Disable it?

What is CTF Loader and How to Disable it?

Fare thee well, and if for ever still for ever fare thee well.

• В современных реалиях эта утилита не обеспечивает необходимый уровень безопасности данных
• Устаревшие технологии криптографии Syskey легко взламываются
• Утилита не защищает все критически важные данные
• Часто используется хакерами при развёртывании вредоносного программного обеспечения

• Реестр компьютера. По-умолчанию, ключ Syskey хранится именно в реестре и разбросан по четырем веткам

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LsaJD
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LsaSkew1
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LsaData
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LsaGBG

Доступ к этим веткам закрыт всем, кроме системы. Но имея права администратора, несложно прочитать и извлечь Syskey.

• Дискета запуска. Если в утилите syskey.exe выбрать этот способ хранения ключа, то каждый раз при загрузке ПК будет запрошена дискета с сохраненным на ней 128-битным ключом. Дискета потребуется также и для того, чтобы отказаться от этого типа хранения.
• Стартовый пароль. В этом случае, ключ Syskey нигде не хранится, а создается каждый раз из введенного при загрузке системы стартового пароля. Если выбрать этот пункт, то при загрузке системы, до появления экрана выбора пользователей, Windows будет запрашивать начальный пароль, без которого дальнейшее продолжение работы невозможно. При изменении способа хранения ключа на другой, аналогично требуется знание начального пароля.

Итак, в новой версии Windows 10 и Windows Server 2016 будет удалена утилита syskey.exe. Следовательно, нельзя будет выбрать способ хранения ключа Syskey. Теперь он всегда будет храниться в реестре! «А в чем подвох?«, — спросите вы. Подвох в том, что те способы хранения Syskey, которые пойдут под нож, обеспечивают более сильную защиту персональных данных пользователей. И хотя им пользовались единицы, профессионалы в области компьютерной безопасности знают, что если, например, выбрать способ хранения Syskey на дискете, то без этой дискеты никакой злоумышленник, даже если он получить физический доступ к компьютеру, не сможет ни расшифровать файлы, зашифрованные EFS, ни персональные данные учетной записи.

Давайте пройдемся по причинам отказа от syskey.exe, на которые указывает Microsoft.

В современных реалиях эта утилита не обеспечивает необходимый уровень безопасности данных

Неверно. Хранение Syskey на дискете или генерация его по начальному паролю позволяет кардинально улучшить сохранность персональных данных пользователя при оффлайн атаках. Например, при установленном начальном пароле Syskey, даже если злоумышленник получит доступ к паролям skype/IE/chrome/wifi/lan и т.д., то без знания начального пароля Syskey расшифровать их не получится. После того, как выйдет очередное обновление Windows и ключ Syskey будет храниться только в реестре, жизнь потенциальных злоумышленников заметно упростится.
 

Устаревшие технологии криптографии Syskey легко взламываются

Не совсем так. Алгоритм получения ключа шифрования учетных записей SAM из ключа Syskey показан в конце статьи. Этот алгоритм, придуманный около двух десятков лет назад, несомненно, имеет свои минусы: скомпрометированная хэш функция MD5 и слабый потоковый алгоритм шифрования RC4. Кстати, в последних версиях Windows 10 они были заменены на SHA-256 и AES. Давайте попробуем посчитать, насколько быстро можно взломать защиту с установленным паролем или дискетой Syskey. Скорость подбора пароля Syskey на современном оборудовании составляет порядка 10-20 миллионов паролей в секунду для старого алгоритма (для нового — намного медленнее). Мы будем пессимистами и округлим это значение до 100. Но даже при таком раскладе взлом пароля Syskey будет проходить примерно в 100 раз медленнее, чем пароля учетной записи Windows. На перебор Syskey пароля ‘Letmein123‘ потребуется пара с половиной сотен лет. А вот подбор ключа, хранимого на дискете, произойдет не раньше смерти солнечной системы.
 

Утилита не защищает все критически важные данные

Не очень понятно, что именно имеется в виду. Скорее всего невозможность защиты некоторых файлов при помощи EFS. Например, системного реестра. В качестве альтернативы Microsoft предлагает использовать Bitlocker. Самое забавное при этом, что при включении шифрования Bitlocker для учетной записи Microsoft, ключ восстановления автоматически отправляется на серверы Microsoft. В домене все ключи восстановления Bitlocker хранятся в Active Directory, и любой, имеющий доступ к серверу, может легко расшифровать какой угодно ПК в домене. Мы уже писали об этом в одной из наших статей про уязвимость паролей доменных пользователей.
 

Часто используется хакерами при развёртывании вредоносного программного обеспечения

В 2014-2017 годах пользователи Windows подверглись одной из самых обширных атак с использованием встроенной утилиты syskey.exe. Как правило, это выглядело следующим образом: пользователю поступал звонок от якобы технической поддержки Microsoft. Человек на другом конце провода с сильным Индийским акцентом и невероятно английским именем, типа John Smith, утверждал, что на компьютере пользователя установлена вредоносная программа и для ее устранения требуется доступ к ПК. После того, как доверчивая жертва открывала доступ к своему компьютеру, злоумышленники запускали утилиту syskey.exe и устанавливали там стартовый пароль Syskey. Основная проблема восстановления компьютеров после syskey-атаки заключается в недостаточности сброса настроек и ключа Syskey. Для полной дешифрации требуется знание стартового пароля.
Без сомнений, отказ от syskey.exe сведет эту мошенническую схему к нулю. Но надеяться, что мошенники не будут использовать другие схемы обмана, по крайней мере, наивно. Люди, отвечающие за безопасность в Microsoft, скажите, кто помешает скаммерам менять не Syskey, а к примеру, пароль учетной записи? Сброс пароля на вход еще проще, чем установка Syskey. После получения доступа к компьютеру жертвы хакеру достаточно просто ввести в командной строке с правами администратора такую команду: net user USERNAME NEWPASSWORD. Знание старого пароля при этом необязательно.

Приложение 1. Алгоритм получения ключа шифрования SAM из ключа Syskey.

BYTE hash[16], pDecodedData[32];
static BYTE samc1[]="!@#$%^&*()qwertyUIOPAzxcvbnmQQQQQQQQQQQQ)(*@&%";
static BYTE samc2[]="0123456789012345678901234567890123456789";

//Generate decrypt key
Md5Init();
Md5Update(pSamSessionKey+8,16);
Md5Update(samc1,0x2F);
Md5Update(syskey,16);
Md5Update(samc2,0x29);
Md5Final(hash);

//Decrypt
memcpy(pDecodedData,pSamSessionKey+24,32);
Rc4SetKey(hash,16);
Rc4Decrypt(pDecodedData,32);

//Check sign
Md5Init();
Md5Update(pDecodedData,16);
Md5Update(samc2,0x29);
Md5Update(pDecodedData,16);
Md5Update(samc1,0x2F);
Md5Final(hash);

if( memcmp(pDecodedData+16,hash,16)==0 )
{
    memcpy(pDecodedSamSessionKey,pDecodedData,16);
    return TRUE;
}
return FALSE;

Приложение 2. Расшифровка Syskey из реестра.

BOOL DecryptSyskey(LPCTSTR szJD, LPCTSTR szSkew1, LPCTSTR szGBG, LPCTSTR szData)
{
    BYTE p[]={0xb,0x6,0x7,0x1,0x8,0xa,0xe,0x0,0x3,0x5,0x2,0xf,0xd,0x9,0xc,0x4};
    BYTE pEncryptedKey[16];

    if( !szJD || !szSkew1 || !szGBG || !szData )
        return FALSE;

    //convert to binary
    _stscanf_s(szJD,_T("%X"),(LPDWORD)&pEncryptedKey[0]);
    _stscanf_s(szSkew1,_T("%X"),(LPDWORD)&pEncryptedKey[4]);
    _stscanf_s(szGBG,_T("%X"),(LPDWORD)&pEncryptedKey[8]);
    _stscanf_s(szData,_T("%X"),(LPDWORD)&pEncryptedKey[12]);

    //Permutate
    for( int i=0; i<16; i++ )
        m_pSyskey[i]=pEncryptedKey[p[i]];

    return TRUE;
}

Документ доступен для свободного распространения
и перепечатки с обязательной ссылкой на первоисточник.
(с) 2006 Passcape Software. All rights reserved.

Опубликовано:
12:14:39 11.10.2017
Автор:
Passcape_Admin
Последнее обновление
15:16:21 17.10.2017

Файл syskey.exe.mui считается разновидностью DLL-файла. DLL-файлы, такие как syskey.exe.mui, по сути являются справочником, хранящим информацию и инструкции для исполняемых файлов (EXE-файлов), например 3DViewer.ResourceResolver.exe. Данные файлы были созданы для того, чтобы различные программы (например, Windows) имели общий доступ к файлу syskey.exe.mui для более эффективного распределения памяти, что в свою очередь способствует повышению быстродействия компьютера.

К сожалению, то, что делает файлы DLL настолько удобными и эффективными, также делает их крайне уязвимыми к различного рода проблемам. Если что-то происходит с общим файлом MUI, то он либо пропадает, либо каким-то образом повреждается, вследствие чего может возникать сообщение об ошибке выполнения. Термин «выполнение» говорит сам за себя; имеется в виду, что данные ошибки возникают в момент, когда происходит попытка загрузки файла syskey.exe.mui — либо при запуске приложения Windows, либо, в некоторых случаях, во время его работы. К числу наиболее распространенных ошибок syskey.exe.mui относятся:

• Нарушение прав доступа по адресу — syskey.exe.mui.
• Не удается найти syskey.exe.mui.
• Не удается найти C:\Windows\System32\en-US\syskey.exe.mui.
• Не удается зарегистрировать syskey.exe.mui.
• Не удается запустить Windows. Отсутствует требуемый компонент: syskey.exe.mui. Повторите установку Windows.
• Не удалось загрузить syskey.exe.mui.
• Не удалось запустить приложение, потому что не найден syskey.exe.mui.
• Файл syskey.exe.mui отсутствует или поврежден.
• Не удалось запустить это приложение, потому что не найден syskey.exe.mui. Попробуйте переустановить программу, чтобы устранить эту проблему.

Файл syskey.exe.mui может отсутствовать из-за случайного удаления, быть удаленным другой программой как общий файл (общий с Windows) или быть удаленным в результате заражения вредоносным программным обеспечением. Кроме того, повреждение файла syskey.exe.mui может быть вызвано отключением питания при загрузке Windows, сбоем системы при загрузке syskey.exe.mui, наличием плохих секторов на запоминающем устройстве (обычно это основной жесткий диск) или, как нередко бывает, заражением вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.