Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×
Gettre

syskey/bitlocker на Windows Server 2016

Recommended Posts

Здравейте,
извинявам се ако темата не е за тук.
Заглавието мисля че е доста точно и описва ситуацията.

Накратко имам един сървър който беше локнат със syskey и bitlocker и снапшотовете които правя бяха затрити най-вероятно от същия човек който го локна.
До самата машина имаме достъп няколко човека и най-вероятно имам компроментиран акаунт.

Въпроса ми е някой до сега успял ли е да възстанови машина от такова състояние, защото от моите тестове чупя Windows-a и няма възстановяване от там.

Edited by Gettre
  • Like 1

Share this post


Link to post
Share on other sites

За пръв път виждам syskey и bitlocker да се позлват заедно, обикновено е или/или. Сигурен ли си че такъв е сетъпа?

За syskey не знам, но битлокер се лекува.

Какви тестове си напрвил?

Share this post


Link to post
Share on other sites

Много е важно какъв е TPM чипа на сървъра - производител и версия. Ако използва tpm1.2 или tpm2.0, можеш с logic analyzer да ексфилтрираш ключа от fpga чипа.

Share this post


Link to post
Share on other sites

Съжалявам за късния отговор.
Знам че по-принцип е или/или, но сървъра както казах беше компрометиран от ескалиран акаунт. Имаше един момент в който единия от колегите ми успя да влезе в сървъра докато не се soft reboot-на "без очевидна причина". След това не успяхме да влезем, но се чудех дали някой е успял да разбие основно syskey и предполагам за самия bitlocker Microsoft можеха да помогнат повече макар че за 12-те часа в които беше долу едвам получихме два отговора от техните "техници".
Благодаря ти за отговора @d3k4z като цяло backup-ите offsite спасиха положението.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.