Visualizzazione post con etichetta SAM. Mostra tutti i post
Visualizzazione post con etichetta SAM. Mostra tutti i post

lunedì 8 febbraio 2016

Windows: Resettare/eliminare la password di Windows tramite Offline NT Password & Registry Editor

Può capitare di avere la necessità di accedere al sistema ma di aver dimenticato la password. In questi casi esistono diversi metodi che ci consentono di resettare/cancellare la password di accesso locale (non quella di dominio) e permetterci l'accesso al sistema. Uno di questi metodi consiste nell'utilizzo dell'ottimo tool Offline NT Password & Registry Editor.

ATTENZIONE:
Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

Da http://pogostick.net/~pnh/ntpasswd/ è possibile scaricare sia l'immagine ISO che i file per creare una pendrive USB bootable. I file vengono scaricati in formato compresso .zip quindi dovranno essere scompattati prima di poterli utilizzare.

Download Offline NT Password & Registry Editor
FIG 1 - Download Offline NT Password & Registry Editor
L'immagine ISO può essere masterizzata su cd/dvd tramite un programma di masterizzazione oppure è possibile creare una pendrive bootable tramite il tool Rufus.
Scaricando i file per la creazione di una pendrive, invece, dobbiamo copiare tutti i file sulla pendrive, aprire un prompt dei comandi come amministratore e digitare il seguente comando
X:\syslinux.exe -ma X:
dove al posto della X va indicata la lettera della nostra pendrive.

Adesso si dispone del supporto con cui si andrà ad eseguire il boot del sistema. Il tool ci chiederà di selezionare alcune opzioni (la maggior parte già selezionate di default) prima di permetterci di resettare la password. Di seguito mostrerò passo passo le operazioni da effettuare con relative immagini per semplificare la vita anche a chi è poco pratico.
Prima di iniziare è utile sapere che le password degli account di Windows vengono crittografate e memorizzate all'interno del file SAM (un file senza estensione) presente in C:\Windows\System32\config. Tale file non è accessibile/modificabile quando Windows è in esecuzione. Ecco perché è necessario creare un supporto con cui effettuare il boot del sistema senza caricare Windows. I più esperti, prima di procedere alla cancellazione della password, possono effettuare il backup dei file SAM e SYSTEM (quest'ultimo contiene il valore Bootkey con cui viene crittografato il file SAM). In questo modo è possibile ripristinare la vecchia password ricopiando semplicemente i file nella loro posizione originale.

Eliminare la password di un determinato account:
  • Eseguire il boot dal supporto creato (CD/DVD o pendrive) e quando a video appare boot: come mostrato in figura FIG 2, premere invio per proseguire.
    Offline NT Password & Registry Editor, Boot
    FIG 2 - Offline NT Password & Registry Editor, Boot
  • Il tool cerca di individuare la partizione dove è installato il sistema operativo e, al termine dell'analisi, ci propone le installazioni di Windows che ha individuato. Digitare il numero dell'installazione di Windows su cui si intende agire e premere invio. L'opzione di default, e più probabile, è indicata tra parentesi quadre (ad es. [1]). Premendo solo invio viene accettata l'opzione di default proposta dal tool.
    Offline NT Password & Registry Editor, installazioni di Windows
    FIG 3 - Offline NT Password & Registry Editor, installazioni di Windows
  • Nel caso in cui venisse richiesto, confermare il percorso del registro di sistema (Windows/System32/config) premendo invio.
  • Confermare l'opzione [1] Password reset [sam] premendo invio per procedere al reset della password
    Offline NT Password & Registry Editor, Password reset [sam]
    FIG 4 - Offline NT Password & Registry Editor, Password reset [sam]
  • Premere nuovamente invio per confermare l'opzione 1 - Edit user data and passwords
    
    Offline NT Password & Registry Editor, Edit user data and passwords
    FIG 5 - Offline NT Password & Registry Editor, Edit user data and passwords
  • Digitare il RID dell'account a cui si intende resettare la password e premere invio (ad es. in figura FIG 6 per resettare la password dell'utente Virtual digitare 03e9 seguito da invio)
    Offline NT Password & Registry Editor, RID user account
    FIG 6 - Offline NT Password & Registry Editor, RID user account
  • Digitare 1 per l'opzione Clear (blank) user password e premere invio
    
    Offline NT Password & Registry Editor, Clear (blank) user password
    FIG 7 - Offline NT Password & Registry Editor, Clear (blank) user password
  • La password è stata eliminata. Digitare q seguito da invio per uscire (Quit editing user, back to user select) quindi ancora q e invio per terminare (FIG 8 e 9)
    Offline NT Password & Registry Editor, Quit editing user, back to user select
    FIG 8 - Offline NT Password & Registry Editor, Quit editing user, back to user select
    Offline NT Password & Registry Editor, Quit (you will be asked if there is something to save)
    FIG 9 - Offline NT Password & Registry Editor, Quit (you will be asked if there is something to save)
  • A questo punto viene chiesto di confermare la scrittura del registro. Premere Y seguito da invio e attendere che la scrittura del Security Account Manager (SAM)
    Offline NT Password & Registry Editor, About to write file(s) back! Do it?
    FIG 10 - Offline NT Password & Registry Editor, About to write file(s) back! Do it?
  • Terminata la scrittura del file SAM viene chiesto se si intende eseguire nuovamente il tool. Confermare l'opzione N proposta premendo invio
    FIG 11 - Offline NT Password & Registry Editor, New run?
  • Non resta che riavviare normalmente il sistema dopo aver rimosso il supporto (CD/DVD o pendrive). La password non ci verrà più richiesta.
    Offline NT Password & Registry Editor, Reboot
    FIG 12 - Offline NT Password & Registry Editor, Reboot

Il metodo presentato funziona solo per il reset degli account locali del sistema. Nel caso in cui il disco sia criptato (ad es. con bitlocker) il tool non funziona. Se l'utente ha criptato qualche file o cartella tramite EFS (Encrypting File System) o Bitlocker, il contenuto di tali file/cartelle risulterà non accessibile finché non verrà ricordata la password originale.