Syskey es una clave de cifrado de raíz interna de Windows que se usa para cifrar otros datos de estado confidenciales del SO, como los hash de contraseña de cuentas de usuario. La utilidad SysKey se puede utilizar para agregar una capa de protección adicional mediante la codificación de ‘syskey.exe’ para usar una contraseña externa. En este estado, el sistema operativo bloquea el proceso de arranque y pide a los usuarios la contraseña (ya sea de forma interactiva o mediante la lectura de un disquete).

Hace casi 20 años se utilizaba la herramienta ‘syskey.exe’ para proteger la base de datos de administración de cuentas de seguridad (SAM) de w2k, XP y server 2003 que almacena copias con algoritmo hash de las contraseñas de usuario. Esta BBDD se cifra con una clave de sistema almacenada localmente, para mantener la SAM segura, Windows requiere que se cifran los hash de contraseña e impide el uso de hash de contraseña no cifrados almacenados.

‘syskey.exe’ podemos emplearla para proteger aún más, si cabe, la BBDD SAM si se mueve su clave de cifrado fuera de la tecnología basada en Windows. También, podemos emplearla para configurar una contraseña de inicio que debamos introducir para descifrar la clave del sistema de manera que Windows pueda acceder a la base de datos SAM.

A continuación detallo la manera de habilitar y configurar la utilidad ‘syskey.exe’ para proteger la BBDD SAM;

En primer lugar, para ejecutar la utilidad introduciremos el comando ‘syskey.exe’ en la consola de Windows, desde ‘el Menú Inicio Ejecutar Cmd.exe’, y pulsaremos ‘Intro’.

Nos abrirá la siguiente ventana solicitándonos confirmación y aviso de los cambios que estamos a punto de realizar. Observaremos que la opción Cifrado habilitado está seleccionada y es la única opción disponible, es irreversible, cuando seleccionemos  esta opción Windows siempre cifrará la BBDD SAM. Seleccionaremos ‘Actualizar’.

Haremos clic en Inicio con contraseña si deseamos exigir una contraseña para iniciar Windows. Utilizaremos una contraseña compleja que contenga una combinación de letras mayúsculas y minúsculas, números y símbolos. La contraseña de inicio debe tener al menos 12 caracteres de longitud y puede tener hasta 128 caracteres.

Nota: si hemos de reiniciar remotamente un equipo que requiere una contraseña, en caso de utilizar la opción ‘Inicio con contraseña’, debemos contar con un ayudante de confianza para llevar a cabo el reinicio para poder introducir la contraseña de inicio.

Pincharemos en ‘Contraseña generada por el sistema’ si no queremos solicitar una contraseña de inicio. Seleccionaremos cualquiera de las opciones siguientes;

Pinchamos en ‘Almacenar la clave de inicio en un disco’ para almacenar la contraseña de inicio del sistema en un disquete (esto requiere que alguien inserte el disco para iniciar el sistema operativo).

Pinchamos en ‘Almacenar la clave de inicio localmente’ para almacenar la clave de cifrado en el disco duro del equipo local (esta es la opción predeterminada).

Pincharemos dos veces en el botón ‘Aceptar’ para completar el procedimiento.

Es recomendable quitar la clave de cifrado de SAM del disco duro local utilizando la opción ‘Almacenar la clave de inicio en un disco’ para lograr el mayor nivel de seguridad óptima de protección para la base de datos SAM.

 

Para desactivar la clave de inicio de sistema de Windows, volveremos a poner por defecto la opción ‘Contraseña generada por el sistema – Almacenar la clave de inicio localmente’.

 

 

Últimos cambios sobre la utilidad ‘SysKey.exe’ que afecta a Windows 10 y Server 2016/2019.

A partir de las siguientes versiones; Windows Server 2016 Version 1803Windows Server 2016 Version 1709 Windows Server 2019, all versions Windows 10, version 1809 Windows 10, version 1803 Windows 10, version 1709,  la utilidad ‘Syskey.exe’ ya no se admite.

Si un sistema operativo se cifró externamente por la utilidad ‘SysKey.exe’, no podrá actualizar ese sistema operativo a Windows 10 versión 1709 o Windows Server versión 1709. Desafortunadamente, la clave de cifrado ‘SysKey.exe’ y su uso ya no se consideran seguros. Syskey se basa en una criptografía débil que se puede descifrar fácilmente en los tiempos modernos que corren. Los datos protegidos por Syskey son muy limitados y no cubren todos los archivos o datos del volumen del sistema operativo. Además, también es sabido que la utilidad SysKey.exe’ ha sido utilizada por piratas informáticos como parte de estafas de ransomware.

Active Directory admitía anteriormente el uso de una syskey cifrada externamente para medios IFM. Cuando se instala un controlador de dominio mediante el medio IFM, también tenía que proporcionar la contraseña externa de syskey. Desafortunadamente, esta protección sufre los mismos fallos de seguridad. 

Como solución alternativa, si se desea utilizar la seguridad del sistema operativo del tiempo de arranque, se puede utilizar la tecnología ‘Bitlocker’ o similares, que ya profundizaremos en un próximo #bricoKX