1. Trình bày các cách bỏ qua mật khẩu và chống lại nó
Các dạng mật khẩu:
• CMOS
• SYSKEY
• Windows
• zip, rar, office , pdf, password cho folder ...
CMOS: các cách bỏ qua mật khẩu như sau
• Nếu chỉ cần lấy dữ liệu, ta tháo ổ cứng và lắp vào máy khác.
• Thử một số mật khẩu mà nhà sản xuất đã đặt mặc định.
• Kiếm chân Jump nào CMOS hay Bios thông thường là chốt 3 chân ở trên Main có màu
xanh hoặc đỏ. Đặt nó sang vị trí 2-3 trong vòng 20 đến 30 giậy thay vì chân 1-2 ( Chế độ
bình thường ) sau đó đặt lại ở vị trí 1-2.
• Nếu ở MS-DOS có thể dùng lệnh DEBUG, hoặc lệnh killcmos hoặc một số phần mềm
chạy trên dos.
• Nếu được quyền truy cập vào máy tính khi máy tính thì có thể thử một số chương trình có
khả năng bỏ password đã lưu trong BIOS.
• Tháo Pin ra khỏi Mainboard khoảng 15-30 phút rồi lắp lại.
• Ngắn mạch 2 chân của chip BIOS trong vài giây (cẩn thận vì có thể làm hỏng chip).
• Một số máy Toshiba notebook cho phép bypass BIOS bằng cách sử dụng một "key-disk"
đặt trong ổ đĩa mềm khi mồi máy.
SYSKEY: ngăn chặn truy cập vào hệ thống trước màn hình welcome. Cách bỏ qua mật khẩu như
sau:
• Dùng 1 vài công cụ trong Hirent' Boot ( ví dụ Offline NT/2K/XP password changer &
registry editor) (chỉ áp dụng với ổ cứng ATA, không dùng được cho SATA). Với cách làm
này syskey sẽ bị disable và ko dùng được nữa.
Windows
• Nếu tài khoản Adminstrator ko được sử dụng, nhấn CTRL + ALT + DEL 2 lần, nhập
username là Administrator, pass bỏ trống. Sau đó sửa lại mật khẩu cho tài khoản user.
• Nếu tài khoản Admin bị đặt pass thì dùng 1 vài công cụ có sẵn trong Hirent's Boot.
zip, rar, office , pdf, password cho folder, file ...
• Đối với mật khẩu office, pdf, phá mật khẩu khá dễ dàng bằng những phần mềm phổ biến

8. Click chuột phải vào OU, chọn Properties, vào thẻ Group Policy, tạo mới GPO và Edit, Group
Policy Object Editor xuất hiện.
9. Vào Computer Configuration -> Windows Settings, click chuột phải vào Security Settings, chọn
Import Policy, open file template đã save.
Các bước kiểm tra:
1. Đăng nhập DC, vào Active Directory Users and Computers trong Administrative.
2. Tạo user mới trong domain, đặt mật khẩu ko phức tạp sẽ thấy kết quả.
3. Audit sự kiện đăng nhập thành công hay thất bại.
Bảng dưới đây liệt kê các ID sự kiện liên quan đến bảo mật phổ biến. Bạn nên làm quen với các
ID này vì bạn sẽ thấy nó thường xuyên trong công việc của một chuyên gia bảo mật.
Event ID Mô tả
512. Khởi động thành công hệ điều hành
513. Tắt thành công hệ điều hành
517 Xóa bảng ghi kiểm định thành công
528 Đăng nhập thành công
529 Đăng nhập thất bại do không biết username hay password
530 Đăng nhập thất bại do thời gian đăng nhập bị hạn chế
531 Đăng nhập thất bại do tài khoản đang bị vô hiệu hóa
540 Đăng nhập mạng thành công
624 Tạo tài khoản người dùng mới thành công
626 Kích hoạt tài khoản người dùng thành công
628 Thay đổi mật khẩu tài khoản người dùng thành công
629 Vô hiệu hóa tài khoản người dùng thành công
644 Khóa một tài khoảng người dùng thành công
645 Tạo tài khoản máy tính mới thành công
Bảng sau liệt kê các ID sự kiện có liên quan trực tiếp đến tiến trình chứng thực trong Windows
2003 và nó hoạt động bằng cách chọn các sự kiện đăng nhập thành công hay thất bại trong Audit
Policy.
Event ID Mô tả
528. Đăng nhập thành công

User bị mất Certificate.Trên Workgroup mặc định không có File Recovery Agent. Vì vậy nếu triển
khai EFS trên workgroup thì cần phải làm cho Administrator trở thành File Recovery Agent.
Các bước cài đặt EFS trong workgroup trong Windows XP hoặc Windows Server 2003:
1. Tạo user1 (trong Computer Management)
2. Log off, đăng nhập với tài khoản user1. Start -> Run -> mmc -> OK
3. Chọn menu File -> Add/Remove Snap-in -> Certificates -> Add -> Close -> OK
Hiện tại trong Personal chưa có gì. Chọn menu File -> Save -> Desktop. Đặt tên file là
Certificate_u1.
3. Tạo thư mục bất kỳ. Ví dụ tạo thư mục TestEFS_user1 trong ổ C:, tạo 1 file bất kỳ trong thư
mục đó.