Сброс пароля администратора windows server 2008 r2 через реестр

Обновлено 22.01.2019

Надеюсь, после прочтения этой статьи многие поймут, что контроллеры домена обязательно либо делать Read-Only, либо шифровать (например Bitlocker`oм).

Бывает, что в организации злые-пришлые администраторы перед уходом поменяли все пароли и перед вами стоит задача взлома пароля для администратора домена.

Имеем Windows 2008 R 2 SP 1 и простой установочной диск для той же системы.

Монтируем его и загружаемся с диска.

Нажимаем на Next

Выбираем “Repair Your Computer” (Восстановление системы)

Выбираем нашу систему и жмем на Next

Далее открываем “Command Prompt” (Командная строка)
Идем на диск, где у вас установлена система в папку System 32.

Трюк в том, что мы заменим файл Utilman .exe на cmd .exe и при старте на экране ввода пароля мы сможем запустить cmd .exe от имени System на домен контроллере, а это значит, что сможем сделать все, что угодно.

Итак, теперь перезагружаем компьютер и меняем пароль администратору или создаем нового администратора.

Набираем dsa .msc что бы попасть в консоль ADUC .

Я создам пользователя FAdmin @test .lan и включу его в группу “Domain Admin ”. Понятно, что из той же консоли можно было сбросить пароль любому пользователю, но я хочу показать, что как owner у созданного пользователя будет не учетной записью, что затруднит момент поиска проблемы, если вам это кто-то сделает специально во вред.

Команда Whoami .exe /user /groups покажет что пользователь fadmin входит в группу “domain admins ”

Теперь проверим: кто Owner для этой учетной записи.

Загрузка…

Сегодня обратился ко мне за помощью, директор соседнего предприятия, с просьбой восстановить пароль администратора windows server 2008. Оказывается он дал сотруднице пароль от админской учетки, чтобы она поработала в 1С. Не создавать же нового пользователя, для того чтобы пару дней поработала временная сотрудница )))))).

Не знаю как и зачем она это сделала, но у неё получилось сменить пароль админа. Причем она уверяла что этого не делала и вообще она с компьютерами на «ВЫ». Ну что же, раз просят, значит нужно помогать, тем более лишняя «копейка» не помешает.

В принципе, нет ничего сложного. Как и в статье со сбросом пароля для windows 7, нам нужно будет подменить файл. Но так же как и в случае с семеркой, у меня сделать не получилось, так как не было под рукой установочного диска с Windows Server 2008.

Но у меня всегда под рукой есть мультизагрузочная флешка с livecd на борту. Вставил флешку, загрузился в LiveCD открыл «Компьютер» и вуаля, диск «С» виден и доступен для чтения/записи.

Теперь переходим в папку WindowsSystem32 и находим там файл Utilman.exe

Переименовываем его в Utilman-backup.exe, для того, чтобы можно было потом восстановить.

Теперь находим файл cmd.exe копируем его и вставляем в эту же директорию, чтобы получилось как на скриншоте

Оригинальный файл файл cmd.exe мы не будем трогать, а вот копию теперь переименуем в Utilman.exe.

После этих действий, команда запускаемая Utilman будет открывать командную строку. Именно это нам и нужно. Перезагружаем сервер и ждем окна ввода учетных данных. Когда оно появится, нажмите на значок в нижнем левом углу экрана

Именно эта кнопка выводила панель специальных возможностей, в которой можно открыть экранную клавиатуру и т.д. Но, после подмены файлов, она откроет командную строку.

В открывшейся командной строке введите следующее:

Вместо NewPa$$word введите свой новый пароль. После успешной смены пароля, введите его и убедитесь что все получилось.

Если все прошло успешно (а по другому и не могло пройти), снова загружаетесь в LiveCD открываете папку WindowsSystem32 и удаляете файл Utilman.exe, а файл Utilman-backup.exe снова переименовываете в Utilman.exe. Если этого не сделать, вы оставляете огромную дыру в безопасности!

В этой статье рассмотрена ситуация восстановления пароля администратора домена. Для примера был выбран контроллер домена Windows Server 2008R2 (чего уж скромничать). Естественно я не знаю паролей учетных записей и допускаю, что они достаточно сложны, а следовательно проверять варианты “sex,god,123,password” смысла особого нет.

Зайдя в Google и введя в строке поиска “Reset Password Domain Administrator” я первой строчкой попадаю на сайт израильского MVP, который в деталях описывает процесс сброса пароля доменного администратора. Одно но, чтобы использовать данный способ нужно знать пароль администратора DSRM, для тех кто запамятовал поясняю, что это учетная запись хранится на контроллере домена локально и используется в случаях когда вашей службе каталогов “совсем плохо”, т.е. для восстановления. Но увы, я этого пароля не знаю.

Поэтому я отрываю вторую закладку в браузере и ввожу опять же в Google текст “linux cd for reset administrator password” и ищу образ загрузочного диска который позволит мне сбросить пароль DSRM. И на сайте американского специалиста Petter Nordahl-Hagen нахожу нужный диск. Скачать его можно отсюда.

А дальше? Дальше процесс не требующий никакой умственной деятельности.

Грузим наш сервер с диска скачанного по ссылке.

Выбираем раздел жесткого диска с системой. У меня их два и это не удивительно Windows Server 2008 R2 создает раздел в 200 мегабайт на случай включения Bitlocker.

Выбираю опцию “Password Reset” и нажимаю Enter.

Дале говорю, что желаю редактировать учетную запись.

Указываю, что меня интересует учетная запись Administrator.

И в итоге выхожу на запрос, что сделать с данной учеткой. Я сбрасывал пароль на пустой, хотя можно просто задать свой пароль.

Не забываю сохранить сделанные изменения, в противном случае от ваших действий толку будет ноль. После сохранения ухожу в перезагрузку и при старте компьютера нажимаю F8 , чтобы попасть на выбор вариантов загрузки.

Естественно выбираю вариант загрузки “Directory Service Restore Mode”, чтобы зайти под учетной записью DSRM-администратора.

Выбираю “вход под другой учетной записью” т.е. локальный вход и ввожу если осуществлял смену пароля либо оставляю пустым пароль DSRM-администратора.

Далее делаю следующее: создаю на диске C: папку с именем “tools” и копирую в нее содержимое набора утилит позаимствованных у MVP, хоят все эти утилиты есть в Resourse Kit от Microsft. Скачать можно отсюда. И добавляю в эту папку файл cmd.exe, взятый из каталога C:WindowsSystem32.

После запускаю командную строку и выполняю команду

instsrv PassRecovery “C:toolssrvany.exe”

Это даст мне возможность запустить srvany.exe , как сервис с именем PassRecovery и запустится он с привилегиями SYSTEM.

Остается самая малость. Открыть редактор реестра и раскрыть ветку

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesPassRecovery

Создана данная ветка была при установке службы шагом выше.

В ней мы создаем папку для наших будущих ключей с именем Parameters. Имя только такое.

Создаю два ключа реестра с именами Application и AppParameters.

Application указывает на пусть к командной строке в нашей папке.

AppParameters описывает, что должно в этой командной строке выполниться. А выполнится там команда “net user” и сбросит пароль учетной записи administrator (на этот раз доменной) на Pa$$w0rd. Такой чудной пароль был выбрал не случайно, просто он соответствует требованиям сложности, которые будут проверяться при сбросе пароля.

name: Application
type: REG_SZ (string)
value: с:toolscmd.exe

name: AppParameters
type: REG_SZ (string)
value: /k net user administrator Pa$$w0rd /domain

Напоследок нахожу созданную мной службу PassRecovery и ее свойствах ставлю галочку “Allow Service to interact with desktop”. Можно перезагружаться в нормально режиме.

Когда я загрузился и удостоверился, что пароль был сброшен, службу нужно остановить и удалить, следом за ней и все файлы из папки C:tools.

net stop PassRecovery
sc delete PassRecovery

Вывод: Способ топорный (+ баянный), но действенный как автомат Калашникова.

Можно ли сбросить пароль доменного администратора? Если не брать в расчет морально-этический аспект этой процедуры, то чисто технически очень даже можно. Для этого существует довольно много различных способов, и сегодня я опишу два из них. Способы 100% рабочие, однако имейте в виду, что для их реализации  необходим физический доступ к контролеру домена, или как вариант — система удаленного управления типа iLO (Integrated Lights-Out) от HP.

Способ 1

Для сброса пароля доменного админа нам понадобится установочный диск с Windows Server 2008. Вставляем диск в дисковод, загружаемся с него и выбраем пункт «Восстановление системы».

Выбираем раздел, на который установлена система и жмем кнопку «Далее».

В следующем окне выбираем запуск командной строки.

Теперь нам надо файл utilman.exe, находящийся в папке windowssystem32, заменить на cmd.exe. Вводим в командной строке:

move D:windowssystem32utilman.exe D:windowssystem32utilman.bak
copy D:windowssystem32cmd.exe D:windowssystem32utilman.exe  

Обратите внимание, что буква диска может отличаться, в зависимости от конфигурации системы. В нашем случае это диск D.

Затем жмем на кнопку «Перезагрузка».

Загружаем Windows и дожидаемся окна приветствия. В окне кликаем мышкой на значке специальных возможностей или нажимаем Win+U. 

Поскольку файл utilman.exe, который запускает апплет панели управления «Центр специальных возможностей» мы заменили на интерпретатор командной строки cmd.exe, то нам откроется командная консоль. В ней задаем новый пароль администратора командой:

net user administrator P@$$w0rd   

Задавать P@$$w0rd не обязательно, можно придумать свой пароль, главное — он должен соответствовать политике безопасности домена (мин. длина, сложность и т.п), иначе будет выдана ошибка.

Закрываем командную строку и вводим учетную запись доменного админа с новым паролем.

Дело сделано, пароль сброшен. Можно заходить в систему и делать все что захотим.

Остается только вернуть на место utilman.exe. Для этого придется еще раз загрузиться с установочного диска, и в командной строке ввести:

delete D:windowssystem32utilman.exe
move D:windowssystem32utilman.bak D:windowssystem32utilman.exe  

Плюсами данного способа являются скорость и простота использования. Но есть и минус — способ работает только на контролерах домена с Windows Server 2008 и 2008R2.

Способ 2

При использовании этого способа нам потребуется локальная учетная запись администратора. Не смотря на то, что на контроллере домена она отключена, информация о ней продолжает хранится в базе данных SAM. При загрузке в режиме восстановления службы каталогов для входа в систему используется именно учетная запись локального админа.

Для сброса локальной учетки воспользуемся утилитой для сброса паролей — Offline NT Password and Registry editor.  Утилита бесплатная, можно скачать образ CD или сделать загрузочную флешку.

Сама процедура сброса достаточно проста. Сначала загружаемся с диска. Затем выбираем диск, на который установлена система. Если системный диск не виден, то можно загрузить необходимые драйвера с флешки или дискеты.

Выбрав диск, указываем путь к файлам реестра (обычно windowssystem32config).

Выбираем, какие разделы реестра загружать для редактирования. За учетные записи отвечают разделы SAM, System и Security.

Далее указываем, что собираемся редактировать учетные данные пользователей.

И выбираем из списка пользователя, которого будем редактировать. Предупрежу сразу, русские буквы программа не понимает, и если вместо Administrator мы видим непонятный набор символов, то следует указать RID пользователя, как в примере.

Выбрав пользователя, сбрасываем его пароль на пустой или изменяем его.

Выходим из программы, не забыв сохранить сделанные изменения, и перезагружаем сервер.

При перезагрузке жмем клавишу F8, выбираем загрузку в режиме восстановления службы каталогов и входим в систему с учетной записью локального администратора и новым (или пустым, если был выбран сброс) паролем.

Теперь у нас есть полный доступ к локальной системе, но с Active Directory мы пока ничего сделать не можем. Исправить это нам поможет утилита SRVANY. Она примечательна тем, что может запустить любую программу как службу, причем программа эта будет запущена с правами системы (NT AUTHORITYSYSTEM).
Взять ее можно здесь. Копируем утилиты INSTSRV и SRVANY в какую-нибудь папку, например в C:temp. Туда же кладем cmd.exe, который и будет запускаться с правами системы. Теперь запускаем командную строку и вводим:

cd c:temp
instsrv PassRecovery c:tempsrvany.exe

Таким образом INSTSRV устанавливает SRVANY как службу с названием PassRecovery.

Служба установлена, теперь нужно ее настроить. Открываем редактор реестра и идем в раздел HKEY_LOCAL_MACHINESystemCurrentControlSetServicesPassRecovery. Как видно из названия, этот раздел был создан при установке службы PassRecovery.

Создаем подраздел с именем Parameters и добавляем в него два ключа реестра типа REG_SZ (строка):  Application со значением с:tempcmd.exe и AppParameters со значением /k net user administrator P@$$w0rd .
Application указывает, что запускать, AppParameters — с какими параметрами. В нашем случае будет запущена командная строка, в которой будет выполнена команда net user, которая сменит пароль администратора на P@$$w0rd. Можно задать свой вариант, главное чтобы он соответствовал требованиям доменной политике безопасности.

Теперь осталось настроить параметры запуска службы. Открываем оснастку Службы (Services) и находим в ней службу PassRecovery.

В свойствах службы в свойствах меняем тип запуска на Авто, далее выбираем вкладку Вход в систему (Log on), и там включаем опцию Взаимодействие с рабочим столом (Interact with the desktop).

Перезагружаем сервер и заходим в систему с учетной записью администратора и новым паролем.

Убедившись что пароль сброшен, запускаем командную строку, останавливаем созданную нами службу и удаляем ее:

net stop PassRecovery
sc delete PassRecovery

И удаляем все из папки C:temp.

Пароль сброшен, и домен в нашем полном распоряжении. И хотя по сравнению с первым способ этот достаточно громоздкий, опять же требуется дополнительный софт, но зато работает на всех операционных системах.

На этом все, и надеюсь что вам не придется взламывать пароль на своих (и тем более чужих) серверах.