Syskey
Syskey — прекращённый компонент операционных систем семейства Windows NT, предназначенный для шифрования базы данных менеджера учётных записей безопасности (SAM) с использованием 128-битного ключа шифрования RC4[1].
Данный инструмент был представлен в хотфиксе для Windows NT 4.0 SP3, а его поддержка была прекращена в обновлении Fall Creators Update для Windows 10 в 2017 году из-за того, что используемый метод шифрования был признан устаревшим и небезопасным по современным стандартам, а также из-за широкого применения Syskey в мошеннических схемах как компонента вымогательского ПО (ransomware). Microsoft официально рекомендовала использовать в качестве альтернативы BitLocker и технологию Credential Guard, которая применяется в современных операционных системах для защиты учётных данных в памяти[2][3][4]. По состоянию на 2026 год компонент полностью отсутствует в Windows 11 и последующих версиях операционной системы[5].
История
Утилита была впервые представлена в составе хотфикса Q143475 для Windows NT 4.0 SP3[6]. Разработка Syskey была направлена на защиту системы от офлайн-атак методом перебора, которые позволяли бы получить содержимое файла SAM и извлечь из него полезную информацию без авторизации[6].
Syskey можно было настроить на обязательный ввод ключа при загрузке системы (стартап-пароль) либо на хранение ключа на съёмном носителе, например, дискете или флеш-накопителе[7]. Начиная с Windows XP, компонент Syskey был включён по умолчанию и стал обязательным[5].
Прекращение поддержки утилиты происходило поэтапно и затронуло контроллеры домена Active Directory начиная с Windows Server 2016. В середине 2017 года Microsoft удалила программу syskey.exe из будущих версий Windows[8]. Официальными причинами окончательного удаления стали слабая криптография, ограниченная защита (только базы SAM) и массовое использование в мошеннических схемах[9]. Вместо syskey.exe рекомендуется использовать BitLocker или аналогичные технологии.
Проблемы безопасности
В декабре 1999 года команда безопасности компании BindView обнаружила уязвимость в Syskey (CVE-1999-0994), техническая суть которой заключалась в повторном использовании ключевого потока (keystream reuse). Это позволяло злоумышленникам применять криптоаналитическую атаку (XOR) для восстановления данных, благодаря чему становилась возможной определённая форма офлайн-криптоанализа, значительно упрощавшая взлом по сравнению с атакой полным перебором[10][6]. Впоследствии Microsoft выпустила исправление этой проблемы, получившей неофициальное название «Syskey Bug», в рамках бюллетеня безопасности MS99-056 (патч Q248183)[11]. Уязвимость затрагивала Windows NT 4.0 и предварительные версии Windows 2000 до RC3[6].
Syskey часто используется мошенниками, выдающими себя за техническую поддержку, чтобы заблокировать жертвам доступ к собственным компьютерам и вымогать выкуп[12][13]. Кроме того, утилита может использоваться и против самих мошенников для срыва их операций. К 2024—2026 годам использование Syskey в мошеннических схемах технической поддержки, а также методы противодействия им с помощью этой утилиты, практически прекратились из-за её полного удаления из современных версий Windows.