了解密碼清空的原理

大家知道Windows 10（當(dāng)然也包括Windows 7/8）都有一個(gè)默認(rèn)內(nèi)置賬戶Administrator，不過該賬戶默認(rèn)是禁用的，而每個(gè)賬戶對(duì)應(yīng)的狀態(tài)（禁用/激活）和密碼是由注冊(cè)表里相應(yīng)的鍵值決定的，而且所有電腦的Administrator賬戶的這些鍵值都是一樣的。

以管理員身份啟動(dòng)“注冊(cè)表編輯器”，展開[計(jì)算機(jī)＼HKEY_LOCAL_MACHINE＼SAM＼SAM]，接著右鍵點(diǎn)擊選擇“權(quán)限”，在打開的窗口將“Administrators”賬戶組對(duì)該鍵值的權(quán)限設(shè)置為“完全控制”。完成上述操作后刷新注冊(cè)表，依次展開到[HKEY_LOCAL_MACHINE＼SAM＼SAM＼Domains＼

Account＼Users]，其下的“00001F4→000003E9”（十六進(jìn)制）數(shù)值是本機(jī)所有賬戶的代碼，它分別和下方[name]（本機(jī)賬戶名稱）相對(duì)應(yīng)，比如00001F4對(duì)應(yīng)Administrator賬戶（圖1）。

查看賬戶和鍵值的關(guān)系

繼續(xù)展開[HKEY_LOCAL_MACHINE＼SAM＼SA

M＼Domains＼Account＼Users＼000001F4]，右側(cè)窗格對(duì)應(yīng)的二進(jìn)制“F”數(shù)據(jù)就是Administrator賬戶的激活狀態(tài)和密碼的值（圖2）。

賬戶對(duì)應(yīng)狀態(tài)和密碼值

對(duì)于所有Windows 10電腦來說，Administrator賬戶對(duì)應(yīng)的注冊(cè)表鍵值都是一樣的。而保存賬戶信息的鍵值[HKEY_LOCAL_MACHINE＼SAM]，對(duì)應(yīng)的則是“C：＼windows＼system32＼config＼sam”這個(gè)文件。因此如果需要進(jìn)入一個(gè)有密碼的Windows10系統(tǒng)，那么用戶就可以通過[HKEY_LOCAL_MACHINE＼SAM＼

SAM＼Domains＼Account＼Users＼000001F4]鍵值替換，或者將本機(jī)已經(jīng)激活A(yù)dministrator賬戶（但沒有設(shè)置密碼）的“C：＼windows＼system32＼config＼sam”文件替換實(shí)現(xiàn)密碼的破解。因?yàn)樘鎿Q上述鍵值或文件后，本機(jī)內(nèi)置Administrator賬戶就會(huì)自動(dòng)變?yōu)榧せ?，且未設(shè)置密碼狀態(tài)，從而可以使用該賬戶進(jìn)行登錄。

打造自動(dòng)替換文件（或鍵值）恢復(fù)系統(tǒng)

了解了上面的知識(shí)后，下面就可以根據(jù)不同情況打造自動(dòng)解鎖系統(tǒng)。

情形1? 員工尚未離職，電腦系統(tǒng)可以進(jìn)入：替換Sam文件實(shí)現(xiàn)

進(jìn)入系統(tǒng)后，在桌面右鍵點(diǎn)擊“計(jì)算機(jī)→管理→本地用戶和組→用戶”，在右側(cè)窗格選中Administrator賬戶打開，去除“賬戶已禁用”前的勾選，激活該賬戶（圖3）。

激活賬戶

按住Shift鍵點(diǎn)擊“開始→重啟”，重啟后會(huì)進(jìn)入高級(jí)啟動(dòng)界面，按提示點(diǎn)擊“疑難解答→高級(jí)選項(xiàng)→命令提示符”，進(jìn)入命令提示符后輸入“copyC：＼windows＼

system32＼config＼sam e：＼/y”，復(fù)制包含Administrator

賬戶的激活狀態(tài)和密碼信息的Sam文件到E：＼備用。

完成后重啟進(jìn)入Windows10，操作同上，恢復(fù)Administrator賬戶的“禁用”狀態(tài)。接著啟動(dòng)記事本新建一個(gè)名為“winpeshl.ini”的文件，將它放置在E：＼備用，代碼如下：

[LaunchApps]

xcopy，e：＼sam c：＼windows＼system32＼config＼ /y

代碼解釋：使用xcopy命令將e：＼sam文件復(fù)制到c：＼windows＼system32＼config＼替換同名文件，這里e：＼sam是上述操作導(dǎo)出文件。

繼續(xù)啟動(dòng)命令提示符，依次輸入下面的命令，將“e：＼winpeshl.ini”替換winre.wim中的同名文件，這樣以后當(dāng)用戶在高級(jí)啟動(dòng)界面選擇“命令提示符”時(shí)，就會(huì)自動(dòng)替換Sam文件（Rem后為注釋，不需要輸入）：

Rem使用takeown命令將c：＼recovery的所有權(quán)賦予當(dāng)前管理員組。

復(fù)制SAM文件

takeown /f c：＼recovery /a /r /d y

Rem使用cacls命令將當(dāng)前管理員組設(shè)置為對(duì)c：＼recovery擁有完全讀取權(quán)限。

cacls c：＼recovery /T /E /G administrators：F

Rem在E：＼新建名為“aa”的新文件夾，用于保存后續(xù)加載winre.wim鏡像的保存目錄。

Mkdire：＼aa

Rem使用dism命令將winre.wim鏡像的第一個(gè)映像加載到e：＼aa。

dism /Mount-Wim /wimfile：c：＼recovery＼win

dowsre＼winre.wim /index：1 /mountdir：e：＼aa

Rem將上述新建的winpeshl.ini復(fù)制到winre.wim鏡像的系統(tǒng)目錄中。

copy e：＼winpeshl.ini e：＼aa＼windows＼system32

＼ /y

Rem卸載加載的winre.wim鏡像，同時(shí)在卸載前保存加載的鏡像。

dism /unMount-Wim /mountdir：e：＼aa /commit

這樣完成上述命令后，以后進(jìn)入WinRE修復(fù)環(huán)境后就會(huì)自動(dòng)運(yùn)行上述在“e：＼winpeshl.ini”中設(shè)置的命令，該命令會(huì)實(shí)現(xiàn)Sam文件的替換。以后如果發(fā)現(xiàn)員工離職沒有交出登錄密碼，那么只要重啟系統(tǒng)，在啟動(dòng)界面點(diǎn)擊“其他啟動(dòng)選項(xiàng)→疑難解答→高級(jí)選項(xiàng)→命令提示符”，這樣進(jìn)入命令提示符后會(huì)完成Sam文件的替換，再次重啟后就可以在登錄界面使用沒有密碼的Administrator賬戶登錄系統(tǒng)了。

情形2? 員工已離職：使用PE替換鍵值解鎖

如果還未在離職員工的電腦上執(zhí)行上面的操作，員工就已經(jīng)離職，且電腦系統(tǒng)不能進(jìn)入，那么就需要準(zhǔn)備一個(gè)4GB以上的U盤（建議格式化為FAT32，這樣可以引導(dǎo)UEFI電腦），然后打開Windows 10安裝文件（ISO格式），將全部文件復(fù)制到U盤（為了減少體積，可以刪除“U：＼sources＼install.wim”文件，假設(shè)U盤的盤符為U：），這樣即可完成啟動(dòng)U盤的制作。

同上先在任意一臺(tái)正常電腦上，設(shè)置Administrator賬戶為激活（不要設(shè)置密碼），接著展開注冊(cè)表編輯器，定位到[HKEY_LOCAL_MACHINE＼SAM＼SAM＼Domains＼

Account＼Users＼000001F4]，右鍵點(diǎn)擊選擇“導(dǎo)出”，將該鍵值導(dǎo)出為“cpcw.reg”放置在U：＼備用。啟動(dòng)記事本打開上述文件，將其中的“[HKEY_LOCAL_MACHI

NE＼SAM”更改為“[HKEY_LOCAL_MACHINE＼cpcw

＼SAM”并保存，這里“cpcw”是后續(xù)在PE系統(tǒng)加載注冊(cè)表配置單元的名稱（圖5）。

更改文件

現(xiàn)在使用這個(gè)U盤啟動(dòng)離職員工的電腦，進(jìn)入PE系統(tǒng)后，在命令提示符下輸入“regedit”啟動(dòng)注冊(cè)表編輯器，定位到[HKEY_LOCAL_MACHINE]，點(diǎn)擊菜單欄的“文件→加載配置單元”，選擇“C：＼windows＼system32＼config＼sam”文件，并將加載配置單元的名稱設(shè)置為“cpcw”（圖6）。

加載配置單元

小提示：這里加載配置單元的名稱一定要和上述修改的“cpcw.reg”文件中的名稱相同，否則無法導(dǎo)入注冊(cè)表。

返回命令提示符，輸入“reg /import U：＼cpcw.reg”，重啟后即可使用沒有密碼的Administrator賬戶登錄系統(tǒng)了，當(dāng)然也可以使用這個(gè)方法解鎖任意電腦的登錄密碼。

如果原來離職員工使用的登錄賬戶就是Administrator，那么執(zhí)行上述操作后會(huì)清空當(dāng)前賬戶密碼。如果原來使用的是其他賬戶如為“cpcw”，那么使用無密碼的Administrator賬戶登錄系統(tǒng)后，啟動(dòng)命令提示符輸入“net user cpcw 123456”，將其密碼重置為“123456”即可。