Úvod
po celá léta uživatelé chtěli ušetřit čas a úsilí při přístupu k serverům v síti, webovým stránkám vyžadujícím pověření atd. V operačním systému tedy existují možnosti ukládání uživatelských jmen a hesel pro rychlejší a snadnější přístup. Jsem si jist, že jste to viděli, a to buď v řádku nebo zaškrtávacím políčku, s žádostí o uložení hesla. V systému Windows máte možnost ukládat přihlašovací údaje pro zdroje, ke kterým často přistupujete, nebo si prostě nechcete pamatovat heslo. I když se jedná o možnost úspory času, možná budete chtít znovu zvážit použití této funkce kvůli problémům se zabezpečením.
Kde Najdu Tuto Funkci?
Tato funkce začala kolem systému Windows XP a od té doby se vyvinula. Vývoj je v názvu a funkcích, které jsou pro tuto funkci poskytovány. V systému Windows XP se tato funkce nazývala uložená uživatelská jména a hesla. K této funkci můžete přistupovat na kartě Upřesnit v dialogovém okně Uživatelské účty. Na kartě Upřesnit kliknete na tlačítko Spravovat hesla pro přístup k uloženým uživatelským jménům a heslům.
Windows 7 to mírně změní, protože nyní existuje jiné rozhraní, jiný název funkce atd. Hesla jsou také uložena jiným způsobem v systému Windows 7, který je v trezoru. Chcete-li získat přístup k těmto uloženým přihlašovacím údajům nebo si pověření uložit sami, můžete přejít na modul snap-in Uživatelské účty v Ovládacích panelech a poté na levém panelu vybrat možnost Spravovat přihlašovací údaje, jak je znázorněno na obrázku 1.
Obrázek 1: Spravujte Moje pověření v modulu snap-in uživatelských účtů
v podstatě se otevře Správce pověření, který lze také spustit z textového pole Start Search po kliknutí na tlačítko Start. Když ukládáte přihlašovací údaje do počítače se systémem Windows 7, jsou uloženy v C:\Users\UserName\AppData\Roaming\Microsoft\Credentials. Soubory, které ukládají pověření, jsou šifrovány, takže je to alespoň výhoda!
Všimněte si, že všechna pověření vytvořená ve Správci pověření vytvoří soubor ve složce pověření pod výše uvedeným profilem uživatele. Pokud jsou však přihlašovací údaje zadávány pro přihlašovací údaje systému Windows, jsou také uloženy v C:\Users\UserName\AppData\Local\Microsoft\Vault.
příkaz Windows Vault
Chcete-li získat přístup k trezoru hesel v počítači se systémem Windows 7 (a Windows Server 2008 R2), můžete použít vaultcmd.exe příkaz z příkazového řádku. Tento nástroj umožňuje spravovat přihlašovací údaje, které jsou v trezoru, a dokonce vytvářet nové. Seznam přepínačů, které jsou k dispozici pro vaultcmd, můžete vidět na obrázku 2.
figura 2: Vaultcmd příkaz a přepínače.
pokud tyto příkazy použijeme, můžete vidět, jak jsou pověření uložena a přístupná. V našem příkladu budeme ukládat přihlašovací údaje přihlášené jako uživatel s názvem xpuser. Xpuser je uživatel domény v beyonddrust.demo doména. Tento uživatel již uložil pověření pro řadič domény s názvem server1. Přihlašovací údaje, které tento uživatel uložil, jsou pro uživatele domény (který se stane správcem domény) jménem Derek.
Chcete-li zobrazit přihlašovací údaje aktuálně přihlášeného uživatele, můžete spustit příkaz set pomocí přepínače uživatelského jména, který je vidět na obrázku 3.
obrázek 3: aktuálně přihlášený uživatel pomocí příkazu set.
pomocí příkazu vaultcmd vidíme pověření, která již tento uživatel uložil. Toho je dosaženo pomocí přepínače seznamu, který je vidět na obrázku 4.
figura 4: příkaz Vaultcmd pomocí přepínače seznamu.
pak můžete zobrazit obsah každého trezoru pomocí přepínače listproperties, následovaného přepínačem listcreds, abyste viděli pověření v každém trezoru. Oba lze vidět na obrázku 5.
obrázek 5: Příkaz Vaultcmd pomocí přepínačů listproperties a listcreds.
jak můžete vidět ze všech těchto příkazů pomocí vaultcmd, obsah trezorů může být snadno přístupný. Opět si všimněte, že hesla se nezobrazují, ale tyto „alternativní pověření“ může využít kdokoli, kdo může získat přístup k tomuto počítači s přihlášeným uživatelem xpuser.
důvody, proč tuto funkci nepoužívat
viděli jsme, jak klenba ukládá pověření a jak může příkaz vaultcmd přistupovat k těmto pověřením a informacím o nich. Je však tato funkce bezpečná? Zvažte následující scénář.
Xpuser uložil přihlašovací údaje do svého počítače se systémem Windows 7, když potřebuje přístup k Server1, což je řadič domény. Pověření uložená pomocí Správce pověření jsou pro Dereka, který je Derek správcem domény. Pokud xpuser někdy opustí počítač, v tomto případě s názvem xpclient, odemčený, každý, kdo chodí do xpclient může přistupovat Server1 jako správce domény také.
v našem scénáři, který jsme odhalili pomocí vaultcmd výše, můžete jasně vidět, že to může být problém. Abychom to dokázali, podívejme se blíže na náš scénář. Náš uživatel, xpuser, se přihlásil a odešel z počítače. Další uživatel, Betty, chodí do xpclient, s xpuser přihlášen, a pokusí se vytvořit připojení k server1. Na obrázku 6 vidíte, že toto spojení lze snadno provést.
figura 6: Připojení k server1 s xpuser přihlášen, ale pověření uloženy do server1.
jak můžete vidět, pouze s přihlášeným uživatelem a uloženými přihlašovacími údaji může útočník shromáždit všechny informace, které potřebují s vaultcmd, a poté využít počítač, který má uložené přihlašovací údaje.
shrnutí
Správce pověření a schopnost ukládat pověření do počítače se systémem Windows 7 je silná, ale možná Obrovská exploit. Uživatelé, kteří budou tuto funkci používat, často nejsou ve skupině IT, ale určitě by mohli způsobit významnou bezpečnostní díru ve vaší organizaci. I když uživatel není ve skupině IT, ale může být ve financích, HR nebo exekutivě, skutečnost, že pověření jsou uložena do počítače, se stává problémem, jak je popsáno v tomto článku. Po celá léta uživatelé chtěli způsoby, jak mít své uživatelské jméno a heslo uložené do počítače, nebo nějakým způsobem, že nejsou zodpovědní za zadávání svých přihlašovacích údajů pokaždé. Existují však zjevná rizika pro tuto funkci, která je třeba zvážit v prostředí, které jsou ukládány. Pro korporace, ukládání pověření není dobrý nápad kvůli expozici stolních počítačů a skutečnosti, že uživatelům nelze věřit, že nezamknou svůj počítač, když od něj odejdou.