introduktion
i årevis har brugere ønsket at spare tid og kræfter, når de får adgang til servere på netværket, hjemmesider, der kræver legitimationsoplysninger osv. Så der har været muligheder i operativsystemet for at gemme brugernavne og adgangskoder for hurtigere og lettere adgang. Jeg er sikker på, at du har set dette, enten i en prompt eller et afkrydsningsfelt, der beder dig om at gemme adgangskoden. I vinduer har du mulighed for at gemme legitimationsoplysninger for ressourcer, som du ofte får adgang til, eller bare ikke ønsker at skulle huske adgangskoden. Selvom dette er en tidsbesparende mulighed, kan du overveje at bruge denne funktion på grund af sikkerhedsproblemer.
Hvor Kan Jeg Finde Denne Funktion?
denne funktion startede omkring vinduer og har udviklet sig siden dengang. Udviklingen er i det navn og de funktioner, der leveres til funktionen. Funktionen blev kaldt gemte brugernavne og adgangskoder. Du kan få adgang til denne funktion fra fanen Avanceret i dialogboksen brugerkonti. På fanen Avanceret klikker du på knappen Administrer adgangskoder for at få adgang til de gemte brugernavne og adgangskoder.
Vinduer 7 ændrer dette lidt, da der nu er en anden grænseflade, andet navn til funktionen osv. Adgangskoder gemmes også på en anden måde i Vinduer 7, som er i en hvælving. For at få adgang til disse gemte legitimationsoplysninger, eller for at gemme en legitimationsoplysninger selv, du kan gå til snap-in brugerkonti i Kontrolpanel, vælg derefter indstillingen Administrer dine legitimationsoplysninger i venstre panel, som vist i Figur 1.
Figur 1: Administrer mine legitimationsoplysninger inden for brugerkonti snap-in
i det væsentlige åbner dette Legitimationsadministratoren, som også kan køres fra tekstfeltet Start søgning, når du klikker på knappen Start. Når du gemmer legitimationsoplysninger på en Vinduer 7 computer, gemmes de i C:\Users\UserName\AppData\Roaming\Microsoft\Credentials. De filer, der gemmer legitimationsoplysninger er krypteret, så det er i det mindste en fordel!
Bemærk her, at alle legitimationsoplysninger, der oprettes i Legitimationsadministratoren, opretter en fil i mappen legitimationsoplysninger under den ovenfor anførte brugerprofil. Men når legitimationsoplysninger er input til vinduer legitimationsoplysninger, er de også gemt i C:\Users\UserName\AppData\Local\Microsoft\Vault.
vinduer Vault kommando
for at få adgang til boksen af adgangskoder på en Vinduer 7 (og vinduer Server 2008 R2) computer, kan du bruge vaultcmd.kommando fra en kommandoprompt. Dette værktøj giver dig mulighed for at administrere de legitimationsoplysninger, der er i hvælvet og endda oprette nye. Du kan se listen over kontakter, der er tilgængelige for vaultcmd i figur 2.
figur 2: Vaultcmd kommando og afbrydere.
hvis vi bruger disse kommandoer, kan du se, hvordan legitimationsoplysningerne gemmes og åbnes. I vores eksempel vil vi gemme legitimationsoplysninger, der er logget på som en bruger ved navn
for at se legitimationsoplysningerne for den aktuelt loggede bruger kan du køre kommandoen set med brugernavnskontakten, som kan ses i figur 3.
figur 3: i øjeblikket logget på bruger ved hjælp af set command.
ved hjælp af kommandoen vaultcmd kan vi se de legitimationsoplysninger, som denne bruger allerede har gemt. Dette opnås ved hjælp af listeomskifteren, som kan ses i figur 4.
figur 4: Vaultcmd-kommando ved hjælp af listeomskifteren.
du kan derefter se indholdet af hvert hvælving ved hjælp af listeproperties-kontakten efterfulgt af listecreds-kontakten for at se legitimationsoplysningerne i hvert hvælving. Begge dele kan ses i figur 5.
figur 5: Vaultcmd kommando ved hjælp af både listeegenskaber og listcreds skifter.
som du kan se fra alle disse kommandoer ved hjælp af vaultcmd, kan indholdet af hvælvingerne være let at få adgang til. Bemærk igen, at adgangskoderne ikke vises, men disse “alternative legitimationsoplysninger” kan udnyttes af alle, der kan få adgang til denne computer, når brugeren er logget ind.
årsager til ikke at bruge denne funktion
vi har set, hvordan vaultcmd-kommandoen gemmer legitimationsoplysningerne, og hvordan vaultcmd-kommandoen kan få adgang til disse legitimationsoplysninger og oplysninger om dem. Men er denne funktion sikker at bruge? Overvej følgende scenario.
i vores scenario, som vi udsatte ved hjælp af vaultcmd ovenfor, kan du tydeligt se, at dette kan være et problem. For at bevise dette, lad os se nærmere på vores scenario. Vores bruger,
figur 6: forbindelse til server1 med bruger logget ind, men legitimationsoplysninger gemt til server1.
som du kan se, med bare brugeren logget ind og de gemte legitimationsoplysninger, ville være hacker kan samle alle de oplysninger, de har brug for med vaultcmd og derefter udnytte den computer, der har de gemte legitimationsoplysninger.
Resume
Credential Manager og evnen til at gemme legitimationsoplysninger til en Vinduer 7 computer er kraftfuld, men muligvis en enorm udnyttelse. Ofte er de brugere, der bruger denne funktion, ikke inden for IT-gruppen, men de kan bestemt forårsage et betydeligt sikkerhedshul i din organisation. Selvom brugeren ikke er i IT-gruppen, men muligvis er i økonomi, HR eller en direktør, bliver det faktum, at legitimationsoplysninger gemmes på computeren, et problem som beskrevet i denne artikel. I årevis har brugere ønsket måder at få deres brugernavn og adgangskode gemt på computeren eller på en eller anden måde, at de ikke er ansvarlige for at indtaste deres legitimationsoplysninger hver gang. Der er dog åbenlyse risici for denne funktion, som skal vejes i det miljø, de bliver reddet. For virksomheder er det ikke en god ide at gemme legitimationsoplysninger på grund af eksponeringen af desktops, og det faktum, at brugerne ikke kan stole på at ikke låse deres computer, når de går væk fra den.