Johdanto
käyttäjät ovat jo vuosia halunneet säästää aikaa ja vaivaa käyttäessään verkon palvelimia, valtakirjoja vaativia verkkosivuja jne. Niin, on ollut vaihtoehtoja käyttöjärjestelmässä tallentaa käyttäjätunnukset ja salasanat nopeammin ja helpommin. Olen varma, että olet nähnyt tämän, joko kehote tai valintaruutu, jossa pyydetään tallentamaan salasana. Windowsissa sinulla on mahdollisuus tallentaa tunnistetiedot resursseille, joita käytät usein, tai vain et halua joutua muistamaan salasanaa. Vaikka tämä on aikaa säästävä vaihtoehto, kannattaa harkita uudelleen tämän ominaisuuden käyttöä turvallisuuskysymysten vuoksi.
Mistä Löydän Tämän Ominaisuuden?
tämä ominaisuus alkoi Windows XP: n ympärillä ja on kehittynyt siitä lähtien. Evolution on nimi ja ominaisuudet, jotka on säädetty ominaisuus. Windows XP: ssä ominaisuutta kutsuttiin tallennetuiksi Käyttäjänimiksi ja Salasanoiksi. Voit käyttää tätä ominaisuutta Käyttäjätilit-valintaikkunan Lisäasetukset-välilehdeltä. Lisäasetukset-välilehdellä napsautat Hallitse salasanoja-painiketta päästäksesi tallennettuihin käyttäjätunnuksiin ja salasanoihin.
Windows 7 muuttaa tätä hieman, sillä nyt on eri käyttöliittymä, ominaisuudelle eri nimi jne. Myös salasanoja säilytetään eri tavalla Windows 7: ssä, joka on holvissa. Jos haluat käyttää näitä tallennettuja tunnistetietoja tai tallentaa tunnuksen itse, voit siirtyä Ohjauspaneelin Käyttäjätilit-laajennukseen ja valita sitten Hallitse tunnistetietoja-vaihtoehdon vasemmasta paneelista, kuten kuvassa 1 esitetään.
Kuva 1: Hallitse Tunnistetietojani käyttäjätilien laajennuksessa
pohjimmiltaan tämä avaa tilitietojen hallinnan, joka voidaan suorittaa myös aloita haku-tekstikentästä, kun napsautat Käynnistä-painiketta. Kun käyttäjätiedot tallennetaan Windows 7-tietokoneeseen, ne tallennetaan C:\Users\UserName\AppData\Roaming\Microsoft\Credentials. Tiedot tallentavat tiedostot on salattu, joten se on ainakin etu!
huomaa tässä, että kaikki tunnukset, jotka luodaan tunnusten hallinnassa, luovat tiedoston tunnukset-kansioon yllä mainitun käyttäjäprofiilin alle. Kuitenkin, kun tunnistetiedot syötetään Windows-tunnistetiedot, ne tallennetaan myös C:\Users\UserName\AppData\Local\Microsoft\Vault.
Windows Vault-komento
salasanojen holviin pääsee Windows 7 (ja Windows Server 2008 R2) – tietokoneella vaultcmd: llä.exe komento komentoriviltä. Tämän työkalun avulla voit hallita tunnistetietoja, jotka ovat holvissa ja jopa luoda uusia. Näet listan kytkimistä, jotka ovat käytettävissä Vaultcmd kuvassa 2.
kuva 2: Vaultcmd-komento ja kytkimet.
jos käytämme näitä komentoja, näet, miten tunnistetiedot tallennetaan ja käytetään. Meidän esimerkki, aiomme tallentaa tunnistetiedot Kirjautunut käyttäjänä nimeltä xpuser. Xpuser on verkkotunnuksen käyttäjä beyondtrust.demo domain. Tämä käyttäjä on jo tallentanut server1-nimisen toimialueen ohjaimen tunnistetiedot. Tämän Käyttäjän tallentamat tunnistetiedot ovat Derek-nimiselle verkkotunnuksen käyttäjälle (joka sattuu olemaan verkkotunnuksen ylläpitäjä).
nähdäksesi kirjautuneen käyttäjän tunnukset voit suorittaa set-komennon käyttäjätunnuskytkimellä, joka näkyy kuvassa 3.
kuva 3: tällä hetkellä kirjautunut käyttäjä käyttäen set-komentoa.
käyttämällä vaultcmd-komentoa näemme käyttäjän jo tallentamat tunnistetiedot. Tämä tapahtuu käyttämällä listakytkintä, joka näkyy kuvassa 4.
Kuva 4: vaultcmd-komento luettelokytkimellä.
voit sitten tarkastella jokaisen holvin sisältöä käyttämällä listproperties-valitsinta, jonka jälkeen listcreds-valitsinta nähdäksesi tunnukset kussakin holvissa. Molemmat voidaan nähdä kuvassa 5.
kuva 5: Vaultcmd-komento, joka käyttää sekä listproperties – että listcreds-kytkimiä.
kuten näet kaikista näistä vaultcmd-komennoista, holvien sisältö on helposti saatavilla. Huomaa jälleen, että salasanoja ei näytetä, mutta näitä ”vaihtoehtoisia tunnistetietoja” voi käyttää kuka tahansa, joka voi päästä tähän tietokoneeseen käyttäjän xpuser kirjautuneena sisään.
syitä olla käyttämättä tätä ominaisuutta
olemme nähneet, miten holvi tallentaa tunnukset ja miten vaultcmd-komento voi käyttää näitä tunnuksia ja tietoja niistä. Onko tämä ominaisuus kuitenkin turvallinen käyttää? Tarkastellaanpa seuraavaa tilannetta.
Xpuser on tallentanut käyttäjätiedot Windows 7-tietokoneelleen sitä varten, kun hänen täytyy käyttää server1: tä, joka on toimialueen ohjain. Credential Managerin avulla tallennetut tunnistetiedot ovat Derekille, joka on verkkotunnuksen ylläpitäjä. Jos xpuser joskus jättää tietokoneen, tässä tapauksessa nimeltään xpclient, lukitsematon, kuka tahansa, joka kävelee xpclient voi käyttää Server1 verkkotunnuksen ylläpitäjänä myös.
meidän skenaariossa, joka on mitä altistimme käyttäen vaultcmd edellä, voit selvästi nähdä, että tämä voi olla ongelma. Todistaaksemme tämän, katsotaanpa tarkemmin skenaariotamme. Käyttäjämme, xpuser, on kirjautunut sisään ja kävellyt pois tietokoneelta. Toinen käyttäjä, Betty, kävelee xpclientiin, jossa xpuser on kirjautunut sisään, ja yrittää luoda yhteyden server1: een. Näet kuvassa 6, että tämä yhteys on helppo tehdä.
kuva 6: yhteys server1: iin, kun xpuser on kirjautunut sisään, mutta tunnistetiedot tallennetaan server1: een.
kuten näet, kun vain käyttäjä on kirjautunut sisään ja tunnistetiedot on tallennettu, would be-hyökkääjä voi kerätä kaikki tarvitsemansa tiedot vaultcmd: llä ja sitten hyödyntää tietokonetta, jolla on tallennetut tunnistetiedot.
Yhteenveto
Credential Manager ja kyky tallentaa tunnistetiedot Windows 7-tietokoneeseen on tehokas, mutta mahdollisesti valtava hyödyntää. Usein käyttäjät, jotka käyttävät tätä ominaisuutta eivät kuulu IT-ryhmään, mutta he varmasti voivat aiheuttaa merkittävän tietoturva-aukon organisaatiossasi. Vaikka käyttäjä ei kuuluisi IT-ryhmään, mutta voisi olla talous -, henkilöstöhallinto-tai johtotehtävissä, se, että tunnukset tallennetaan tietokoneeseen, tulee tässä artikkelissa kuvatulla tavalla ongelmaksi. Käyttäjät ovat jo vuosien ajan toivoneet tapoja saada käyttäjätunnuksensa ja salasanansa tallennettua tietokoneelle tai jollain tavalla, että he eivät ole vastuussa tunnustensa kirjoittamisesta joka kerta. Tähän ominaisuuteen liittyy kuitenkin ilmeisiä riskejä, jotka on punnittava siinä ympäristössä, missä niitä pelastetaan. Yrityksille, tallentaminen valtakirjojen ei ole hyvä idea, koska altistuminen työpöydät ja se, käyttäjät eivät voi luottaa ei lukita tietokonettaan, kun he kävelevät pois siitä.