Bevezetés
a felhasználók évek óta időt és energiát akarnak megtakarítani a hálózati kiszolgálók, a hitelesítő adatokat igénylő webhelyek stb. Tehát az operációs rendszerben lehetőség van a felhasználónevek és jelszavak mentésére a gyorsabb és könnyebb hozzáférés érdekében. Biztos vagyok benne, hogy ezt látta, akár egy promptban, akár egy jelölőnégyzetben, kérve a jelszó mentését. A Windows rendszerben tárolhatja az erőforrások hitelesítő adatait, amelyekhez gyakran hozzáfér, vagy csak nem akarja, hogy emlékezzen a jelszóra. Bár ez időmegtakarítási lehetőség, biztonsági problémák miatt érdemes átgondolni ennek a funkciónak a használatát.
Hol Találom Ezt A Funkciót?
ez a funkció A Windows XP körül kezdődött, és azóta fejlődött. Az evolúció a funkció nevében és jellemzőiben van. A Windows XP rendszerben a funkciót tárolt felhasználóneveknek és jelszavaknak hívták. Ezt a funkciót a Felhasználói fiókok párbeszédpanel Speciális lapján érheti el. A Speciális lapon kattintson a Jelszavak kezelése gombra a tárolt felhasználónevek és jelszavak felület eléréséhez.
A Windows 7 Ezt kissé megváltoztatja, mivel most más felület van, más a funkció neve stb. Ezenkívül a jelszavakat más módon tárolják a Windows 7 rendszerben, amely egy boltozatban van. A tárolt hitelesítő adatok eléréséhez vagy a hitelesítő adatok tárolásához lépjen a Vezérlőpult Felhasználói fiókok beépülő moduljába, majd válassza a bal oldali panelen a hitelesítő adatok kezelése lehetőséget, az 1.ábrán látható módon.
1. ábra: Hitelesítő adatok kezelése a felhasználói fiókokban beépülő modul
lényegében ez megnyitja a hitelesítő adatok kezelőjét, amely a Start gombra kattintva a Keresés indítása szövegmezőből is futtatható. Ha a hitelesítő adatokat egy Windows 7 számítógépen tárolja, akkor azokat a C:\Users\UserName\AppData\Roaming\Microsoft\Credentials. A hitelesítő adatokat tároló fájlok titkosítva vannak, tehát ez legalább előny!
itt vegye figyelembe, hogy a hitelesítő adatok kezelőjében létrehozott összes hitelesítő adat létrehoz egy fájlt a hitelesítő adatok mappában a fent felsorolt felhasználói profil alatt. Ha azonban a hitelesítő adatokat a Windows hitelesítő adatai adják meg, akkor azokat a C:\Users\UserName\AppData\Local\Microsoft\Vault.
Windows Vault parancs
Windows 7 (és Windows Server 2008 R2) számítógépen a jelszavak tárolójának eléréséhez használhatja a vaultcmd-t.exe parancs egy parancssorból. Ez az eszköz lehetővé teszi a tárolóban lévő hitelesítő adatok kezelését, sőt újak létrehozását is. A vaultcmd számára elérhető kapcsolók listáját a 2. ábrán láthatja.
2. ábra: Vaultcmd parancs és kapcsolók.
ha ezeket a parancsokat használjuk, láthatjuk, hogyan tárolják és érik el a hitelesítő adatokat. Példánkban az xpuser nevű felhasználóként bejelentkezett hitelesítő adatokat tároljuk. Xpuser egy domain felhasználó a túltrust.demo domain. Ez a felhasználó már eltárolta a server1 nevű tartományvezérlő hitelesítő adatait. A felhasználó által tárolt hitelesítő adatok egy Derek nevű tartományi felhasználóra vonatkoznak (amely történetesen tartományi rendszergazda).
az aktuálisan bejelentkezett felhasználó hitelesítő adatainak megtekintéséhez futtathatja a set parancsot a felhasználónév kapcsolóval, amely a 3.ábrán látható.
3. ábra: jelenleg bejelentkezett felhasználó a set paranccsal.
a vaultcmd paranccsal láthatjuk a felhasználó által már mentett hitelesítő adatokat. Ez a lista kapcsolóval érhető el, amely a 4.ábrán látható.
4. ábra: Vaultcmd parancs a lista kapcsolóval.
Ezután megtekintheti az egyes tárolók tartalmát a listproperties kapcsolóval, majd a listcreds kapcsolóval megtekintheti az egyes tárolók hitelesítő adatait. Mindkettő az 5. ábrán látható.
5. ábra: Vaultcmd parancs mind a listproperties, mind a listcreds kapcsolók használatával.
mint látható az összes ezeket a parancsokat vaultcmd, a tartalmát a boltívek lehet könnyen hozzáférhető. Ismét vegye figyelembe, hogy a jelszavak nem jelennek meg, de ezeket az “alternatív hitelesítő adatokat” bárki kihasználhatja, aki hozzáférhet ehhez a számítógéphez a felhasználó bejelentkezésével xpuser.
a funkció használatának mellőzésének okai
láttuk, hogy a vault hogyan tárolja a hitelesítő adatokat, és hogyan férhet hozzá a vaultcmd parancs ezekhez a hitelesítő adatokhoz és a rájuk vonatkozó információkhoz. Ez a funkció azonban biztonságos? Vegye figyelembe a következő forgatókönyvet.
az Xpuser hitelesítő adatokat tárolt A Windows 7 számítógépén, amikor hozzáférnie kell a Server1-hez, amely egy tartományvezérlő. A Credential Manager segítségével mentett hitelesítő adatok Derekre vonatkoznak, amely Derek domain rendszergazda. Ha az xpuser valaha is elhagyja a számítógépet, ebben az esetben xpclient néven, feloldva, bárki, aki felmegy az xpclienthez, hozzáférhet a Server1-hez tartományi rendszergazdaként is.
a forgatókönyvünkben, amelyet a fenti vaultcmd segítségével tártunk fel, egyértelműen láthatja, hogy ez probléma lehet. Ennek bizonyításához nézzük meg közelebbről a forgatókönyvünket. A felhasználó, xpuser, bejelentkezett, és elsétált a számítógép. Egy másik felhasználó, Betty, odasétál az xpclienthez, ahol az xpuser be van jelentkezve, és megpróbál kapcsolatot létesíteni a server1-gyel. A 6. ábrán látható, hogy ez a kapcsolat könnyen létrehozható.
6. ábra: Csatlakozás a server1-hez az xpuser bejelentkezésével, de a hitelesítő adatok a server1-be vannak mentve.
mint látható, csak a bejelentkezett felhasználó és a hitelesítő adatok mentésével a támadó összegyűjtheti az összes szükséges információt a vaultcmd segítségével, majd kihasználhatja a mentett hitelesítő adatokkal rendelkező számítógépet.
Összegzés
a Credential Manager és a hitelesítő adatok Windows 7 számítógépre történő mentésének képessége erőteljes, de valószínűleg hatalmas kihasználás. Gyakran azok a felhasználók, akik ezt a funkciót használják, nem tartoznak az informatikai csoportba, de minden bizonnyal jelentős biztonsági rést okozhatnak a szervezeten belül. Még akkor is, ha a felhasználó nem az informatikai csoportban van, de lehet, hogy pénzügyi, HR vagy ügyvezető, az a tény, hogy a hitelesítő adatokat a számítógépre menti, a cikkben leírtak szerint problémává válik. A felhasználók évek óta szeretnék, ha felhasználónevüket és jelszavukat a számítógépre mentenék, vagy valamilyen módon nem felelősek a hitelesítő adatok minden alkalommal történő beírásáért. Ennek a funkciónak azonban nyilvánvaló kockázatai vannak, amelyeket mérlegelni kell a megmentett környezetben. A vállalatok számára a hitelesítő adatok mentése nem jó ötlet az asztali számítógépek expozíciója miatt, és az a tény, hogy a felhasználókat nem lehet megbízni abban, hogy ne zárják le számítógépüket, amikor elmennek tőle.