Inleiding
al jaren willen gebruikers tijd en moeite besparen bij het benaderen van servers op het netwerk, websites die referenties vereisen, enz. Zo, er zijn opties in het besturingssysteem om gebruikersnamen en wachtwoorden op te slaan voor snellere en gemakkelijkere toegang. Ik weet zeker dat je dit hebt gezien, hetzij in een prompt of een selectievakje, waarin je wordt gevraagd om het wachtwoord op te slaan. In Windows heb je de mogelijkheid om de referenties op te slaan voor bronnen die u vaak toegang, of gewoon niet wilt hebben om het wachtwoord te onthouden. Hoewel dit een tijdbesparende optie is, Wilt u misschien overwegen om deze functie te gebruiken vanwege beveiligingsproblemen.
Waar Kan Ik Deze Functie Vinden?
deze functie begon rond Windows XP en is sindsdien geëvolueerd. De evolution zit in de naam en de functies die worden verstrekt voor de functie. In Windows XP werd de functie Opgeslagen gebruikersnamen en wachtwoorden genoemd. U kunt deze functie openen via het tabblad Geavanceerd in het dialoogvenster Gebruikersaccounts. Op het tabblad Geavanceerd klikt u op de knop Wachtwoorden beheren om toegang te krijgen tot de Opgeslagen gebruikersnamen en wachtwoorden interface.
Windows 7 verandert dit enigszins omdat er nu een andere interface is, een andere naam voor de functie, enz. Ook, wachtwoorden worden opgeslagen op een andere manier in Windows 7, die in een kluis. Om toegang te krijgen tot deze opgeslagen referenties of om zelf een referentie op te slaan, kunt u naar de module Gebruikersaccounts in het Configuratiescherm gaan en vervolgens de optie uw referenties beheren in het linkerpaneel selecteren, zoals weergegeven in Figuur 1.
figuur 1: Beheer mijn referenties in de module gebruikersaccounts
in essentie opent dit de Credential Manager, die ook kan worden uitgevoerd vanuit het tekstvak Zoeken starten wanneer u op de knop Start klikt. Wanneer u referenties op te slaan op een Windows 7-computer, worden ze opgeslagen in C:\Users\UserName\AppData\Roaming\Microsoft\Credentials. De bestanden die de referenties op te slaan worden versleuteld, dus dat is op zijn minst een voordeel!
merk hier op dat alle referenties die worden gemaakt in de Credential Manager een bestand maken in de map referenties onder het hierboven vermelde gebruikersprofiel. Echter, wanneer referenties worden ingevoerd voor Windows-referenties, worden ze ook opgeslagen in C:\Users\UserName\AppData\Local\Microsoft\Vault.
Windows Vault Commando
om toegang te krijgen tot de Vault van wachtwoorden op een Windows 7-computer (en Windows Server 2008 R2), kunt u de vaultcmd gebruiken.exe-opdracht vanaf een opdrachtprompt. Deze tool kunt u de referenties die in de kluis te beheren en zelfs nieuwe maken. U kunt de lijst met schakelaars die beschikbaar zijn voor vaultcmd in Figuur 2.
Figuur 2: Vaultcmd commando en schakelaars.
als we deze commando ‘ s gebruiken, kunt u zien hoe de referenties worden opgeslagen en benaderd. In ons voorbeeld gaan we referenties opslaan die zijn aangemeld als een gebruiker met de naam xpuser. Xpuser is een domein gebruiker in de beyondtrust.demo domein. Deze gebruiker heeft al referenties opgeslagen voor een domeincontroller met de naam server1. De referenties die deze gebruiker heeft opgeslagen zijn voor een domeingebruiker (die toevallig een domeinbeheerder is) met de naam Derek.
om de referenties van de momenteel ingelogde gebruiker te zien kunt u het set commando uitvoeren met de gebruikersnaam switch, die te zien is in Figuur 3.
Figuur 3: momenteel ingelogde gebruiker met behulp van set commando.
met het vaultcmd Commando kunnen we de referenties zien die deze gebruiker al heeft opgeslagen. Dit wordt bereikt met behulp van de lijst schakelaar, die kan worden gezien in Figuur 4.
Figuur 4: Vaultcmd commando met behulp van de lijst schakelaar.
u kunt vervolgens de inhoud van elke kluis bekijken met behulp van de schakelaar listproperties, gevolgd door de schakelaar listcreds om de referenties binnen elke kluis te zien. Beide zijn te zien in Figuur 5.
Figuur 5: Vaultcmd commando met behulp van zowel de listproperties en listcreds switches.
zoals u kunt zien aan al deze commando ‘ s die vaultcmd gebruiken, kan de inhoud van de kluizen gemakkelijk toegankelijk zijn. Nogmaals, merk op dat de wachtwoorden niet worden weergegeven, maar deze “alternatieve referenties” kan worden gebruikt door iedereen die toegang kan krijgen tot deze computer met de gebruiker xpuser ingelogd.
redenen om deze functie niet te gebruiken
we hebben gezien hoe de kluis de referenties opslaat en hoe het vaultcmd Commando toegang kan krijgen tot deze referenties en informatie over hen. Is deze functie echter veilig te gebruiken? Overweeg het volgende scenario.
Xpuser heeft referenties opgeslagen op zijn Windows 7-computer voor wanneer hij toegang moet krijgen tot Server1, een domeincontroller. De referenties die zijn opgeslagen met behulp van Credential Manager zijn voor Derek, die Derek is een domeinbeheerder. Als xpuser ooit de computer verlaat, in dit geval genaamd xpclient, ontgrendeld, kan iedereen die naar Xpclient loopt ook toegang krijgen tot Server1 als domeinbeheerder.
in ons scenario, dat we hierboven met vaultcmd hebben blootgelegd, kunt u duidelijk zien dat dit een probleem kan zijn. Om dit te bewijzen, laten we beter kijken naar ons scenario. Onze gebruiker, xpuser, heeft ingelogd en liep weg van de computer. Een andere gebruiker, Betty, loopt naar xpclient, met xpuser ingelogd, en probeert een verbinding te maken met server1. Je kunt in Figuur 6 zien dat deze verbinding gemakkelijk gemaakt wordt.
Figuur 6: verbinding met server1 met xpuser ingelogd, maar referenties opgeslagen op server1.
zoals u kunt zien, met alleen de gebruiker ingelogd en de referenties opgeslagen, De zou zijn aanvaller kan alle informatie die ze nodig hebben met vaultcmd verzamelen en vervolgens de computer die de opgeslagen referenties heeft exploiteren.
samenvatting
Credential Manager en de mogelijkheid om referenties op te slaan op een Windows 7 computer is krachtig, maar mogelijk een enorme exploit. Vaak zijn de gebruikers die deze functie zullen gebruiken niet binnen de IT-groep, maar ze kunnen zeker een aanzienlijk beveiligingslek binnen uw organisatie veroorzaken. Zelfs als de gebruiker zich niet in de IT-groep bevindt, maar mogelijk in finance, HR of een executive, wordt het feit dat referenties op de computer worden opgeslagen een probleem zoals beschreven in dit artikel. Al jaren gebruikers willen manieren om hun gebruikersnaam en wachtwoord opgeslagen op de computer of op een of andere manier dat ze niet verantwoordelijk zijn voor het typen in hun referenties elke keer. Er zijn echter duidelijke risico ‘ s aan deze functie, die moeten worden afgewogen in het milieu ze worden gered. Voor bedrijven is het opslaan van referenties geen goed idee vanwege de blootstelling van de desktops en het feit dat gebruikers niet kunnen worden vertrouwd om hun computer niet te vergrendelen wanneer ze ervan weglopen.