wprowadzenie
od lat użytkownicy chcieli zaoszczędzić czas i wysiłek podczas uzyskiwania dostępu do serwerów w sieci, stron internetowych wymagających poświadczeń itp. Tak więc w systemie operacyjnym były opcje zapisywania nazw użytkowników i haseł w celu szybszego i łatwiejszego dostępu. Jestem pewien, że widziałeś to w monicie lub polu wyboru, prosząc o zapisanie hasła. W systemie Windows możesz przechowywać poświadczenia zasobów, do których często masz dostęp, lub po prostu nie chcesz pamiętać hasła. Chociaż jest to opcja oszczędzająca czas, możesz rozważyć ponowne użycie tej funkcji ze względu na problemy z bezpieczeństwem.
Gdzie Mogę Znaleźć Tę Funkcję?
ta funkcja rozpoczęła się wokół Windows XP i od tego czasu ewoluowała. Ewolucja polega na nazwie i funkcjach, które są przewidziane dla tej funkcji. W systemie Windows XP funkcję tę nazwano zapisanymi nazwami użytkowników i hasłami. Dostęp do tej funkcji można uzyskać na karcie Zaawansowane w oknie dialogowym konta użytkowników. Na karcie Zaawansowane kliknij przycisk Zarządzaj hasłami, aby uzyskać dostęp do przechowywanych nazw użytkowników i haseł interfejsu.
Windows 7 zmienia to nieco, ponieważ istnieje teraz inny interfejs, inna nazwa funkcji itp. Ponadto hasła są przechowywane w inny sposób w systemie Windows 7, który znajduje się w skarbcu. Aby uzyskać dostęp do tych przechowywanych poświadczeń lub samodzielnie przechowywać poświadczenia, możesz przejść do przystawki konta użytkowników w Panelu sterowania, a następnie wybrać opcję Zarządzaj poświadczeniami w lewym panelu, jak pokazano na rysunku 1.
Rysunek 1: Zarządzaj moimi poświadczeniami w ramach kont użytkowników przystawka
zasadniczo otwiera to Menedżer poświadczeń, który można również uruchomić z pola tekstowego rozpocznij wyszukiwanie po kliknięciu przycisku Start. Podczas przechowywania poświadczeń na komputerze z systemem Windows 7 są one przechowywane w C:\Users\UserName\AppData\Roaming\Microsoft\Credentials. Pliki, które przechowują poświadczenia są szyfrowane,więc jest to co najmniej korzyść!
zauważ, że wszystkie poświadczenia utworzone w Menedżerze poświadczeń tworzą plik w folderze poświadczeń pod profilem użytkownika wymienionym powyżej. Jednak, gdy poświadczenia są wprowadzane dla poświadczeń systemu Windows, są one również przechowywane w C:\Users\UserName\AppData\Local\Microsoft\Vault.
polecenie Windows Vault
aby uzyskać dostęp do skarbca haseł na komputerze z systemem Windows 7 (i Windows Server 2008 R2), możesz użyć vaultcmd.polecenie exe z wiersza polecenia. To narzędzie pozwala zarządzać poświadczeniami znajdującymi się w skarbcu, a nawet tworzyć nowe. Listę przełączników dostępnych dla vaultcmd można zobaczyć na rysunku 2.
Rysunek 2: Polecenie Vaultcmd i przełączniki.
jeśli użyjemy tych poleceń, zobaczysz, jak przechowywane są poświadczenia i do których można uzyskać dostęp. W naszym przykładzie będziemy przechowywać poświadczenia zalogowane jako użytkownik o nazwie xpuser. Xpuser jest użytkownikiem domeny w beyondtrust.domena demo. Ten użytkownik zapisał już poświadczenia kontrolera domeny o nazwie server1. Dane uwierzytelniające przechowywane przez tego użytkownika dotyczą użytkownika domeny (który jest administratorem domeny) o imieniu Derek.
aby zobaczyć poświadczenia aktualnie zalogowanego użytkownika, możesz uruchomić polecenie set z przełącznikiem nazwy użytkownika, co widać na rysunku 3.
Rysunek 3: aktualnie zalogowany użytkownik za pomocą polecenia set.
korzystając z polecenia vaultcmd, możemy zobaczyć poświadczenia, które ten użytkownik już zapisał. Osiąga się to za pomocą przełącznika listy, który można zobaczyć na rysunku 4.
Rysunek 4: polecenie Vaultcmd przy użyciu przełącznika listy.
zawartość każdego skarbca można następnie wyświetlić za pomocą przełącznika listproperties, a następnie przełącznika listcreds, aby zobaczyć poświadczenia w każdym skarbcu. Oba można zobaczyć na rysunku 5.
Rysunek 5: Komenda Vaultcmd używająca zarówno przełączników listproperties, jak i listcreds.
jak widać na wszystkich tych poleceniach używających vaultcmd, zawartość skarbców może być łatwo dostępna. Ponownie zauważ, że hasła nie są wyświetlane, ale te „alternatywne poświadczenia” mogą być wykorzystane przez każdego, kto może uzyskać dostęp do tego komputera z zalogowanym użytkownikiem xpuser.
powody, dla których nie należy używać tej funkcji
widzieliśmy, jak skarbiec przechowuje poświadczenia i jak polecenie vaultcmd może uzyskać dostęp do tych poświadczeń i informacji o nich. Czy jednak ta funkcja jest Bezpieczna w użyciu? Rozważ następujący scenariusz.
Xpuser przechowuje poświadczenia na swoim komputerze z systemem Windows 7, gdy musi uzyskać dostęp do Server1, który jest kontrolerem domeny. Poświadczenia zapisane za pomocą Menedżera poświadczeń są dla Dereka, którego Derek jest administratorem domeny. Jeśli xpuser kiedykolwiek opuści komputer, w tym przypadku o nazwie xpclient, odblokowany, każdy, kto wejdzie do xpclient, może również uzyskać dostęp do Server1 jako administrator domeny.
w naszym scenariuszu, który ujawniliśmy za pomocą vaultcmd powyżej, wyraźnie widać, że może to być problem. Aby to udowodnić, przyjrzyjmy się bliżej naszemu scenariuszowi. Nasz użytkownik, xpuser, zalogował się i odszedł od komputera. Inny użytkownik, Betty, podchodzi do xpclient, z zalogowanym xpuser i próbuje nawiązać połączenie z server1. Na rysunku 6 widać, że to połączenie jest łatwe do wykonania.
Rysunek 6: połączenie z server1 z zalogowanym użytkownikiem xpuser, ale poświadczenia zapisane na server1.
jak widać, po zalogowaniu się użytkownika i zapisaniu poświadczeń, atakujący może zebrać wszystkie potrzebne informacje za pomocą vaultcmd, a następnie wykorzystać komputer z zapisanymi poświadczeniami.
podsumowanie
Menedżer poświadczeń i możliwość zapisywania poświadczeń na komputerze z systemem Windows 7 jest potężny, ale prawdopodobnie ogromny exploit. Często użytkownicy, którzy będą korzystać z tej funkcji, nie należą do grupy IT, ale z pewnością mogą powodować znaczącą lukę w bezpieczeństwie w Twojej organizacji. Nawet jeśli użytkownik nie należy do grupy IT, ale może być w dziale finansowym, HR lub wykonawczym, fakt, że dane uwierzytelniające są zapisywane na komputerze, staje się problemem opisanym w tym artykule. Przez lata użytkownicy chcieli sposobów, aby ich nazwa użytkownika i hasło zostały zapisane na komputerze lub w jakiś sposób, że nie są odpowiedzialni za wpisanie swoich danych uwierzytelniających za każdym razem. Istnieje jednak oczywiste ryzyko dla tej funkcji, które należy rozważyć w środowisku, które są zapisywane. W przypadku korporacji zapisywanie poświadczeń nie jest dobrym pomysłem ze względu na ekspozycję komputerów stacjonarnych i fakt, że użytkownikom nie można ufać, że nie zablokują komputera, gdy odejdą od niego.