Introducere
de ani de zile utilizatorii au dorit să economisească timp și efort atunci când accesează servere din rețea, site-uri web care necesită acreditări etc. Deci, au existat opțiuni în sistemul de operare pentru a salva numele de utilizator și parolele pentru un acces mai rapid și mai ușor. Sunt sigur că ați văzut acest lucru, fie într-un prompt, fie într-o casetă de selectare, solicitându-vă să salvați parola. În Windows aveți posibilitatea de a stoca acreditările pentru resursele pe care le accesați des sau pur și simplu nu doriți să vă amintiți parola. Deși aceasta este o opțiune de economisire a timpului, vă recomandăm să reconsiderați utilizarea acestei funcții din cauza problemelor de securitate.
Unde Pot Găsi Această Caracteristică?
această caracteristică a început în jurul Windows XP și a evoluat de atunci. Evoluția este în numele și caracteristicile care sunt furnizate pentru caracteristica. În Windows XP, caracteristica a fost numită nume de utilizator și parole stocate. Puteți accesa această caracteristică din fila Complex din caseta de dialog Conturi utilizator. În fila Avansat, veți face clic pe butonul gestionare parole pentru a accesa interfața nume de utilizator și parole stocate.
Windows 7 modifică ușor acest lucru, deoarece acum există o interfață diferită, un nume diferit pentru caracteristică etc. De asemenea, parolele sunt stocate într-un mod diferit în Windows 7, care se află într-un seif. Pentru a accesa aceste acreditări stocate sau pentru a stoca personal o acreditare, puteți accesa snap-in-ul Conturi utilizator din panoul de Control, apoi selectați opțiunea Gestionare acreditări din panoul din stânga, așa cum se arată în Figura 1.
Figura 1: Gestionați acreditările mele în conturile de utilizator snap-in
în esență, aceasta deschide Managerul de acreditări, care poate fi rulat și din caseta de text Start Search când faceți clic pe butonul Start. Când stocați acreditările pe un computer Windows 7, Acestea sunt stocate în C:\Users\UserName\AppData\Roaming\Microsoft\Credentials. Fișierele care stochează acreditările sunt criptate, astfel încât este cel puțin un beneficiu!
rețineți aici că toate acreditările care sunt create în Managerul de acreditări creează un fișier în folderul acreditări sub profilul de utilizator listat mai sus. Cu toate acestea, atunci când acreditările sunt introduse pentru acreditările Windows, acestea sunt, de asemenea, stocate în C:\Users\UserName\AppData\Local\Microsoft\Vault.
comanda Windows Vault
pentru a accesa seiful parolelor pe un computer Windows 7 (și Windows Server 2008 R2), puteți utiliza vaultcmd.comanda exe dintr-un prompt de comandă. Acest instrument vă permite să gestionați acreditările care se află în seif și chiar să creați altele noi. Puteți vedea lista de switch-uri care sunt disponibile pentru vaultcmd în Figura 2.
Figura 2: comanda Vaultcmd și switch-uri.
dacă folosim aceste comenzi, puteți vedea cum sunt stocate și accesate acreditările. În exemplul nostru, vom stoca acreditările conectate ca utilizator numit xpuser. Xpuser este un utilizator de domeniu în beyondtrust.domeniu demo. Acest utilizator a stocat deja acreditări pentru un controler de domeniu numit server1. Acreditările pe care acest utilizator le-a stocat sunt pentru un utilizator de domeniu (care se întâmplă să fie un administrator de domeniu) numit Derek.
pentru a vedea acreditările utilizatorului conectat în prezent, puteți rula comanda set cu comutatorul nume utilizator, care poate fi văzut în Figura 3.
Figura 3: conectat în prezent utilizator folosind comanda set.
folosind comanda vaultcmd, putem vedea acreditările pe care acest utilizator le-a salvat deja. Acest lucru se realizează prin utilizarea comutatorului de listă, care poate fi văzut în Figura 4.
Figura 4: comanda Vaultcmd folosind comutatorul listă.
puteți vizualiza apoi conținutul fiecărui seif utilizând comutatorul listproperties, urmat de comutatorul listcreds pentru a vedea acreditările din fiecare seif. Ambele pot fi văzute în Figura 5.
Figura 5: Comanda Vaultcmd folosind atât comutatoarele listproperties, cât și listcreds.
după cum puteți vedea din toate aceste comenzi folosind vaultcmd, conținutul seifurilor poate fi ușor de accesat. Din nou, observați că parolele nu sunt afișate, dar aceste „acreditări alternative” pot fi utilizate de oricine poate avea acces la acest computer cu utilizatorul xpuser conectat.
motive pentru a nu utiliza această caracteristică
am văzut cum seiful stochează acreditările și cum comanda vaultcmd poate accesa aceste acreditări și informații despre ele. Cu toate acestea, această caracteristică este sigură de utilizat? Luați în considerare următorul scenariu.
Xpuser a stocat acreditări pe computerul său Windows 7 pentru momentul în care trebuie să acceseze Server1, care este un controler de domeniu. Acreditările salvate folosind Credential Manager sunt pentru Derek, care Derek este un administrator de domeniu. Dacă xpuser părăsește vreodată computerul, în acest caz numit xpclient, deblocat, oricine merge până la xpclient poate accesa Server1 ca administrator de domeniu, de asemenea.
în scenariul nostru, care este ceea ce am expus folosind vaultcmd de mai sus, puteți vedea în mod clar că acest lucru poate fi o problemă. Pentru a dovedi acest lucru, să ne uităm mai atent la scenariul nostru. Utilizatorul nostru, xpuser, s-a conectat și s-a îndepărtat de computer. Un alt utilizator, Betty, merge până la xpclient, cu xpuser conectat, și încearcă să facă o conexiune la server1. Puteți vedea în Figura 6 că această conexiune se face cu ușurință.
Figura 6: conectarea la server1 cu xpuser conectat, dar acreditările salvate pe server1.
după cum puteți vedea, cu doar utilizatorul conectat și acreditările salvate, ar fi atacator poate aduna toate informatiile de care au nevoie cu vaultcmd și apoi exploata computerul care are acreditările salvate.
rezumat
Credential Manager și capacitatea de a salva acreditările la un computer Windows 7 este puternic, dar, eventual, un exploit imens. Adesea, utilizatorii care vor folosi această caracteristică nu se află în grupul IT, dar cu siguranță ar putea provoca o gaură semnificativă de securitate în cadrul organizației dvs. Chiar dacă utilizatorul nu este în grupul IT, dar ar putea fi în finanțe, HR sau un executiv, faptul că acreditările sunt salvate pe computer devine o problemă așa cum este descris în acest articol. De ani de zile, utilizatorii au dorit modalități de a-și salva numele de utilizator și parola pe computer sau într-un fel în care nu sunt responsabili pentru tastarea acreditărilor lor de fiecare dată. Cu toate acestea, există riscuri evidente pentru această caracteristică, care trebuie cântărite în mediul în care sunt salvate. Pentru corporații, salvarea acreditărilor nu este o idee bună datorită expunerii desktopurilor și faptului că utilizatorii nu pot avea încredere să nu-și blocheze computerul atunci când se îndepărtează de acesta.