Сохранение учетных данных на компьютерах с Windows

Опубликовано: 8 Апреля, 2023
Сохранение учетных данных на компьютерах с Windows

Введение

В течение многих лет пользователи хотели сэкономить время и усилия при доступе к серверам в сети, веб-сайтам, требующим учетных данных, и т. д. Поэтому в операционной системе были опции для сохранения имен пользователей и паролей для более быстрого и легкого доступа. Я уверен, что вы видели это либо в подсказке, либо в флажке с просьбой сохранить пароль. В Windows у вас есть возможность хранить учетные данные для ресурсов, к которым вы часто обращаетесь, или просто не хотите запоминать пароль. Хотя это позволяет сэкономить время, возможно, вы захотите пересмотреть использование этой функции из-за проблем с безопасностью.

Где я могу найти эту функцию?

Эта функция появилась в Windows XP и с тех пор развивалась. Эволюция заключается в названии и функциях, которые предусмотрены для этой функции. В Windows XP эта функция называлась «Сохраненные имена пользователей и пароли». Вы можете получить доступ к этой функции на вкладке «Дополнительно» в диалоговом окне «Учетные записи пользователей». На вкладке «Дополнительно» нажмите кнопку «Управление паролями», чтобы получить доступ к интерфейсу «Сохраненные имена пользователей и пароли».

В Windows 7 это немного изменено, так как теперь есть другой интерфейс, другое имя для функции и т. д. Кроме того, пароли хранятся по-другому в Windows 7, которая находится в хранилище. Чтобы получить доступ к этим сохраненным учетным данным или сохранить учетные данные самостоятельно, вы можете перейти к оснастке «Учетные записи пользователей» на панели управления, а затем выбрать параметр «Управление учетными данными» на левой панели, как показано на рисунке 1.

Изображение 23196
Рисунок 1. Управление моими учетными данными в оснастке «Учетные записи пользователей»

По сути, это открывает диспетчер учетных данных, который также можно запустить из текстового поля «Начать поиск» при нажатии кнопки «Пуск». Когда вы сохраняете учетные данные на компьютере с Windows 7, они хранятся в C:UsersUserNameAppDataRoamingMicrosoftCredentials. Файлы, в которых хранятся учетные данные, зашифрованы, так что это как минимум преимущество!

Обратите внимание, что ВСЕ учетные данные, созданные в диспетчере учетных данных, создают файл в папке «Учетные данные» в профиле пользователя, указанном выше. Однако когда учетные данные вводятся для учетных данных Windows, они также сохраняются в C:UsersUserNameAppDataLocalMicrosoftVault.

Команда хранилища Windows

Чтобы получить доступ к Хранилищу паролей на компьютере с Windows 7 (и Windows Server 2008 R2), вы можете использовать команду vaultcmd.exe из командной строки. Этот инструмент позволяет вам управлять учетными данными, которые находятся в хранилище, и даже создавать новые. Вы можете увидеть список переключателей, доступных для vaultcmd, на рисунке 2.

Изображение 23197
Рисунок 2: Команда и переключатели Vaultcmd.

Если мы воспользуемся этими командами, вы увидите, как учетные данные хранятся и как к ним обращаются. В нашем примере мы собираемся хранить учетные данные, зарегистрированные как пользователь с именем xpuser. Xpuser — пользователь домена в домене Beyondtrust.demo. Этот пользователь уже сохранил учетные данные для контроллера домена с именем server1. Учетные данные, сохраненные этим пользователем, относятся к пользователю домена (который является администратором домена) по имени Дерек.

Чтобы увидеть учетные данные текущего пользователя, вы можете запустить команду set с переключателем имени пользователя, как показано на рисунке 3.

Изображение 23198
Рис. 3. Пользователь, выполнивший вход в систему с помощью команды set.

С помощью команды vaultcmd мы можем увидеть учетные данные, которые этот пользователь уже сохранил. Это достигается с помощью переключателя списка, который можно увидеть на рисунке 4.

Изображение 23199
Рис. 4. Команда Vaultcmd с использованием переключателя списка.

Затем вы можете просмотреть содержимое каждого хранилища, используя переключатель listproperties, а затем переключатель listcreds, чтобы увидеть учетные данные в каждом хранилище. Оба можно увидеть на рисунке 5.

Изображение 23200
Рис. 5. Команда Vaultcmd с использованием переключателей listproperties и listcreds.

Как видно из всех этих команд, использующих vaultcmd, содержимое хранилищ может быть легко доступно. Опять же, обратите внимание, что пароли не отображаются, но эти «альтернативные учетные данные» может использовать любой, кто может получить доступ к этому компьютеру с пользователем xpuser, вошедшим в систему.

Причины не использовать эту функцию

Мы видели, как хранилище хранит учетные данные и как команда vaultcmd может получить доступ к этим учетным данным и информации о них. Однако безопасно ли использовать эту функцию? Рассмотрим следующий сценарий.

Xpuser сохранил учетные данные на своем компьютере с Windows 7, чтобы получить доступ к Server1, который является контроллером домена. Учетные данные, сохраненные с помощью диспетчера учетных данных, предназначены для Дерека, который является администратором домена. Если xpuser когда-либо покинет компьютер, в данном случае названный xpclient, разблокированным, любой, кто подойдет к xpclient, сможет также получить доступ к Server1 в качестве администратора домена.

В нашем сценарии, который мы показали с помощью vaultcmd выше, вы можете ясно видеть, что это может быть проблемой. Чтобы доказать это, давайте подробнее рассмотрим наш сценарий. Наш пользователь, xpuser, вошел в систему и отошел от компьютера. Другой пользователь, Бетти, подходит к xpclient, войдя в систему xpuser, и пытается установить соединение с server1. На рисунке 6 вы можете видеть, что это соединение легко устанавливается.

Изображение 23201
Рисунок 6: Подключение к серверу 1 с авторизованным xpuser, но учетные данные сохранены на сервере 1.

Как видите, если только пользователь вошел в систему и сохранены учетные данные, потенциальный злоумышленник может собрать всю необходимую информацию с помощью vaultcmd, а затем использовать компьютер с сохраненными учетными данными.

Резюме

Диспетчер учетных данных и возможность сохранять учетные данные на компьютере под управлением Windows 7 — это мощный, но, возможно, огромный эксплойт. Часто пользователи, которые будут использовать эту функцию, не входят в ИТ-группу, но они, безусловно, могут создать серьезную брешь в безопасности вашей организации. Даже если пользователь не входит в ИТ-группу, но может быть в финансовом отделе, отделе кадров или руководителем, тот факт, что учетные данные сохраняются на компьютере, становится проблемой, как описано в этой статье. В течение многих лет пользователи хотели, чтобы их имя пользователя и пароль были сохранены на компьютере или каким-то образом, чтобы они не несли ответственность за ввод своих учетных данных каждый раз. Однако для этой функции существуют очевидные риски, которые необходимо взвесить в среде, в которой они сохраняются. Для корпораций сохранение учетных данных не является хорошей идеей из-за уязвимости рабочих столов и того факта, что пользователи не могут быть уверены, что они не заблокируют свой компьютер, когда они отходят от него.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023