Купить книгу на OZON.ru

Для входа в операционную систему необходимо указать определенные данные, на основе которых операционная система сможет определить профиль пользователя и имеет ли право данный пользователь войти в систему.

Пользователи и группы

Сведения о пользователях и группах, зарегистрированных в операционной системе, содержатся в базе данных безопасности SAM. Как мы знаем, данная база состоит из двух ветвей реестра: HKLM\SAM и HKLM\SECURITY. Доступ к данным ветвям реестра по умолчанию разрешен только операционной системе, поэтому чтобы администратор смог просмотреть содержимое этих ветвей, нужно соответствующим образом изменить права доступа к данным ветвям реестра. Большинство значений параметров этих ветвей реестра хранится в зашифрованном виде.

Группы

Названия всех стандартных групп операционной системы содержатся в виде подразделов ветви HKLM\SAM\SAM\Domains\Builtin\Aliases\Names.

Остальные же сведения о стандартных группах (например, описание) содержатся в параметрах REG_BINARY типа C, расположенных в ветви реестра HKLM\SAM\SAM\Domains\Builtin\Aliases\«номер группы». В частности, в параметре C содержится описание группы, а также список учетных записей пользователей, которые в эту группу входят.

Названия же дополнительных групп, которые были созданы вами, содержатся в виде подразделов ветви HKLM\SAM\SAM\Domains\Account\Aliases\Names. Остальные же сведения о дополнительных группах (те же, что и для стандартных групп) содержатся в параметрах REG_BINARY типа C, расположенных в ветви реестра HKLM\SAM\SAM\Domains\Account\Aliases\«номер группы».

Учетные записи

Названия всех зарегистрированных в операционной системе учетных записей пользователей хранятся в виде подразделов ветви реестра HKLM\SAM\SAM\Domains\Account\Users\Names. Дополнительная информация об этих учетных записях содержится в параметрах REG_BINARY типа ветви реестра HKLM\SAM\SAM\Domains\Account\Users\«номер пользователя». Например, в данной ветви реестра можно встретить следующие параметры.

V Содержит сведения о полном имени соответствующей учетной записи, а также ее описание.

UserPasswordHint Хранит в себе подсказку, которая была установлена пользователем при создании учетной записи. Данная подсказка отображается после того, как при входе в систему пароль к учетной записи был введен неверно.

UserTile Содержит путь к изображению, которое ассоциируется с данной учетной записью пользователя. Например, данное изображение отображается в новом меню ПУСК.

Изображение пользователя, используемое для всех учетных записей пользователей, может быть переопределено при помощи параметра REG_DWORD типа UseDefaultTile, расположенного в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer.

Если значение данного параметра равно 1, тогда для всех учетных записей пользователей будет использоваться одно изображение user.bmp, расположенное в каталоге %PROGRAMDATA%\Microsoft\User Account Pictures. А для учетной записи гостя будет использоваться изображение guest.bmp, расположенное в каталоге %PROGRAMDATA%\Microsoft\User Account Pictures.

F Данная битовая маска содержит в себе настройки входа под данной учетной записью, которые можно изменить при помощи оснастки ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ И ГРУППЫ (консоль lusrmgr.msc).

• При помощи флажка ТРЕБОВАТЬ СМЕНЫ ПАРОЛЯ ПРИ СЛЕДУЮЩЕМ ВХОДЕ В СИСТЕМУ обнуляется 8 байт параметра, начиная с 24.
• При помощи флажка СРОК ДЕЙСТВИЯ ПАРОЛЯ НЕ ОГРАНИЧЕН 58 байту параметра присваивается битовая маска02.
• При помощи флажка ОТКЛЮЧИТЬ УЧЕТНУЮ ЗАПИСЬ 57 байту параметра присваивается битовая маска01.

Пароли

Для нормальной работы пользователя, его учетная запись должна быть защищена паролем. Например, если это не так, пользователь не сможет удаленно подключиться к компьютеру, а также нельзя будет запускать программы от его имени (при помощи программы командной строки runas.exe).

Также пароль учетной записи является важнейшим фактором безопасности операционной системы. Поэтому для работы с ним операционная система поддерживает несколько настроек.

Все эти настройки можно изменить при помощи оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ (консоль gpedit.msc). При этом все они изменяют отдельные байты параметра REG_BINARY типа F, расположенного в ветви реестра HKLM\SAM\SAM\Domains\Account.

Политики паролей Операционная система Windows Vista поддерживает набор настроек, с помощью которых можно определить формат создаваемых паролей, а также параметры работы с ними. Все они изменяются в разделе оснастки КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ/ПОЛИТИКИ ПАРОЛЕЙ.

• ВЕСТИ ЖУРНАЛ ПАРОЛЕЙ X ДНЯ. Данная политика изменяет 83 байт параметра.
• МАКСИМАЛЬНЫЙ СРОК ДЕЙСТВИЯ ПАРОЛЕЙ. Данная политика изменяет набор байт параметра после 25 байта.
• МИНИМАЛЬНАЯ ДЛИНА ПАРОЛЯ. Данная политика изменяет 81 байт параметра.
• МИНИМАЛЬНЫЙ СРОК ДЕЙСТВИЯ ПАРОЛЯ. Данная политика изменяет набор байт параметра после 34 байта.
• ПАРОЛЬ ДОЛЖЕН ОТВЕЧАТЬ ТРЕБОВАНИЯМ СЛОЖНОСТИ. Данная политика изменяет 77 байт параметра. Она присваивает ему значение 01.
• ХРАНИТЬ ПАРОЛИ ИСПОЛЬЗУЯ ОБРАТИМОЕ ШИФРОВАНИЕ. Данная политика изменяет 77 байт параметра. Она присваивает ему значение 10.

Политика блокировки учетной записи Также операционная система Windows Vista поддерживает набор настроек, с помощью которых можно изменить параметры блокировки учетной записи при неправильном вводе пароля. Все они изменяются в разделе оснастки КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ПОЛИТИКИ УЧЕТНЫХ ЗАПИСЕЙ/ПОЛИТИКА БЛОКИРОВКИ УЧЕТНОЙ ЗАПИСИ.

• ПОРОГОВОЕ ЗНАЧЕНИЕ БЛОКИРОВКИ. Данная политика изменяет 85 байт параметра.
• ПРОДОЛЖИТЕЛЬНОСТЬ БЛОКИРОВКИ УЧЕТНОЙ ЗАПИСИ. Данная политика изменяет набор байт параметра, начиная с 50 байта.
• ВРЕМЯ ДО СБРОСА СЧЕТЧИКА БЛОКИРОВКИ. Данная политика изменяет набор байт параметра, начиная с 58 байта.

Служба Вторичный вход в систему

Тип запуска: автоматически.
Учетная запись: система.
Дополнительные привилегии: нет.
Файлы службы: seclogon.dll.
Исполняемый файл: svchost.exe -k netsvcs.
Подраздел реестра: seclogon.
Службы, необходимые для работы данной: нет.

Одной из стандартных возможностей операционных систем семейства Windows является возможность запуска программ от имени учетной записи другого пользователя. Как правило, для этого применяется программа runas.exe.

Работа данной программы основана на службе ВТОРИЧНЫЙ ВХОД В СИСТЕМУ — именно эта служба отвечает за запуск программ от имени другого пользователя и переход между запущенными в данный момент сеансами пользователей.

Профили пользователей

Каждый пользователь, который хоть раз входил под своей учетной записью в операционную систему, имеет свой собственный профиль. Профилем называется набор стандартных папок, в которых хранятся личные файлы учетной записи пользователя и программ, запускаемых им.

Расположение профилей

Все профили пользователей хранятся в каталоге %systemdrive%\users.

Также в данном каталоге хранится набор стандартных профилей, которые создаются при установке операционной системы. Как правило, эти профили невидимы, поэтому, чтобы они отобразились, нужно разрешить отображение скрытых файлов и папок.

К таким профилям в первую очередь относятся профили Default и Общие. Первый из этих профилей является основой при создании новых профилей. Второй же профиль содержит в себе каталоги, доступ к которым могут получить все пользователи операционной системы.

Кроме того, в данном каталоге можно встретить ссылки на стандартные профили предыдущих версий операционной системы All Users и Default User. Доступ к этим профилям получить нельзя и они созданы только для совместимости программного обеспечения, перенаправляя запросы программ на новые профили Default и Общие.

Профили двух служебных учетных записей (учетные записи локальной и сетевой службы) теперь содержатся в отдельном каталоге %systemroot%\ServiceProfiles.

А вот профиль учетной записи локальной системы содержится в каталоге %systemroot%\System32\config\systemprofile.

Работа с профилями

Основным способом работы с профилями пользователей является диалог ПРОФИЛИ ПОЛЬЗОВАТЕЛЕЙ. Данный диалог отображается после нажатия на кнопку ПАРАМЕТРЫ… поля ПРОФИЛИ ПОЛЬЗОВАТЕЛЕЙ, расположенного на вкладке ДОПОЛНИТЕЛЬНО диалога СВОЙСТВА СИСТЕМЫ. Также данный диалог можно отобразить после ввода команды rundll32.exe sysdm.cpl, EditUserProfiles.

С помощью диалога ПРОФИЛИ ПОЛЬЗОВАТЕЛЕЙ можно выполнить следующие действия над профилями пользователей.

• Кнопка Сменить тип. Позволяет сменить тип профиля пользователя с локального на перемещаемый.
• Кнопка Удалить. Удаляет выделенный профиль. После следующего входа от имени учетной записи, для которой был удален профиль, ее профиль будет создан заново.
• Кнопка Копировать…. Позволяет создать копию определенного профиля и назначить права пользователей на доступ к созданной копии профиля.

Настройка при помощи lusrmgr.msc

Изменить некоторые параметры использования профиля пользователя можно при помощи вкладки ПРОФИЛЬ диалога СВОЙСТВА соответствующей учетной запись. Данный диалог можно отобразить при помощи оснастки ЛОКАЛЬНЫЕ ПОЛЬЗОВАТЕЛИ И ГРУППЫ (консоль lusrmgr.msc).

Элементы данного диалога изменяют биты битовой маски V, расположенной в ветви реестра вида HKLM\SAM\SAM\Domains\Account\Users\«номер учетной записи пользователя».

Начиная с 409 байта данного параметра, хранится путь к домашней папке пользователя. Дальше, после 3 нулевых байт, идет название файла сценария, который будет использоваться при входе данного пользователя. А после названия сценария идет путь к профилю пользователя.

Настройки профилей пользователей в реестре

Описание созданных в операционной системе профилей (как профилей пользователей, так и служебных профилей), содержится в подразделах ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

Эти подразделы, названные в соответствии с SID учетной записи, которой принадлежит данный профиль, содержат в себе сведения о профиле. Например, в параметре строкового типа ProfileImagePath содержится путь к каталогу профиля.

Кроме подразделов в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList можно встретить следующие параметры строкового типа.

• Default. Содержит путь к стандартному профилю Default.
• ProfilesDirectory. Содержит путь к каталогу, который хранит в себе профили пользователей операционной системы (по умолчанию %systemdrive%\users).
• ProgramData. Содержит путь к каталогу, который используется программами для хранения личных данных.
• Public. Содержит путь к стандартному профилю Общие.

Служба профилей пользователей

Тип запуска: автоматически.
Учетная запись: система.
Дополнительные привилегии: SEBACKUPPRIVILEGE, SERESTOREPRIVILEGE,
 SETAKEOWNERSHIPPRIVILEGE, SEDEBUGPRIVILEGE.
Файлы службы: profsvc.dll.
Исполняемый файл: svchost.exe -k netsvcs.
Подраздел реестра: ProfSvc.
Службы, необходимые для работы данной: УДАЛЕННЫЙ ВЫЗОВ ПРОЦЕДУР (RPC) (RpcSs).

Процессом загрузки и выгрузки профилей пользователей, а также взаимодействием приложений с данными пользователей управляет служба СЛУЖБА ПРОФИЛЕЙ ПОЛЬЗОВАТЕЛЕЙ.

Смарт-карты

Операционная система поддерживает метод аутентификации пользователя не только на основе пароля, но и на основе сертификата, расположенного на смарт-карте.

Настройки работы аутентификации при помощи смарт-карты можно изменить при помощи групповых политик.

А вот работает механизм аутентификации при помощи смарт-карты на основе нескольких служб Windows.

Настройки работы со смарт-картами можно изменить при помощи параметров REG_DWORD типа ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider.

AllowCertificatesWithNoEKU. Если значение данного параметра равно 1, тогда для входа в операционную систему можно будет также использовать сертификаты без EKU (расширенное использование ключа).

AllowIntegratedUnblock. Если значение данного параметра равно 1, тогда при входе в операционную систему будет отображаться функция встроенной разблокировки (если смарт-карта поддерживает такую функцию).

AllowSignatureOnlyKeys. Если значение данного параметра равно 1, тогда при входе в операционную систему также будут перечислены все сертификаты, основанные на ключах подписей.

AllowTimeInvalidCertificates. Если значение данного параметра равно 1, тогда на экране входа в операционную систему будут отображаться сертификаты, срок действия которых истек или еще не начался. По умолчанию такие сертификаты не отображаются.

FilterDuplicateCerts. Если значение данного параметра равно 1, тогда при входе в операционную систему будет отображаться только один сертификат (если на смарт-карте присутствует несколько дубликатов сертификата) из существующих дубликатов — тот, который используется для входа в Windows Vista, или который имеет больший период действия. Дублирующими сертификатами считаются сертификаты, выданные для одного и того же пользователя на основе одного шаблона сертификата с одним и тем же старшим номером версии.

ForceReadingAllCertificates. Если значение данного параметра равно 1, тогда при входе в операционную систему со смарт-карты будут считываться все доступные сертификаты. По умолчанию операционная система считывает только один сертификат — сертификат по умолчанию (если смарт-карта поддерживает функцию считывания всех сертификатов за один вызов, тогда будут считываться все сертификаты).

IntegratedUnblockPromptString. Данный параметр имеет строковый тип. Он определяет строку, которая будет отображаться при блокировке смарт-карты. Этот параметр работает лишь в том случае, если значение параметра AllowIntegratedUnblock равно 1.

ReverseSubject. Если значение данного параметра равно 0, тогда имя субъекта при входе в систему будет отображаться так же, как и в сертификате.

X509HintsNeeded. Если значение данного параметра равно 1, тогда в окне входа в операционную систему будет отображаться дополнительное поле ввода имени пользователя. Данное поле применяется для сопоставления имени пользователя с сертификатом.

Служба Распространение сертификата

Тип запуска: вручную.
Учетная запись: система.
Дополнительные привилегии: нет.
Файлы службы: certprop.dll.
Исполняемый файл: svchost.exe -k netsvcs.
Подраздел реестра: CertPropSvc.
Службы, необходимые для работы данной: УДАЛЕННЫЙ ВЫЗОВ ПРОЦЕДУР (RPC) (RpcSs).

Данная служба предназначена для распространения сертификатов со смарт-карт между программами.

Настройки работы данной службы можно изменить при помощи параметров REG_DWORD типа ветви HKLM\SOFTWARE\Policies\Microsoft\Windows\CertProp.

CertPropEnabled. Если значение данного параметра равно 0, тогда при подключении смарт-карты распространение сертификатов, хранящихся на ней, производиться не будет (то есть, сертификаты не будут доступны программам, установленным на компьютере).

RootCertificateCleanupOption. Если значение данного параметра равно 0, тогда очистка корневого сертификата проводиться не будет. Если же значение данного параметра равно 1, тогда очистка будет производиться при извлечении смарт-карты. А если значение данного параметра равно 2, тогда очистка будет производиться при выходе из системы.

EnableRootCertificatePropagation. Если значение данного параметра равно 0, тогда при подключении смарт-карты распространение корневого сертификата, хранящегося на ней, производиться не будет (то есть, сертификат не будет доступен программам, установленным на компьютере).

Служба Смарт-карта

Тип запуска: вручную.
Учетная запись: локальная служба.
Дополнительные привилегии: нет.
Файлы службы: SCardSvr.dll.
Исполняемый файл: svchost.exe -k LocalService.
Подраздел реестра: SCardSvr.
Службы, необходимые для работы данной: PLUG AND PLAY (PlugPlay).

Данная служба управляет доступом к смарт-картам, подключенным к данному компьютеру.

После отключения этой службы доступ к смарт-картам будет невозможен.

Служба Политика удаления смарт-карт

Тип запуска: вручную.
Учетная запись: система.
Дополнительные привилегии: нет.
Файлы службы: certprop.dll.
Исполняемый файл: svchost.exe -k netsvcs.
Подраздел реестра: SCPolicySvc.
Службы, необходимые для работы данной: УДАЛЕННЫЙ ВЫЗОВ ПРОЦЕДУР (RPC) (RpcSs).

Данная служба управляет блокировкой рабочего стола пользователя после извлечения смарт-карты, которая содержит сертификат входа, используемый при входе пользователя в операционную систему.

Продолжение следует