Користувачам буває важко запам'ятовувати численні імена і паролі для доступу до різних ресурсів. Існує чимало програм незалежних виробників для управління обліковими даними, але в Windows Vista, Windows XP, Windows Server 2008 і Windows Server 2003 передбачена вбудована функція для автоматичного управління іменами користувачів і паролями для доступу до ресурсів, що вимагає облікових даних, відмінних від звичайних даних реєстрації в Windows. Цей компонент називається Stored User Names and Passwords.
За допомогою Stored User Names and Passwords можна зберігати облікові дані для локальної мережі та ресурсів Internet. Типи облікових даних, що створюються, керовані і приємним з використанням компонента:
- імена користувачів і паролі;
- сертифікати X.509 (наприклад, для смарт-карт);
- паспорта (наприклад, паспорта .NET).
Користувачам Windows XP Home Edition необхідно пам'ятати, що в цій версії XP зберігаються тільки паспортні облікові дані і імена користувачів і паролі RAS / VPN.
Розглянемо переваги компонента Stored User Names and Passwords, принцип його дії і можливості ручного управління обліковими даними.
переваги
При реєстрації в системі локально або при реєстрації в домені користувачі повинні надати ім'я та пароль. Після реєстрації ці облікові дані стають контекстом безпеки за замовчуванням для доступу до інших ресурсів в локальній мережі, віддаленої мережі і / або Internet. Але іноді облікових даних може не вистачити для доступу до всіх необхідних користувачеві ресурсів. Наприклад, додаткові облікові дані можуть знадобитися для Web-вузлів з перевіркою достовірності або доменів, з якими немає довірчих відносин. Якщо таких ресурсів багато, користувачам потрібно вводити цілий ряд різних облікових даних.
Різноманітні облікові дані можуть знадобитися і адміністраторам: наприклад, реєстрація в мережі зі звичайними обліковими даними Windows і використання адміністративних прав для виконання певних завдань на віддалених серверах.
Необхідність пам'ятати численні комбінації імен користувачів і паролів призводить до неправильного використання паролів, в тому числі слабким паролів, однаковим паролів для всіх ресурсів і записи паролів де б то не було. Таких помилок можна уникнути завдяки компоненту Stored User Names and Passwords, який дозволяє безпечно зберігати багато облікові дані і управляти ними. Користувачам надається єдина процедура реєстрації, так як вони реєструються тільки на своїх комп'ютерах і в своїх доменах. Оскільки користувачам не доводиться запам'ятовувати паролі, вони, швидше за все, виберуть складні паролі, що істотно підвищить загальну безпеку.
Облікові дані зберігаються в захищеній частині профілю користувача, де вони недоступні для інших користувачів. Якщо користувач має єдиним профілем в масштабах всієї компанії (переміщуваний профіль), збережені імена користувачів і паролі запам'ятовуються завжди при його реєстрації в мережі. Це додатково розширює функціональність компонента при збереженні прийнятного рівня безпеки.
Принцип дії
При спробі звернутися до Web-вузла або мережного ресурсу, недоступному зі звичайними обліковими даними, користувач отримує запит про ім'я та пароль. Якщо прапорець Remember my password встановлений, введена інформація запам'ятовується в профілі користувача. Наступного разу, коли користувач підключається до цього ресурсу, перевірка справжності виконується автоматично на основі збережених облікових даних.
Кожен раз, коли користувач встановлює прапорець Remember my password, облікові дані зберігаються в найбільш загальній формі. Наприклад, якщо прапорець Remember my password встановлений при доступі до певного сервера в домені company.com, облікові дані зберігаються під * .company.com. Якщо користувач знову встановлює прапорець Remember my password при зверненні до іншого сервера в тому ж домені, раніше збережені дані не перезаписувати, а нові облікові дані зберігаються з більш конкретною інформацією, наприклад server1.company.com. В силу такого підходу не можна зберегти більше одного імені користувача та пароля для конкретної процедури реєстрації, і це дещо обмежує можливості компонента Stored User Names and Passwords.
Якщо наявні кілька наборів облікових даних, Windows упорядковує їх від конкретних до більш загальним. Якщо користувач намагається звернутися до ресурсу, недоступному з його поточними обліковими даними, пакет перевірки автентичності шукає в репозиторії Stored User Names and Passwords найбільш точний набір облікових даних, відповідний для ресурсу. Якщо він виявлений, пакет перевірки автентичності використовує його, не запрошуючи додаткових даних. Якщо немає, користувач отримує запрошення ввести ім'я та пароль.
Облікові дані
На додаток до автоматичного створення та зберігання облікових даних при установці прапорця Remember my password, можна вручну створити облікові дані для конкретного ресурсу. Облікові дані, підготовлені вручну, обробляються операційною системою так само, як створені автоматично.
Vista, XP, Server 2008 і Windows 2003 надають простий і інтуїтивно зрозумілий інтерфейс для створення облікових даних вручну. Можна переглядати, змінювати і видаляти існуючі облікові дані. Крім того, в Vista і Server 2008 передбачена корисна можливість архівації та відновлення наборів облікових даних. На екрані 1 показаний інтерфейс Vista - діалогове вікно Stored User Names and Passwords. Нижче описано, як використовувати діалогове вікно Stored User Names and Passwords в XP і Vista. Процеси тут ті ж, що і в відповідних серверних операційних системах.
Доступ до діалогового вікна Stored User Names and Passwords. В XP доступ до діалогового вікна Stored User Names and Passwords злегка розрізняється залежно від того, знаходиться комп'ютер в робочій групі або в домені. Якщо комп'ютер в робочій групі, потрібно відкрити утиліту User Accounts панелі управління, вибрати поточного зареєстрованого користувача, а потім клацнути Manage my network passwords в області Related tasks. Існує можливість управляти обліковими даними поточного зареєстрованого користувача. Якщо комп'ютер в домен, відкрийте утиліту User Accounts панелі управління, клацніть вкладку Advanced, а потім кнопку Manage Passwords.
У Windows Vista доступ до діалогового вікна виконується однаково, незалежно від місцезнаходження комп'ютера в робочій групі або домені. Відкрийте утиліту User Accounts панелі управління, клацніть заголовок User Accounts, а потім Manage my network passwords в області Tasks.
У Vista і XP до утиліти User Accounts можна звернутися безпосередньо, відкривши вікно Run і запустивши команду
Control Userpasswords2
У вікні, вкажіть вкладку Advanced, а потім натисніть кнопку Manage Passwords. Якщо потрібно отримати доступ до облікового запису поточного зареєстрованого користувача, виконайте команду
rundll32.exe keymgr.dll,
KRShowKeyMgr
В результаті безпосередньо відкривається діалогове вікно Stored User Names and Passwords. У ньому можна додавати, змінювати, видаляти, архівувати і відновлювати набори облікових даних.
Додавання набору облікових даних. Щоб вручну додати набір облікових даних для ресурсу, слід натиснути кнопку Add для виклику діалогового вікна Stored User Names and Passwords, показаного на екрані 2.
В поле Log on to введіть ім'я ресурсу. Можна використовувати різні формати, в тому числі імена вузлів (наприклад, server1), повні доменні імена (наприклад, server1.domainX.com) і навіть групові символи (наприклад, * .domainX.com). Але пам'ятайте, що, якщо для одного ресурсу може застосовуватися кілька наборів облікових даних, компонент Stored User Names and Passwords завжди використовує найбільш специфічне ім'я ресурсу.
В поле User name слід ввести ім'я користувача в одному з наступних форматів:
- ДоменІмя користувача (наприклад, DomainXUser1);
- КомпьютерІмя користувача (наприклад, Computer1User1);
- Ім'я пользователяКомпьютер (наприклад, User1Computer1);
- WorkgroupUsername (наприклад, SalesUser2);
- Ім'я пользователяРабочая група (наприклад, User2Sales);
- Основне ім'я користувача (UPN, наприклад, [email protected]).
В поле Password введіть пароль. Нарешті, вкажіть, чи можуть бути застосовані облікові дані для перевірки автентичності при реєстрації в Windows, на Web-сайті або в програмі.
Зміна набору облікових даних. Щоб змінити існуючий набір облікових даних, виберіть ресурс зі списку в діалоговому вікні Stored User Names and Passwords, а потім виберіть команду Edit (в Vista) або Properties (в XP). Змінювати можна тільки ім'я користувача та пароль.
Видалення набору облікових даних. Для видалення існуючого набору облікових даних виберіть ресурс зі списку в діалоговому вікні Stored User Names and Passwords і клацніть Remove.
Копіювання та відновлення наборів облікових даних (тільки в Vista і Server 2008). Автоматичне збереження облікових даних корисно, але їх втрата може призвести до неприємних наслідків. У Vista і Server 2008 можна архівувати і відновлювати набори облікових даних за допомогою майстра архівації та відновлення. З метою безпеки процеси архівації та відновлення автоматизувати не можна. Єдиний спосіб архівувати і відновити набори облікових даних - зробити це вручну.
Для архівації в Vista натисніть кнопку Back up в діалоговому вікні Stored User Names and Passwords. У діалоговому вікні, показаному на екрані 3 , Перейдіть в місце, де потрібно зберегти архівний файл, і введіть ім'я, яке буде йому присвоєно.
Всі набори облікових даних зберігаються в одному файлі .crd, зашифрованому за допомогою алгоритму Advanced Encryption Standard (AES). Після того як буде вказано місце і ім'я файлу, користувач повинен натиснути клавіші Ctrl + Alt + Del, щоб переключити Vista в безпечний режим. Потім видається запрошення ввести новий пароль для захисту облікових даних. Пароль повинен бути надійним (містити великі та маленькі літери регістрів, цифри і спеціальні символи). Після введення і підтвердження пароля облікові дані зберігаються в зазначеному місці з вказаним ім'ям файлу.
Якщо потрібно відновити раніше збережені облікові дані, а потім натисніть кнопку Restore в вікні Stored User Names and Passwords. Перейдіть до розташування файлу .crd і введіть пароль. Пам'ятайте, що відновлені набори облікових даних з архівного файлу замінюють будь-які існуючі набори облікових даних в комп'ютері.
Захист облікових даних
Зберігати кілька наборів облікових даних в одному місці зручно, але небезпечно. Хоча облікові дані зберігаються в зашифрованому форматі в диспетчері облікових записів (SAM) і профілі користувача, зловмисники можуть зламати паролі, якщо отримають фізичний доступ до файлів профілю користувача.
Для максимально надійного захисту облікових даних важливо застосувати всі заходи безпеки. Перерахуємо деякі з них.
- Захист користувачами комп'ютерів, залишених без нагляду. Наприклад, користувачі повинні завершити сеанс або блокувати комп'ютери, перш ніж покинути їх на тривалий час. Для захисту комп'ютерів, залишених без нагляду на короткий час, потрібно встановити зберігачі екрану з паролем.
- Захист ноутбуків з використанням BitLocker або аналогічної програми шифрування. Таким чином, дані будуть захищені в разі втрати або крадіжки комп'ютера.
- Використання надійного пароля для звичайної процедури реєстрації в Windows і регулярна зміна цього пароля. В домені найкраще використовувати групову політику для примусового зміни пароля.
- Для особливо важливих ресурсів можна відключити компонент Stored User Names and Passwords.
зручний інструмент
Компонент Stored User Names and Passwords - зручний інструмент для користувачів, що працюють з багатьма обліковими даними для доступу до різних ресурсів мережі і Internet. Він забезпечує єдину процедуру входу. Хоча сховище облікових даних зашифровано, важливо надійно захистити робочі станції зі збереженими обліковими даними.
Дамір Діздаревіч - Менеджер учебного центра Logosoft в Сараєво (Боснія). Має сертифікати MCSE, MCTS, MCITP і MCT. Спеціалізується на безпеки Windows Server. [email protected]
Екран 3. Архівація наборів облікових даних