Jak víte, služby Windows jsou jedním z nejoblíbenějších míst pro útoky na operační systém. V nejhorším případě (pro nás samozřejmě) získá útočník možnost jednat na napadeném počítači v kontextu účtu, pod kterým napadená služba běží. A pokud má tento účet práva správce, pak útočník ve skutečnosti získá plnou kontrolu nad počítačem. Od verze k verzi se ve Windows objevují nové mechanismy, které poskytují další izolaci služeb a v důsledku toho zvyšují bezpečnost systému jako celku. Rád bych se krátce zamyslel, co se v tomto směru za posledních pár let zásadně změnilo.

První významné změny v mechanismech ochrany služeb se objevily ve Windows XP Service Pack 2. Je těžké si to nyní představit, ale před vydáním SP2 byly všechny služby samotného operačního systému spuštěny v kontextu vestavěného účtu Local System, která měla nejúplnější administrátorská práva na počítači. SP2 přidal další dvě položky: Local Service a Network Service. Základní rozdíly mezi třemi uvedenými položkami naleznete v tabulce. 1.

stůl 1

Počínaje systémem Windows XP SP2 mohl správce nakonfigurovat službu tak, aby se spouštěla ​​v kontextu jednoho z vestavěných účtů, místního nebo doménového účtu. Většina služeb systému Windows však stále běží v kontextu místního systému. Ale i když od toho abstrahujeme, situace, kdy je spuštěno několik služeb v kontextu stejného účtu, vede k tomu, že úspěšný hack jedné služby, a to i bez administrátorská oprávnění, potenciálně zpřístupní útočníkovi jakékoli další prostředky, ke kterým má napadený servisní účet přístup.

V Windows Vista Pro zvýšení izolace služeb se objevilo několik mechanismů. Ve dvou se zastavím.
Prvním mechanismem je jedinečný identifikátor zabezpečení služby (Service SID). Toto SID je generováno pro každou službu hašováním názvu služby pomocí algoritmu SHA-1. K výsledku se přidá předpona S-1-5-80-. SID služby můžete zobrazit pomocí příkazu sc showsid, přičemž jako parametr zadáte název služby (viz obrázek 1).
Rýže. 1

Experimentovat můžete například se službou W32Time. Pro jakoukoli složku na NTFS stačí v nastavení oprávnění zadat uživatelské jméno ve formátu NT SERVICE\<имя службы>, v našem případě NT SERVICE\w32time (viz obrázek 2).

Rýže. 2

Klikněte na Zkontrolovat jména, poté na OK a uvidíte uživatele (viz obr. 3), kterému můžete přidělit práva.

Rýže. 3

Dovolte mi znovu zdůraznit, že w32time není uživatelský objekt. Toto je SID, ale pokud ano, lze jej použít v ACL, a to jak v grafické rozhraní, a to jak na příkazovém řádku, tak i programově. Kromě toho lze použít SID služby Nastavení Windows Firewall, použití určitých pravidel na konkrétní službu, přesněji na konkrétní SID služby.

Druhou změnou zavedenou ve Vista je nový typ bezpečnostního identifikátoru – Write Restricted SID. Pokud je služba označena typem SID s omezeným zápisem, pak se její SID přidá k vlastnímu přístupovému tokenu v speciální seznam– Omezený seznam SID. Když se taková služba pokusí něco zapsat do souboru, algoritmus kontroly přístupových práv se mírně změní. Konkrétně bude služba moci zapisovat do souboru pouze v případě, že je oprávnění k zápisu výslovně uděleno SID této služby nebo skupině Everyone.
Například ServiceAccount1 některé služby Service1 je členem skupiny Group1. Skupina1 a pouze ona má oprávnění k zápisu do složky1. Co se stane, když se služba pokusí něco změnit ve složce Folder1? V normální situaci bude ServiceAccount1 moci zapisovat do složky kvůli svému členství ve skupině Group1. Pokud je však Service1 označena SID s omezeným zápisem, pak se s jejím přístupovým tokenem nakládá jinak a nebude moci do složky nic zapisovat, protože nemá explicitně uděleno oprávnění k zápisu, ani toto právo nemají všichni.
Typ SID můžete zobrazit pomocí příkazu sc qsidtype (viz obrázek 4).

Rýže. 4

Zejména na Obr. 4 vidíte, že služba Brána firewall systému Windows patří přesně do zmíněného typu. Tento typ byl přirozeně zaveden za účelem dalšího omezení možností služby (možnost něco vymazat nebo přepsat) v případě jejího úspěšného hacknutí. Je třeba také dodat, že tento mechanismus je primárně určen nikoli pro systémové administrátory, ale pro vývojáře služeb. Jen kdyby toho využili.

Ve Windows 7 a Windows Server 2008 Pokračovaly práce R2 na servisní izolaci. Objevily se virtuální účty a účty spravovaných služeb. V čem přesně je problém? Potřebujeme izolovat služby – pojďme vytvořit požadovaný počet lokálních (nebo doménových) uživatelských účtů. Každá kritická služba má svůj vlastní účet. Ano, to je řešení. Ale pro místní služby, které nepotřebují přístup k síti k prostředkům, musíte ručně nastavit hesla, která jsou dlouhá a složitá. A také je pravidelně ručně aktualizovat. No, protože jsme pro bezpečnost. U služeb, které musí přistupovat ke zdrojům přes síť v kontextu doménových účtů, musíte navíc zaregistrovat hlavní název služby (SPN), jedinečný pro každou službu. Není to pohodlné. Nepříjemnost se však stává skutečným problémem, když službu nelze spustit kvůli vypršenému heslu. A admin mu prostě zapomněl změnit heslo.

Takže pro místní služby můžete použít virtuální účty. Virtuální účet se používá pouze ke spuštění konkrétní služby, nebo spíše k vytvoření kontextu zabezpečení pro konkrétní službu. Tento záznam mezi uživateli ve Správě počítače nenajdete. A přesto se jedná o účet s vlastním jedinečným SID, s vlastním uživatelským profilem. Můžete mu tedy přidělovat oprávnění a tím rozlišovat přístupová práva a jasně je ovládat. Ale stejně jako v případě Local System, Local Service a Network Service operační systém přebírá úkoly správy hesel pro virtuální účty. Izolujeme služby, které potřebujeme, a nemusíme se starat o hesla.

Chcete-li vytvořit virtuální účet, musíte v nastavení služby zadat jako účet: NT SERVICE\<имя службы>(viz obrázek 5)

Rýže. 5

Po spuštění služby se virtuální účet objeví v konzole Služby (obr. 6) a v Složka Uživatelé všimnete si, že se objeví nový uživatelský profil.
Rýže. 6

Formát je velmi podobný SID služby. Dovolte mi ale zdůraznit, že se nejedná pouze o další unikátní SID pro službu jako ve Vistách, jedná se o samostatný účet, a tedy o jinou úroveň izolace. Ve výchozím nastavení se virtuální účty používají například pro fondy aplikací ve službě IIS 7.5 v systému Windows Server 2008 R2. Je třeba mít na paměti, že virtuální účty jsou určeny pro místní použití. Pokud služba spuštěná v kontextu virtuálního účtu přistupuje přes síť, pak k tomuto přístupu dochází jménem účtu počítače, na kterém je služba spuštěna. Pokud je nutné, aby služba např SQL Server, pracoval v síti jménem doménového účtu, pak zde pomohou účty spravovaných služeb. Jemností je s nimi však spojeno více a jejich úvaha je nad rámec tohoto příspěvku. S MSA se můžete seznámit podrobněji

Poškození uživatelského účtu je společný problém Okna. Problém nastane, když na zamykací obrazovce zadáte heslo nebo PIN a když stisknete enter, zobrazí se chyba „Službě uživatelských profilů se nepodařilo přihlásit. Uživatelský profil nelze načíst“ v systému Windows 10 nebo vám brání služba profilu uživatele od přihlášení v systému Windows 7.

Řešení problému „Služba profilu uživatele se nemohla přihlásit“ pomocí Editoru registru

Možnost 1: Opravte profil uživatelského účtu

Někdy může být váš účet poškozen, což vám brání v přístupu k souborům v systému Windows 10. Pojďme do editoru registru několika způsoby, prostřednictvím nouzového režimu:

Krok 1. Stiskněte klávesovou zkratku " okna + R" zavolejte příkaz "spustit" a zadejte příkaz regedit pro vstup do registru.

Krok 2. V okně, které se otevře, postupujte podle cesty:

Krok 3. V parametru budete mít několik klíčů s-1-5. Budete muset vybrat nejdelší klíč s dlouhým polem čísel a váš účet, který má chybu „Přihlášení ke službě uživatelského profilu se nezdařilo“. Ujistěte se, že cesta je správná, klikněte na dlouhou klávesu a v pravém sloupci by měl být název, pokud jste jej nenašli, procházejte všechny dlouhé klávesy, dokud nenarazíte v pravém sloupci na svůj nefunkční profil , v mém případě účet .

Krok 4. Pokud jste nesprávně přejmenovali složku uživatelského profilu C:\User\site dotčeného účtu, otevřete Průzkumník podél cesty C:\User\site a klikněte pravým tlačítkem myši na poškozený profil, vyberte přejmenovat a ručně zadejte správný název profilu (stránky). Po přejmenování se vraťte do složky v registru a ujistěte se, že jméno je zapsáno jako na obrázku (krok 3) C:\User\site.

Podívejte se na dvě možnosti, krok 6 a krok 7, podle toho, kdo jste

Krok 5. Nyní uděláme dvě možnosti, pokud máme jeden dlouhý klíč S-1-5-21-19949....-1001. bak(prodloužení .bak na konci) a s druhým bez .bak těch. právě S-1-5-21-19949....-1001. Podle toho, kdo má seřazený dva nebo jeden profil.

Krok 6. Na konci s.bak je pouze jeden klíč (S-1-5-21-19949....-1001.bak).

• A) Pokud máte na konci pouze jeden klíč .bak(S-1-5-21-19949....-1001.bak), klikněte na něj pravým tlačítkem a klikněte na přejmenovat. (viz obrázek níže).

• B) Smažte slovo samotné s tečkou .bak takže dostanete jen čísla. Pokračujte krokem 8. (viz obrázek níže)

Krok 7. Pokud máte dva stejné klíče, jeden bez .bak, druhý s .bak. (S-1-5-21-19949....-1001 a S-1-5-21-19949....-1001.bak) .

• A) V levém podokně registru klikněte pravým tlačítkem na klíč bez .bak a přidejte tečku, dvě písmena .bk(viz obrázek níže).

• B) Nyní klikněte pravým tlačítkem na klíč s .bak, vyberte přejmenovat a smazat .bak s tečkou. (viz obrázek níže).

• B) Nyní se vraťte a přejmenujte první klíč pomocí .bk PROTI .bak. Stiskněte enter a pokračujte krokem 8.

Krok 8. Vyberte klíč, který jste přejmenovali bez .bak a zprava ve sloupci dvojklikem otevřete nastavení parametru a přiřaďte hodnotu 0. Pokud takový parametr nemáte, klikněte pravým tlačítkem myši na prázdné pole a vytvořte DWORD ( 32-bit), přejmenujte jej RefCount a nastavte hodnotu na 0.

Krok 9. V pravém poli vyberte klíč bez .bak a v parametru Stát nastavte hodnotu na 0. Pokud takový parametr neexistuje, klikněte na prázdné pole vpravo a klikněte na vytvořit DWORD (32-bit), přejmenujte jej na Stát a nastavte hodnotu na 0.

Krok 10. Restartujte počítač a chyby „Službě uživatelských profilů se nepodařilo přihlásit“ a „Nelze načíst uživatelský profil“ ve Windows 10 by měly zmizet.

Možnost 2: Odstraňte a vytvořte nový uživatelský profil pro účet

Tato možnost smaže váš uživatelský profil, což způsobí, že ztratíte všechna nastavení účtu a přizpůsobení.

Krok 1. Pokud existuje jiný administrátorský účet, který nemá chybu, odhlaste se z aktuálního účtu (např.: web) a přihlaste se do administrátorského účtu.

Pokud nemáte jiný účet správce, ke kterému byste se mohli přihlásit, můžete provést jednu z následujících možností níže, abyste povolili přihlášení k vestavěnému účtu správce a přejděte ke kroku 2 níže.

• A). Zavést do bezpečný režim, povolte vestavěného Správce, odhlaste se a přihlaste se do Správce.
• B). Otevřete okno příkazový řádek Při spouštění povolte vestavěného správce, restartujte počítač a přihlaste se do Správce.

Krok 2. Dělat záložní kopie cokoli, co nechcete ztratit ve složce profilu C:\Users\(uživatelské jméno) (např.: webová stránka) odpovídajícího uživatelského účtu na jiné místo. Po dokončení odstraňte složku C:\Users\(uživatelské jméno).

Krok 3. Klikněte tlačítka windows+R otevřete dialogové okno Spustit, zadejte příkaz regedit a klikněte na OK.

Krok 4. V Editoru registru přejděte do umístění níže.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Krok 5. V levém panelu v seznamu ProfileList klikněte na dlouhý klíč s chybou účtu. Profil je viditelný vpravo.

Krok 6. Odstraňte chybové profily s.bak a bez.bak. Např ( S-1-5-21-19949....-1001 a S-1-5-21-19949....-1001.bak)-vymazat.

Krok 7. Zavřete Editor registru a restartujte počítač, poté automaticky znovu vytvoří nového uživatele.

Vyřešme jednoduchým způsobem problém „Nelze načíst uživatelský profil“.

Metoda 1. Tato metoda Nefunguje to u každého, ale mnohým to pomohlo. Zkuste zkopírovat své dokumenty ve složce (C:\Users\) do jiného umístění, abyste si pro jistotu vytvořili zálohu. K problému obvykle dochází kvůli poškození souboru "NTUSER.DAT" umístěného ve složce "C:\Users\Default". Chcete-li tento problém vyřešit, musíte nahradit soubor "NTUSER.DAT" jiným profilem. .

1. Přihlaste se do systému v nouzovém režimu pomocí účtu profilu, který funguje.
2. Najděte soubor (C:\Users\Default) "NTUSER.DAT" a přejmenujte příponu .DAT na .OLD. Mělo by to být (NTUSER.OLD).
3. Najděte soubor "NTUSER.DAT" v pracovním profilu, například "Guest", "General". Příklad (C:\Users\Guest\NTUSER.DAT).
4. Zkopírujte jej a vložte do výchozí složky C:\Users\Default.
5. Chcete-li restartovat počítač.

Tento soubor můžete zkopírovat z jiného počítače se stejnou verzí systému Windows a vložit jej domů podél cesty C:\Users\Výchozí.

Metoda 2. Můžete zkusit nahradit celou složku „C:\Users\“ z jiného počítače.

• Vezměte flash disk ve formátu FAT32 a zapište na něj složku C:\Users\ z jiného počítače a přeneste jej do počítače.

Pokud někdo ví, jak jinak opravit chybu, „Služba uživatelského profilu vám brání v přihlášení“ pomocí jiné metody, napište do formuláře „nahlásit chybu“.

Problémy související s poškozením uživatelského profilu patří k nejčastějším, obvykle jsou doprovázeny zprávami „Nelze se přihlásit ke svému účtu“ a „Jste přihlášeni pomocí dočasného profilu“. Proto jsme se dnes rozhodli vám říci, jak je uživatelský profil strukturován, co může vést k jeho poškození a jaké metody lze použít k obnovení normálního provozu systému.

Začněme příznaky, první známkou toho, že se něco stalo, je nápis Příprava Windows místo toho na uvítací obrazovce Vítejte.

Pak vás „potěší“ zpráva "Nelze se přihlásit k vašemu účtu" s možností opětovného vstupu a pokračování v práci.

Pokud toto okno zavřeme, uvidíme další zprávu, která trochu osvětlí, co se děje "Jste přihlášeni pomocí dočasného profilu".

Pokud je profil dočasný, ukázalo se, že z nějakého důvodu nebylo možné načíst trvalý uživatelský profil. Nenechme se proto unést, ale zkusme přijít na to, co je uživatelský profil, jaká data obsahuje a co může být důvodem nemožnosti jeho načtení.

Pro úplně první přiblížení je uživatelský profil obsahem adresáře C:\Users\Jméno, Kde název- uživatelské jméno, tam uvidíme složky známé všem Desktop, dokumenty, stahování, hudba atd. a také skrytá složka Data aplikací.

Vše je jasné s viditelnou částí profilu - tímto standardní složky mimochodem, abychom se přizpůsobili uživatelským datům, můžeme je bezpečně přeřadit na jakékoli jiné místo. V nedávném Verze Windows Můžete dokonce změnit přiřazení plochy.

To je docela pohodlné a oprávněné, vezmeme-li v úvahu, kolik věcí si uživatelé uchovávají na svých počítačích, a ty samé SSD nejsou ani zdaleka gumové. Ale to není to, o čem mluvíme, mnohem zajímavější je to, co je očím běžného uživatele skryto.

Složka Data aplikací navržený pro ukládání nastavení a uživatelských dat nainstalované programy a postupně obsahuje další tři složky: Místní, LocalLow A Roaming.

Podívejme se na ně podrobněji:

• Roaming- jedná se o „lehkou“ a jak název napovídá, o pohyblivou část profilu. Obsahuje všechna základní nastavení programů a pracovního prostředí uživatele; pokud se v síti používají roamingové profily, pak se jeho obsah zkopíruje do sdíleného zdroje a poté se nahraje do libovolného pracovní stanice, kde je uživatel přihlášen.
• Místní- „těžká“ část profilu, obsahuje mezipaměť, dočasné soubory a další nastavení, která platí pouze pro aktuální PC. Může dosáhnout značných velikostí a nepohybuje se po síti.
• LocalLow- lokální data s nízkou integritou. V v tomto případě máme opět nepovedený překlad termínu nízká úroveň integrity ve skutečnosti jsou úrovně integrity dalším bezpečnostním mechanismem. Aniž bychom zacházeli do podrobností, můžeme říci, že systémová data a procesy mají vysokou integritu, standardní integritu – pro uživatele a nízkou integritu – pro potenciálně nebezpečné. Pokud se podíváme do této složky, uvidíme tam údaje týkající se prohlížečů, flash přehrávačů atd. Logika je zde jednoduchá – v případě jakékoli nouze nebo útoku nebudou mít procesy běžící z této složky přístup k uživatelským datům.

Nyní je čas přemýšlet, poškození kterého z uvedených údajů může vést k problémům s načítáním profilu? Pravděpodobně žádný. Proto v profilu musí být něco jiného. Samozřejmě, že je, a když se pozorně podíváme na snímek obrazovky profilu uživatele výše, uvidíme tam soubor NTUSER.DAT. Pokud zapnete displej chráněný systémové soubory , pak uvidíme celou sadu souborů s podobnými názvy.

Nyní se dostáváme k věci. V souboru NTUSER.DAT existuje pobočka registru HKEY_CURRENT_USER pro každého uživatele. A právě poškození větve registru znemožňuje načtení uživatelského profilu. Všechno ale není tak špatné, jak by se na první pohled mohlo zdát. Registr je celkem dobře chráněn před možnými poruchami.

Soubory ntuser.dat.LOG obsahují protokol změn registru od posledního úspěšného spuštění, což umožňuje vrátit se zpět, pokud nastanou nějaké problémy. Soubory s příponou regtrans-ms jsou transakční protokol, který umožňuje udržovat pobočku registru v konzistentní podobě v případě náhlého zastavení při provádění změn v registru. V tomto případě budou všechny nevyřízené transakce automaticky vráceny zpět.

Soubory jsou nejméně zajímavé blf- toto je časopis Rezervovat kopii pobočky registru například standardním nástrojem Obnovení systému.

Poté, co jsme zjistili, z čeho se uživatelský profil skládá, a poškození, která jeho část znemožňuje spuštění, zvážíme způsoby, jak obnovit systém.

Metoda 1: Opravte problém v uživatelském profilu

Za prvé, pokud máte problémy s přihlášením ke svému účtu, měli byste zkontrolovat systémový svazek na chyby; k tomu spusťte konzolu pro obnovení nebo Prostředí Windows PE a spusťte příkaz:

Chkdsk c: /f

V některých případech to může stačit, ale zvážíme nejhorší možný scénář. Po kontrole disku nabootujte do systému a otevřete editor registru, přejděte na pobočku

Vlevo uvidíme řadu sekcí s názvem typu S-1-5 a dlouhý ocas, který odpovídá uživatelským profilům. Chcete-li určit, který profil patří kterému uživateli, věnujte pozornost klíči ProfileImagePath napravo:

Požadovaný profil byl tedy nalezen, nyní se znovu podíváme na strom vlevo, který by měl obsahovat dvě větve, z nichž jedna končí bak.

Nyní je naším úkolem přejmenovat hlavní profil na bak, A bak v tom hlavním. Chcete-li to provést, přidejte do hlavního profilu libovolné rozšíření, řekněme .ba, poté přejmenujte záložní profil na hlavní a odstraňte z jeho názvu .bak a znovu přejmenujte ba PROTI bak.

Mimochodem, mohou nastat situace, kdy pro váš účet existuje pouze pobočka bak, v tomto případě stačí odstranit jeho rozšíření.

V novém hlavním profilu pak najdeme dvě klávesy RefCount A Stát a obě hodnoty nastavte na nulu.

Pojďme restartovat. Ve většině případů, pokud není profil vážně poškozen, povedou tyto kroky k úspěchu, jinak přejděte k metodě 2.

Metoda 2. Vytvořte nový profil a zkopírujte tam uživatelská data

V tomto případě oficiální dokumentace společnosti Microsoft doporučuje vytvořit si nový účet a zkopírovat tam data profilu. Tento přístup však vyvolává celou řadu problémů Nový uživatel- jedná se o nový předmět zabezpečení, a proto máme okamžitě problém s přístupovými právy, navíc budeme muset znovu připojit všechny síťové účty, znovu importovat osobní certifikáty a exportovat-importovat poštu (pokud používáte Outlook) . V všeobecná zábava dost a není pravda, že všechny problémy lze úspěšně překonat.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

a smažte všechny větve související s vaším profilem. Pojďme restartovat.

Systém Windows poté vytvoří nový profil pro váš účet, stejně jako byste se přihlašovali poprvé. tento systém. Váš bezpečnostní identifikátor (SID) ale zůstane nezměněn, budete opět vlastníkem všech svých vlastních objektů, certifikátů atd. atd.

Pro další akce budete potřebovat další účet s administrátorskými právy, pojďme si ho vytvořit, v našem případě je to účet tepl.

Poté se odhlásíme z našeho hlavního účtu (nebo restartujeme) a přihlásíme se k našemu sekundárnímu účtu. Naším úkolem je zkopírovat veškerý obsah staré složky profilu, kromě souborů NTUSER, do nové složky. Pro tyto účely je lepší použít správce souborů (Total Commander, Far atd.) běžící s právy správce.

Na konci procesu kopírování se znovu přihlaste ke svému účtu a zkontrolujte fungování účtu. Všechna data a nastavení by měla být zpět na svém místě. S odstraněním staré složky a dalšího účtu však nespěchejte, možná bude nutné přenést některá data znovu. To může být způsobeno tím, že některé programy, které ukládají nastavení do poškozené větve registru, mohou rozhodnout, že nová instalace a přepsat přenesené soubory, v tomto případě stačí selektivně zkopírovat potřebná data.

Poté, co jste se systémem nějakou dobu pracovali a jste si jisti, že je vše na svém místě a funguje, jak má, můžete starou složku a další účet smazat.

• Štítky:

Prosím povolit JavaScript zobrazit