Som du vet, er Windows-tjenester et av de mest populære stedene for angrep på operativsystemet. I verste fall (for oss, selvfølgelig) får angriperen muligheten til å handle på den angrepne datamaskinen i sammenheng med kontoen som den kompromitterte tjenesten kjører under. Og hvis denne kontoen har administrative rettigheter, får angriperen faktisk full kontroll over datamaskinen. Fra versjon til versjon dukker det opp nye mekanismer i Windows som gir ytterligere isolasjon av tjenester og som et resultat forbedrer sikkerheten til systemet som helhet. Jeg vil kort ta for meg hva som har endret seg fundamentalt i denne retningen de siste årene.

De første betydelige endringene i tjenestebeskyttelsesmekanismene dukket opp i Windows XP Service Pack 2. Det er vanskelig å forestille seg nå, men før utgivelsen av SP2 ble alle tjenestene til selve operativsystemet lansert i sammenheng med den innebygde Local System-kontoen, som hadde de mest komplette administrative rettighetene på datamaskinen. SP2 la til ytterligere to oppføringer: Lokal tjeneste og nettverkstjeneste. De grunnleggende forskjellene mellom de tre listede oppføringene finnes i tabellen. 1.

Tabell 1

Følgelig, fra og med Windows XP SP2, kan administratoren konfigurere tjenesten til å starte i sammenheng med en av de innebygde kontoene, en lokal konto eller domenekonto. Imidlertid kjører de fleste Windows-tjenester i seg selv i lokal systemkontekst. Men selv om vi abstraherer fra dette, fører situasjonen når flere tjenester lanseres i sammenheng med samme konto til at et vellykket hack av en tjeneste, selv uten administrative rettigheter, åpner potensielt opp for angriperen andre ressurser som den kompromitterte tjenestekontoen har tilgang til.

I Windows Vista Flere mekanismer har dukket opp for å øke tjenesteisolasjonen. Jeg stopper klokken to.
Den første mekanismen er en unik tjenestesikkerhetsidentifikator (Service SID). Denne SID-en genereres for hver tjeneste ved å hashe tjenestenavnet ved hjelp av SHA-1-algoritmen. Prefikset S-1-5-80- legges til resultatet. Du kan se SID-en til en tjeneste ved å bruke sc showsid-kommandoen, og spesifisere tjenestenavnet som en parameter (se figur 1).
Ris. 1

Du kan eksperimentere med W32Time-tjenesten, for eksempel. For enhver mappe på NTFS, i tillatelsesinnstillingene trenger du bare å skrive inn brukernavnet i NT SERVICE\-formatet<имя службы>, i vårt tilfelle NT SERVICE\w32time (se figur 2).

Ris. 2

Klikk Sjekk navn, deretter OK og se brukeren (se fig. 3) som du kan tildele rettigheter til.

Ris. 3

La meg igjen understreke at w32time ikke er et brukerobjekt. Dette er en SID, men i så fall kan den brukes i ACL, både i grafisk grensesnitt, både på kommandolinjen og programmatisk. Dessuten kan tjeneste-SID-er brukes i Windows-innstillinger Brannmur, bruk av bestemte regler på en spesifikk tjeneste, eller mer presist på en spesifikk tjeneste-SID.

Den andre endringen introdusert i Vista er en ny type sikkerhetsidentifikator - Write Restricted SID. Hvis en tjeneste er merket med typen Skrivebegrenset SID, legges dens SID til i sitt eget tilgangstoken i spesiell liste– Begrenset SID-liste. Når en slik tjeneste prøver å skrive noe til en fil, endres algoritmen for å sjekke tilgangsrettigheter litt. En tjeneste vil nemlig kun kunne skrive til en fil hvis skrivetillatelse er eksplisitt gitt til SID-en til denne tjenesten eller til Everyone-gruppen.
For eksempel er ServiceAccount1 for noen tjeneste Service1 medlem av Group1. Gruppe1 og bare den har skrivetillatelse til mappe1. Hva skjer hvis tjenesten prøver å endre noe i mappe1? I en normal situasjon vil ServiceAccount1 kunne skrive til mappen på grunn av sitt medlemskap i Group1. Men hvis Tjeneste1 er merket med en skrivebegrenset SID, håndteres tilgangstokenet annerledes og den vil ikke kunne skrive noe til mappen fordi den ikke er eksplisitt gitt skrivetillatelse, og heller ikke er gitt denne rettigheten til alle.
Du kan vise SID-typen ved å bruke sc qsidtype-kommandoen (se figur 4).

Ris. 4

Spesielt, i fig. 4 ser du at tjenesten Windows brannmur tilhører akkurat den nevnte typen. Naturligvis ble denne typen introdusert for ytterligere å begrense funksjonene til tjenesten (evnen til å slette eller overskrive noe) i tilfelle dens vellykket hacking. Det bør også legges til denne mekanismen er primært ikke ment for systemadministratorer, men for tjenesteutviklere. Hvis de bare kunne bruke det.

I Windows 7 og Windows Server 2008 R2-arbeidet med tjenesteisolering fortsatte. Virtuelle kontoer og administrerte tjenestekontoer dukket opp. Hva er egentlig problemet? Vi må isolere tjenester – la oss opprette det nødvendige antallet lokale (eller domene) brukerkontoer. Hver kritisk tjeneste har sin egen konto. Ja, det er løsningen. Men for lokale tjenester som ikke trenger nettverkstilgang til ressurser, må du manuelt angi passord som er lange og komplekse. Og også manuelt oppdatere dem med jevne mellomrom. Vel, siden vi er for sikkerhets skyld. For tjenester som må ha tilgang til ressurser over nettverket i sammenheng med domenekontoer, må du i tillegg til dette også registrere et Service Principal Name (SPN), unikt for hver tjeneste. Det er ikke behagelig. Men ulempen blir et reelt problem når tjenesten ikke kan starte på grunn av et utløpt passord. Og administratoren glemte rett og slett å endre passordet for det.

Så for lokale tjenester kan du bruke virtuelle kontoer. En virtuell konto brukes kun til å kjøre en bestemt tjeneste, eller snarere for å skape en sikkerhetskontekst for en bestemt tjeneste. Du vil ikke finne denne oppføringen blant brukere i Databehandling. Og likevel er dette en konto, med sin egen unike SID, med sin egen brukerprofil. Derfor kan du tildele tillatelser til den og dermed differensiere tilgangsrettigheter og tydelig kontrollere dem. Men akkurat som i tilfellet med Local System, Local Service og Network Service operativsystem overtar oppgavene med å administrere passord for virtuelle kontoer. Vi isolerer tjenestene vi trenger, og vi trenger ikke å bekymre oss for passord.

For å lage en virtuell regnskap, må du spesifisere i tjenesteinnstillingene som en konto: NT SERVICE\<имя службы>(se figur 5)

Ris. 5

Etter å ha startet tjenesten, vil den virtuelle kontoen vises i Tjenester-konsollen (fig. 6), og i Brukere mappe du vil legge merke til at en ny brukerprofil vises.
Ris. 6

Formatet er veldig likt en tjeneste SID. Men la meg understreke at dette ikke bare er en ekstra unik SID for en tjeneste som i Vista, det er en egen konto og følgelig et annet isolasjonsnivå. Som standard brukes virtuelle kontoer for eksempel for applikasjonspooler i IIS 7.5 i Windows Server 2008 R2. Det må huskes på at virtuelle kontoer er ment for lokal bruk. Hvis en tjeneste som kjører i sammenheng med en virtuell konto, får tilgang over nettverket, skjer denne tilgangen på vegne av kontoen til datamaskinen som tjenesten kjører på. Dersom det er nødvendig at tjenesten f.eks SQL Server, jobbet på nettverket på vegne av en domenekonto, så hjelper administrerte tjenestekontoer her. Det er imidlertid flere finesser knyttet til dem, og deres vurdering ligger utenfor rammen av dette innlegget. Du kan gjøre deg mer detaljert kjent med MSA

Skade på en brukerkonto er vanlig problem Windows. Problemet oppstår når du skriver inn et passord eller en PIN-kode på låseskjermen, og når du trykker enter får du feilmeldingen "User Profile Service failed to sign in. The User Profile could not be load" i Windows 10 eller User Profile Service hindrer deg fra pålogging i Windows 7. .

Løse problemet "Brukerprofiltjenesten kunne ikke logge på" ved hjelp av Registerredigering

Alternativ 1: Korriger brukerkontoprofilen

Noen ganger kan kontoen din bli skadet, og dette hindrer deg i å få tilgang til filer i Windows 10. La oss gå til registerredigering på flere måter, gjennom sikker modus:

Trinn 1. Trykk på hurtigtasten " windows + R" for å kalle kommandoen "kjør" og skriv inn kommandoen regedit for å gå inn i registeret.

Steg 2. Følg banen i vinduet som åpnes:

Trinn 3. Du vil ha flere taster i parameteren s-1-5. Du må velge den lengste nøkkelen med en lang rekke tall og kontoen din som har feilen "Brukerprofiltjenesten kunne ikke logge inn". Pass på at stien er riktig, klikk på den lange tasten og det skal være et navn i høyre kolonne, hvis du ikke har funnet det, så bla gjennom alle de lange tastene til du finner den ødelagte profilen din i høyre kolonne , i mitt tilfelle en konto .

Trinn 4. Hvis du feilaktig ga nytt navn til brukerprofilmappen C:\User\site for den berørte kontoen, åpne Explorer langs banen C:\User\site og høyreklikk på den ødelagte profilen, velg endre navn og skriv inn riktig profilnavn (side) manuelt. Etter å ha endret navn, gå tilbake til mappen i registret og sørg for at navnet er skrevet som på bildet (trinn 3) C:\User\site.

Se to alternativer trinn 6 og trinn 7 avhengig av hvem du er

Trinn 5. Nå skal vi lage to alternativer, hvis vi har en lang nøkkel S-1-5-21-19949....-1001. bak(forlengelse .bak på slutten) og med den andre uten .bak de. bare S-1-5-21-19949....-1001. Avhengig av hvem som har to eller en profil på linje.

Trinn 6. Det er kun en nøkkel på slutten av s.bak (S-1-5-21-19949....-1001.bak).

• A) Hvis du bare har en nøkkel på slutten med .bak(S-1-5-21-19949....-1001.bak), høyreklikk på den og klikk gi nytt navn. (se bildet under).

• B) Slett selve ordet med en prikk .bak slik at du bare får tall. Fortsett med trinn 8. (se bildet under)

Trinn 7. Hvis du har to like nøkler, en uten .bak, den andre med .bak. (S-1-5-21-19949....-1001 og S-1-5-21-19949....-1001.bak) .

• A) I venstre rute i registeret høyreklikker du på nøkkelen uten .bak og legg til et punktum, to bokstaver .bk(se bildet under).

• B) Høyreklikk nå på nøkkelen med .bak, plukke ut endre navn og slett .bak med en prikk. (se bildet under).

• B) Gå nå tilbake og gi nytt navn til den første nøkkelen med .bk V .bak. Trykk enter og fortsett med trinn 8.

Trinn 8. Velg nøkkelen du ga nytt navn uten .bak og fra høyre i kolonnen, dobbeltklikk for å åpne parameterinnstillingene, og tilordne verdien 0. Hvis du ikke har en slik parameter, høyreklikk på det tomme feltet med høyre museknapp og lag en DWORD ( 32-bit) parameter, gi den nytt navn til RefCount og sett verdien til 0.

Trinn 9. I høyre felt velger du nøkkelen uten .bak og i parameteren Stat sett verdien til 0. Hvis det ikke finnes en slik parameter, klikker du på det tomme feltet til høyre og klikker opprette DWORD (32-bit), endre navn til Stat og sett verdien til 0.

Trinn 10. Start datamaskinen på nytt, og feilene "Brukerprofiltjenesten kunne ikke logge på" og "Kan ikke laste inn brukerprofilen" i Windows 10 skal forsvinne.

Alternativ 2: Slett og opprett en ny brukerprofil for kontoen

Dette alternativet vil slette brukerprofilen din, noe som fører til at du mister alle kontoinnstillinger og personalisering.

Trinn 1. Hvis det er en annen administratorkonto som ikke har en feil, logger du av den gjeldende kontoen (f.eks. nettstedet) og logger på administratorkontoen.

Hvis du ikke har en annen adminkonto å logge på, kan du gjøre ett av følgende alternativer nedenfor for å aktivere den innebygde adminkontoen til å logge på og gå videre til trinn 2 nedenfor.

• EN). Støvle inn sikkerhetsmodus, aktiver den innebygde administratoren, logg ut og logg på administrator.
• B). Åpne vinduet kommandolinje Når du starter opp, aktiver den innebygde administratoren, start datamaskinen på nytt og logg på Administrator.

Steg 2. Gjøre sikkerhetskopi alt du ikke vil miste i C:\Users\(brukernavn)-profilmappen (f.eks.: nettsted) til den tilsvarende brukerkontoen til et annet sted. Når du er ferdig, slett mappen C:\Users\(brukernavn).

Trinn 3. Klikk windows-knapper+R for å åpne dialogboksen Kjør, skriv inn regedit og klikk OK.

Trinn 4. Naviger til plasseringen nedenfor i Registerredigering.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Trinn 5. I venstre panel i ProfileList, klikk på den lange tasten som har en kontofeil. Profilen er synlig til høyre.

Trinn 6. Slett feilprofiler med.bak og uten.bak. F.eks ( S-1-5-21-19949....-1001 og S-1-5-21-19949....-1001.bak)-slett.

Trinn 7. Lukk Registerredigering og start datamaskinen på nytt, deretter vil den automatisk gjenskape den nye brukeren.

La oss løse problemet "Kan ikke laste brukerprofil" på en enkel måte

Metode 1. Denne metoden Det fungerer ikke for alle, men det har hjulpet mange. Prøv å kopiere dokumentene dine i mappen (C:\Users\) til et annet sted for å lage en sikkerhetskopi. Vanligvis oppstår problemet på grunn av korrupsjon av "NTUSER.DAT"-filen som ligger i mappen "C:\Users\Default". For å løse dette problemet må du erstatte "NTUSER.DAT"-filen med en annen profil. .

1. Logg på systemet i sikker modus med en profilkonto som fungerer.
2. Finn filen (C:\Users\Default) "NTUSER.DAT" og gi nytt navn til .DAT-utvidelsen til .OLD. Det skal være (NTUSER.OLD).
3. Finn filen "NTUSER.DAT" i arbeidsprofilen som "Gjest", "Generelt". Eksempel (C:\Users\Guest\NTUSER.DAT).
4. Kopier den og lim den inn i standardmappen C:\Users\Default.
5. For å starte en datamaskin på nytt.

Du kan kopiere denne filen fra en annen datamaskin med samme versjon av Windows og lime den inn i hjemmet ditt langs banen C:\Users\Default.

Metode 2. Du kan prøve å erstatte hele "C:\Users\"-mappen fra en annen datamaskin.

• Ta en flash-stasjon i FAT32-format og skriv mappen C:\Users\ på den fra en annen datamaskin og overfør den til datamaskinen din.

Hvis noen vet hvordan man ellers kan fikse feilen, "Brukerprofiltjenesten hindrer deg i å logge på" ved hjelp av en annen metode, så skriv i "rapporter en feil"-skjemaet.

Problemer knyttet til korrupsjon av brukerprofiler er blant de vanligste, vanligvis ledsaget av meldingene "Kan ikke logge på kontoen din" og "Du er logget på med en midlertidig profil." Derfor bestemte vi oss i dag for å fortelle deg hvordan brukerprofilen er strukturert, hva som kan føre til skade, og hvilke metoder som kan brukes for å gjenopprette normal drift av systemet.

La oss starte med symptomene, det første tegnet på at noe har gått galt er inskripsjonen Klargjøring av Windows på velkomstskjermen i stedet Velkommen.

Da blir du "glad" av en melding "Kan ikke logge på kontoen din" med alternativer for å gå inn på nytt og fortsette å jobbe.

Hvis vi lukker dette vinduet, vil vi se en annen melding som kaster litt lys over hva som skjer "Du er logget på med en midlertidig profil".

Hvis profilen er midlertidig, så viser det seg at den permanente brukerprofilen av en eller annen grunn ikke kunne lastes. La oss derfor ikke bli for begeistret, men prøv å finne ut hva en brukerprofil er, hvilke data den inneholder, og hva som kan være årsaken til umuligheten av å laste den.

Til en aller første tilnærming er brukerprofilen innholdet i katalogen C:\Brukere\Navn, Hvor Navn- brukernavn, der vil vi se mappene som er kjent for alle Desktop, dokumenter, nedlastinger, musikk etc., og også skjult mappe AppData.

Alt er klart med den synlige delen av profilen - denne standard mapper for å imøtekomme brukerdata, kan vi trygt overføre dem til et hvilket som helst annet sted. Nylig Windows-versjoner Du kan til og med tilordne skrivebordet på nytt.

Dette er ganske praktisk og berettiget, med tanke på hvor mye ting brukere har på skrivebordet, og de samme SSD-ene er langt fra gummiaktige. Men det er ikke det vi snakker om; det som er skjult for den gjennomsnittlige brukerens øyne er mye mer interessant.

Mappe AppData designet for å lagre innstillinger og brukerdata installerte programmer og inneholder i sin tur ytterligere tre mapper: Lokalt, Lokalt Lavt Og Roaming.

La oss se på dem mer detaljert:

• Roaming- dette er et "lys" og, som navnet antyder, en bevegelig del av profilen. Den inneholder alle de grunnleggende innstillingene for programmer og brukerens arbeidsmiljø hvis roaming-profiler brukes på nettverket, kopieres innholdet til en delt ressurs og lastes deretter inn på en hvilken som helst; arbeidsstasjon, hvor brukeren er pålogget.
• Lokalt- den "tunge" delen av profilen, inneholder cache, midlertidige filer og andre innstillinger som kun gjelder for den gjeldende PC-en. Den kan nå betydelige størrelser og beveger seg ikke over nettverket.
• LocalLow- lokale data med lav integritet. I i dette tilfellet vi har igjen en mislykket oversettelse av begrepet lavt integritetsnivå, faktisk er integritetsnivåer en annen sikkerhetsmekanisme. Uten å gå i detaljer kan vi si at systemdata og prosesser har høy integritet, standardintegritet - for brukeren, og lav integritet - for potensielt farlige. Hvis vi ser inn i denne mappen, vil vi se data relatert til nettlesere, flash-spillere, etc. Logikken her er enkel - i tilfelle en nødsituasjon eller angrep vil ikke prosesser som kjører fra denne mappen ha tilgang til brukerdata.

Nå er det på tide å tenke, skade på hvilke av de spesifiserte dataene som kan føre til problemer med å laste profilen? Sannsynligvis ingen. Derfor må det være noe annet i profilen. Selvfølgelig er det det, og hvis vi ser nøye på skjermbildet av brukerens profil ovenfor, vil vi se en fil der NTUSER.DAT. Hvis du slår på skjermen beskyttet systemfiler , så vil vi se et helt sett med filer med lignende navn.

Nå kommer vi til poenget. I fil NTUSER.DAT det er en registergren HKEY_CURRENT_USER for hver bruker. Og det er korrupsjonen i registergrenen som gjør det umulig å laste inn brukerprofilen. Men ikke alt er så ille som det kan virke ved første øyekast. Registeret er ganske godt beskyttet mot mulige feil.

Filer ntuser.dat.LOG inneholder en logg over registerendringer siden siste vellykkede oppstart, noe som gjør det mulig å rulle tilbake hvis det oppstår problemer. Filer med utvidelsen regtrans-ms er en transaksjonslogg, som lar deg opprettholde en registergren i en konsistent form i tilfelle en plutselig stopp mens du gjør endringer i registeret. I dette tilfellet vil alle ventende transaksjoner automatisk rulles tilbake.

Filene er av minst interesse blf- dette er et magasin Reserver eksemplar registergrener, for eksempel med et standardverktøy Systemgjenoppretting.

Etter å ha funnet ut hva brukerprofilen består av og skade på hvilken del av den som gjør det umulig å starte opp, vil vi vurdere måter å gjenopprette systemet på.

Metode 1: Løs problemet i brukerprofilen

Først av alt, hvis du har problemer med å logge på kontoen din, bør du sjekke systemvolumet for feil for å gjøre dette, starte opp i gjenopprettingskonsollen eller Windows-miljø PE og kjør kommandoen:

Chkdsk c: /f

I noen tilfeller kan dette være tilstrekkelig, men vi vil vurdere det verste tilfellet. Etter å ha sjekket disken, start opp i systemet og åpne registerredigering, gå til grenen

Til venstre vil vi se en rekke seksjoner med typenavnet S-1-5 og en lang hale som tilsvarer brukerprofiler. For å finne ut hvilken profil som tilhører hvilken bruker, vær oppmerksom på nøkkelen ProfileImagePath til høyre:

Så den nødvendige profilen er funnet, nå ser vi igjen på treet til venstre, som skal inneholde to grener, hvorav den ene slutter bak.

Nå er vår oppgave å gi nytt navn til hovedprofilen til bak, A bak i den viktigste. For å gjøre dette, legg til en hvilken som helst utvidelse til hovedprofilen, for eksempel .ba, og gi deretter nytt navn til sikkerhetskopiprofilen til den viktigste, og fjern fra navnet .bak, og gi nytt navn ba V bak.

Forresten, det kan være situasjoner der bare en tråd eksisterer for kontoen din bak, i dette tilfellet er det bare å fjerne utvidelsen.

Da finner vi to nøkler i den nye hovedprofilen RefCount Og Stat og sett begge verdiene til null.

La oss starte på nytt. I de fleste tilfeller, hvis profilen ikke er alvorlig skadet, vil disse trinnene føre til suksess, ellers gå videre til metode 2.

Metode 2. Opprett en ny profil og kopier brukerdata dit

I dette tilfellet anbefaler offisiell Microsoft-dokumentasjon å opprette en ny konto og kopiere profildataene dine der. Men denne tilnærmingen gir opphav til et helt lag med problemer, siden Ny bruker- dette er et nytt sikkerhetsemne, og derfor får vi umiddelbart et problem med tilgangsrettigheter, i tillegg må vi koble til alle nettverkskontoer på nytt, importere personlige sertifikater på nytt og eksportere-importere post (hvis du bruker Outlook) . I generell underholdning nok, og det er ikke et faktum at alle problemer kan overvinnes.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

og slett alle grener relatert til profilen din. La oss starte på nytt.

Windows vil da opprette en ny profil for kontoen din, akkurat som om du skulle logge inn for første gang. dette systemet. Men din sikkerhetsidentifikator (SID) forblir uendret, du vil igjen være eier av alle dine egne objekter, sertifikater osv. osv.

Til ytterligere handlinger du trenger en annen konto med administratorrettigheter, la oss opprette den, i vårt tilfelle er dette kontoen temp.

Deretter logger vi ut av hovedkontoen vår (eller starter på nytt) og logger på sekundærkontoen vår. Vår oppgave er å kopiere alt innholdet i den gamle profilmappen, bortsett fra NTUSER-filene, til den nye mappen. For disse formålene er det bedre å bruke filbehandler (Totalkommandør, Far, etc.) kjører med administratorrettigheter.

På slutten av kopieringsprosessen logger du på kontoen din igjen og kontrollerer kontoens funksjon. Alle data og innstillinger skal være tilbake på plass. Ikke skynd deg å slette den gamle mappen og tilleggskontoen. Noen data må kanskje overføres på nytt. Dette kan skyldes det faktum at noen programmer som lagrer innstillinger i den skadede registergrenen kan bestemme at ny installasjon og overskriv de overførte filene, i dette tilfellet er det nok å selektivt kopiere de nødvendige dataene.

Etter at du har jobbet med systemet en stund og er sikker på at alt er på plass og fungerer som det skal, kan du slette den gamle mappen og tilleggskontoen.

• Tagger:

Vær så snill aktiver JavaScriptå se