Som du vet är Windows-tjänster en av de mest populära platserna för attacker mot operativsystemet. I värsta fall (för oss förstås) får angriparen möjlighet att agera på den attackerade datorn i samband med kontot som den komprometterade tjänsten körs under. Och om detta konto har administrativa rättigheter får angriparen faktiskt full kontroll över datorn. Från version till version dyker det upp nya mekanismer i Windows som ger ytterligare isolering av tjänster och som ett resultat förbättrar säkerheten för systemet som helhet. Jag skulle kort vilja överväga vad som i grunden har förändrats i denna riktning under de senaste åren.

De första betydande förändringarna i tjänsteskyddsmekanismerna dök upp i Windows XP Service Pack 2. Det är svårt att föreställa sig nu, men innan SP2 släpptes lanserades alla tjänster i själva operativsystemet i samband med det inbyggda kontot för det lokala systemet, som hade de mest fullständiga administrativa rättigheterna på datorn. SP2 lade till ytterligare två poster: Lokal tjänst och nätverkstjänst. De grundläggande skillnaderna mellan de tre listade posterna finns i tabellen. 1.

bord 1

Följaktligen, från och med Windows XP SP2, kan administratören konfigurera tjänsten så att den körs inom ramen för ett av de inbyggda kontona, ett lokalt konto eller ett domänkonto. De flesta Windows-tjänsterna körs dock fortfarande i det lokala systemets sammanhang. Men även om vi abstraherar från detta, leder situationen när flera tjänster lanseras inom ramen för samma konto till att ett framgångsrikt hack av en tjänst, även utan administrativa rättigheter, öppnar potentiellt upp för angriparen alla andra resurser som det komprometterade tjänstkontot har åtkomst till.

I Windows Vista Flera mekanismer har dykt upp för att öka isoleringen av tjänster. Jag slutar vid två.
Den första mekanismen är en unik tjänstsäkerhetsidentifierare (Service SID). Detta SID genereras för varje tjänst genom att hasha tjänstens namn med hjälp av SHA-1-algoritmen. Prefixet S-1-5-80- läggs till resultatet. Du kan se SID för en tjänst genom att använda kommandot sc showsid, och ange tjänstens namn som en parameter (se figur 1).
Ris. 1

Du kan experimentera med till exempel tjänsten W32Time. För alla mappar på NTFS, i behörighetsinställningarna behöver du bara ange användarnamnet i formatet NT SERVICE\<имя службы>, i vårt fall NT SERVICE\w32time (se figur 2).

Ris. 2

Klicka på Kontrollera namn, sedan OK och se användaren (se fig. 3) som du kan tilldela rättigheter.

Ris. 3

Låt mig återigen betona att w32time inte är ett användarobjekt. Detta är ett SID, men i så fall kan det användas i ACL, både i grafiskt gränssnitt, både på kommandoraden och programmatiskt. Dessutom kan service-SID:n användas i Windows-inställningar Brandvägg, tillämpning av vissa regler på en specifik tjänst, eller mer exakt på en specifik tjänst SID.

Den andra förändringen som introducerades i Vista är en ny typ av säkerhetsidentifierare - Write Restricted SID. Om en tjänst är märkt med typen Write Restricted SID, läggs dess SID till sin egen åtkomsttoken i särskild lista– Begränsad SID-lista. När en sådan tjänst försöker skriva något till en fil ändras algoritmen för att kontrollera åtkomsträttigheter något. En tjänst kommer nämligen att kunna skriva till en fil endast om skrivbehörighet uttryckligen ges till SID för denna tjänst eller till gruppen Alla.
Till exempel är ServiceAccount1 för någon tjänst Service1 medlem i Group1. Grupp1 och bara den har skrivbehörighet till mapp1. Vad händer om tjänsten försöker ändra något i Folder1? I en normal situation kommer ServiceAccount1 att kunna skriva till mappen på grund av sitt medlemskap i Group1. Men om Service1 är märkt med ett skrivbegränsat SID, hanteras dess åtkomsttoken annorlunda och den kommer inte att kunna skriva något till mappen eftersom den inte uttryckligen ges skrivbehörighet, och inte heller ges alla denna rättighet.
Du kan se SID-typen med kommandot sc qsidtype (se figur 4).

Ris. 4

I synnerhet i fig. 4 ser du att tjänsten Windows brandvägg tillhör precis den nämnda typen. Naturligtvis introducerades denna typ för att ytterligare begränsa tjänstens möjligheter (förmågan att radera eller skriva över något) i händelse av framgångsrik hackning. Det bör också tilläggas denna mekanismär i första hand inte avsedd för systemadministratörer, utan för tjänsteutvecklare. Om de bara skulle använda det.

I Windows 7 och Windows Server 2008 R2-arbetet med serviceisolering fortsatte. Virtuella konton och hanterade tjänstkonton dök upp. Vad exakt är problemet? Vi måste isolera tjänster – låt oss skapa det nödvändiga antalet lokala (eller domän-) användarkonton. Varje kritisk tjänst har sitt eget konto. Ja, det är lösningen. Men för lokala tjänster som inte behöver nätverkstillgång till resurser måste du manuellt ställa in lösenord som är långa och komplexa. Och uppdatera dem manuellt med jämna mellanrum. Jo, eftersom vi är för säkerhets skull. För tjänster som måste få tillgång till resurser över nätverket i samband med domänkonton behöver du utöver detta även registrera ett Service Principal Name (SPN), unikt för varje tjänst. Det är inte bekvämt. Men besväret blir ett verkligt problem när tjänsten inte kan starta på grund av ett utgånget lösenord. Och administratören glömde helt enkelt att ändra lösenordet för det.

Så för lokala tjänster kan du använda virtuella konton. Ett virtuellt konto används endast för att köra en specifik tjänst, eller snarare för att skapa en säkerhetskontext för en specifik tjänst. Du hittar inte denna post bland användare i Datorhantering. Och ändå är detta ett konto, med sitt eget unika SID, med sin egen användarprofil. Därför kan du tilldela behörigheter till den och därigenom skilja åtkomsträttigheterna och tydligt kontrollera dem. Men samma sak som i fallet med lokalt system, lokal tjänst och nätverkstjänst operativ system tar över uppgifterna att hantera lösenord för virtuella konton. Vi isolerar de tjänster vi behöver, och vi behöver inte oroa oss för lösenord.

För att skapa en virtuell konto, måste du ange i tjänstinställningarna som ett konto: NT SERVICE\<имя службы>(se figur 5)

Ris. 5

Efter att ha startat tjänsten kommer det virtuella kontot att visas i Services-konsolen (fig. 6) och in Användarmappen du kommer att märka att en ny användarprofil dyker upp.
Ris. 6

Formatet är mycket likt ett tjänste-SID. Men låt mig betona att detta inte bara är ett extra unikt SID för en tjänst som i Vista, det är ett separat konto och följaktligen en annan nivå av isolering. Som standard används virtuella konton, till exempel för programpooler i IIS 7.5 i Windows Server 2008 R2. Man måste komma ihåg att virtuella konton är avsedda för lokal användning. Om en tjänst som körs inom ramen för ett virtuellt konto får åtkomst över nätverket, sker denna åtkomst på uppdrag av kontot för den dator där tjänsten körs. Om det är nödvändigt att tjänsten t.ex SQL Server, arbetade på nätverket för ett domänkontos räkning, så hjälper hanterade tjänstkonton här. Det finns dock fler finesser förknippade med dem, och deras övervägande ligger utanför ramen för detta inlägg. Du kan bekanta dig mer detaljerat med MSA

Skador på ett användarkonto är vanligt problem Windows. Problemet uppstår när du anger ett lösenord eller PIN-kod på låsskärmen och när du trycker på Retur får du felet "User Profile Service missly to log in. User Profile could not be load" i Windows 10 eller User Profile Service hindrar dig från att logga in i Windows 7. .

Löser problemet "User Profile Service kunde inte logga in" med hjälp av Registereditorn

Alternativ 1: Korrigera användarkontoprofilen

Ibland kan ditt konto skadas och detta hindrar dig från att komma åt filer i Windows 10. Låt oss gå till registerredigeraren på flera sätt, i säkert läge:

Steg 1. Tryck på kortkommandot " windows + R" för att anropa kommandot "kör" och ange kommandot regedit för att komma in i registret.

Steg 2. Följ sökvägen i fönstret som öppnas:

Steg 3. Du kommer att ha flera nycklar i parametern s-1-5. Du måste välja den längsta nyckeln med en lång rad nummer och ditt konto som har felet "Användarprofiltjänsten kunde inte logga in". Se till att sökvägen är korrekt, klicka på den långa tangenten så ska det stå ett namn i högerspalten, om du inte hittat det, bläddra sedan igenom alla långa tangenter tills du i högerspalten hittar din trasiga profil , i mitt fall ett konto .

Steg 4. Om du felaktigt bytt namn på användarprofilmappen C:\User\site för det berörda kontot, öppna sedan Explorer längs sökvägen C:\User\site och högerklicka på den trasiga profilen, välj Döp om och skriv in korrekt profilnamn (webbplats) manuellt. Efter byte av namn, gå tillbaka till mappen i registret och se till att namnet är skrivet som på bilden (steg 3) C:\User\site.

Se två alternativ, steg 6 och steg 7, beroende på vem du är

Steg 5. Nu kommer vi att göra två alternativ, om vi har en lång nyckel S-1-5-21-19949....-1001. bak(förlängning .bak i slutet) och med tvåan utan .bak de där. bara S-1-5-21-19949....-1001. Beroende på vem som har två eller en profil uppradad.

Steg 6. Det finns bara en nyckel i slutet av s.bak (S-1-5-21-19949....-1001.bak).

• A) Om du bara har en nyckel i slutet med .bak(S-1-5-21-19949....-1001.bak), högerklicka på den och klicka på byt namn. (se bilden nedan).

• B) Ta bort själva ordet med en prick .bak så att du bara får siffror. Fortsätt med steg 8. (se bild nedan)

Steg 7. Om du har två identiska nycklar, en utan .bak, den andra med .bak. (S-1-5-21-19949....-1001 och S-1-5-21-19949....-1001.bak) .

• A) I den vänstra rutan i registret högerklickar du på nyckeln utan .bak och lägg till en punkt, två bokstäver .bk(se bilden nedan).

• B) Högerklicka nu på tangenten med .bak, Välj Döp om och radera .bak med en prick. (se bilden nedan).

• B) Gå nu tillbaka och byt namn på den första nyckeln med .bk V .bak. Tryck på enter och fortsätt med steg 8.

Steg 8. Välj nyckeln som du döpte om utan .bak och från höger i kolumnen, dubbelklicka för att öppna parameterinställningarna och tilldela värdet 0. Om du inte har en sådan parameter, högerklicka på det tomma fältet med höger musknapp och skapa en DWORD ( 32-bitars), döp om den till RefCount och ställ in värdet till 0.

Steg 9. I det högra fältet väljer du nyckeln utan .bak och i parametern stat ställ in värdet till 0. Om det inte finns någon sådan parameter, klicka sedan på det tomma fältet till höger och klicka på skapa DWORD (32-bitars), byt namn på det till stat och ställ in värdet till 0.

Steg 10. Starta om din dator och felen "Användarprofiltjänsten kunde inte logga in" och "Kan inte ladda användarprofilen" i Windows 10 bör försvinna.

Alternativ 2: Ta bort och skapa en ny användarprofil för kontot

Det här alternativet tar bort din användarprofil, vilket gör att du förlorar alla dina kontoinställningar och anpassningar.

Steg 1. Om det finns ett annat administratörskonto som inte har ett fel, logga ut från det aktuella kontot (t.ex.: webbplats) och logga in på administratörskontot.

Om du inte har ett annat administratörskonto att logga in på kan du göra något av följande alternativ nedan för att aktivera det inbyggda administratörskontot att logga in på och gå vidare till steg 2 nedan.

• A). Starta in säkert läge, aktivera den inbyggda administratören, logga ut och logga in på administratören.
• B). Öppna fönstret kommandorad Vid uppstart, aktivera den inbyggda administratören, starta om datorn och logga in på administratör.

Steg 2. Do säkerhetskopia allt du inte vill förlora i profilmappen C:\Users\(användarnamn) (t.ex.: webbplats) för motsvarande användarkonto till en annan plats. När du är klar, ta bort mappen C:\Users\(användarnamn).

Steg 3. Klick windows knappar+R för att öppna dialogrutan Kör, skriv regedit och klicka på OK.

Steg 4. I Registereditorn, navigera till platsen nedan.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Steg 5. I den vänstra panelen i profillistan klickar du på den långa knappen som har ett kontofel. Profilen syns till höger.

Steg 6. Ta bort felprofiler med.bak och utan.bak. T.ex ( S-1-5-21-19949....-1001 och S-1-5-21-19949....-1001.bak)-radera.

Steg 7. Stäng Registereditorn och starta om din dator, varefter den automatiskt återskapar den nya användaren.

Låt oss lösa problemet "Det går inte att ladda användarprofil" på ett enkelt sätt

Metod 1. Den här metoden Det fungerar inte för alla, men det har hjälpt många. Försök att kopiera dina dokument i mappen (C:\Users\) till en annan plats för att skapa en säkerhetskopia för säkerhets skull. Vanligtvis uppstår problemet på grund av korruption av filen "NTUSER.DAT" som finns i mappen "C:\Users\Default". För att lösa detta problem måste du ersätta filen "NTUSER.DAT" med en annan profil. .

1. Logga in på systemet i felsäkert läge med ett profilkonto som fungerar.
2. Hitta filen (C:\Users\Default) "NTUSER.DAT" och byt namn på .DAT-tillägget till .OLD. Det ska vara (NTUSER.OLD).
3. Hitta filen "NTUSER.DAT" i arbetsprofilen som "Gäst", "Allmänt". Exempel (C:\Users\Gäst\NTUSER.DAT).
4. Kopiera den och klistra in den i standardmappen C:\Users\Default.
5. För att starta om en dator.

Du kan kopiera den här filen från en annan dator med samma version av Windows och klistra in den i ditt hem längs sökvägen C:\Users\Default.

Metod 2. Du kan prova att ersätta hela mappen "C:\Users\" från en annan dator.

• Ta en flash-enhet i FAT32-format och skriv mappen C:\Users\ till den från en annan dator och överför den till din dator.

Om någon vet hur man annars åtgärdar felet, "Användarprofiltjänsten hindrar dig från att logga in" med en annan metod, skriv sedan i formuläret "rapportera ett fel".

Problem relaterade till korruption av användarprofiler är bland de vanligaste, vanligtvis tillsammans med meddelandena "Kan inte logga in på ditt konto" och "Du är inloggad med en tillfällig profil." Därför beslutade vi idag att berätta hur användarprofilen är uppbyggd, vad som kan leda till dess skada och vilka metoder som kan användas för att återställa normal drift av systemet.

Låt oss börja med symptomen, det första tecknet på att något har gått fel är inskriptionen Förbereder Windows på välkomstskärmen istället Välkommen.

Då blir du "glad" av ett meddelande "Kan inte logga in på ditt konto" med alternativ för att gå in igen och fortsätta arbeta.

Om vi ​​stänger det här fönstret kommer vi att se ett annat meddelande som kastar lite ljus över vad som händer "Du är inloggad med en tillfällig profil".

Om profilen är tillfällig visar det sig att den permanenta användarprofilen av någon anledning inte kunde laddas. Låt oss därför inte ryckas med, utan försök ta reda på vad en användarprofil är, vilken data den innehåller och vad som kan vara orsaken till omöjligheten att ladda den.

Till en allra första uppskattning är användarprofilen innehållet i katalogen C:\Användare\Namn, Var namn- användarnamn, där kommer vi att se mappar som är bekanta för alla Skrivbord, dokument, nedladdningar, musik etc., och även dold mapp Applikationsdata.

Allt är klart med den synliga delen av profilen - detta standardmappar för att tillgodose användardata kan vi förresten säkert omfördela dem till vilken annan plats som helst. På senare tid Windows-versioner Du kan till och med tilldela om skrivbordet.

Detta är ganska bekvämt och motiverat, med tanke på hur mycket grejer användare har på sina stationära datorer, och samma SSD-enheter är långt ifrån gummiaktiga. Men det är inte vad vi pratar om; det som är dolt för den genomsnittliga användarens ögon är mycket mer intressant.

Mapp Applikationsdata utformad för att lagra inställningar och användardata installerade program och innehåller i sin tur ytterligare tre mappar: Local, LocalLow Och Roaming.

Låt oss titta på dem mer i detalj:

• Roaming- detta är ett "ljus" och, som namnet antyder, en rörlig del av profilen. Den innehåller alla grundläggande inställningar för program och användarens arbetsmiljö; om roamingprofiler används i nätverket kopieras dess innehåll till en delad resurs och läses sedan in på valfri arbetsstation, där användaren är inloggad.
• Lokal- den "tunga" delen av profilen, innehåller cache, temporära filer och andra inställningar som endast gäller för den aktuella datorn. Den kan nå betydande storlekar och rör sig inte över nätverket.
• LocalLow- lokal data med låg integritet. I I detta fall vi har återigen en misslyckad översättning av termen låg integritetsnivå, i själva verket är integritetsnivåer en annan säkerhetsmekanism. Utan att gå in på detaljer kan vi säga att systemdata och processer har hög integritet, standardintegritet - för användaren och låg integritet - för potentiellt farliga. Om vi ​​tittar in i den här mappen kommer vi att se data relaterade till webbläsare, flash-spelare, etc. Logiken här är enkel - i händelse av en nödsituation eller attack kommer processer som körs från den här mappen inte att ha tillgång till användardata.

Nu är det dags att tänka, skada på vilken av de angivna uppgifterna som kan leda till problem med att ladda profilen? Förmodligen ingen. Därför måste det finnas något annat i profilen. Naturligtvis är det det, och om vi tittar noga på skärmdumpen av användarens profil ovan kommer vi att se en fil där NTUSER.DAT. Om du slår på displayen skyddad systemfiler , då kommer vi att se en hel uppsättning filer med liknande namn.

Nu kommer vi till saken. I fil NTUSER.DAT det finns en registerfilial HKEY_CURRENT_USER för varje användare. Och det är korruptionen i registergrenen som gör det omöjligt att ladda användarprofilen. Men allt är inte så illa som det kan verka vid första anblicken. Registret är ganska väl skyddat från möjliga fel.

Filer ntuser.dat.LOG innehåller en logg över registerändringar sedan den senaste lyckade uppstarten, vilket gör det möjligt att återställa om några problem uppstår. Filer med tillägget regtrans-msär en transaktionslogg, som gör att du kan upprätthålla en registergren i en konsekvent form i händelse av ett plötsligt stopp medan du gör ändringar i registret. I det här fallet kommer alla pågående transaktioner att återställas automatiskt.

Filerna är av minst intresse blf- det här är en tidning Reserv exemplar registergrenar, till exempel med ett standardverktyg Systemåterställning.

Efter att ha tagit reda på vad användarprofilen består av och skador på vilken del av den som gör det omöjligt att starta, kommer vi att överväga sätt att återställa systemet.

Metod 1: Åtgärda problemet i användarprofilen

Först och främst, om du har problem med att logga in på ditt konto, bör du kontrollera systemvolymen för fel; för att göra detta, starta in i återställningskonsolen eller Windows-miljö PE och kör kommandot:

Chkdsk c: /f

I vissa fall kan detta vara tillräckligt, men vi kommer att överväga det värsta scenariot. Efter att ha kontrollerat disken, starta upp i systemet och öppna registerredigeraren, gå till filialen

Till vänster ser vi ett antal avsnitt med typnamnet S-1-5 och en lång svans som motsvarar användarprofiler. För att avgöra vilken profil som tillhör vilken användare, var uppmärksam på nyckeln ProfileImagePath till höger:

Så den önskade profilen har hittats, nu tittar vi igen på trädet till vänster, som ska innehålla två grenar, varav en slutar bak.

Nu är vår uppgift att byta namn på huvudprofilen till bak, A bak i den huvudsakliga. För att göra detta, lägg till valfri tillägg till huvudprofilen, säg .ba, byt sedan namn på säkerhetskopieringsprofilen till den huvudsakliga, och ta bort från dess namn .bak och byt namn igen ba V bak.

Förresten, det kan finnas situationer där det bara finns en filial för ditt konto bak, i det här fallet är det bara att ta bort förlängningen.

Sedan hittar vi två nycklar i den nya huvudprofilen RefCount Och stat och ställ båda värdena till noll.

Låt oss starta om. I de flesta fall, om profilen inte är allvarligt skadad, kommer dessa steg att leda till framgång, annars går du vidare till metod 2.

Metod 2. Skapa en ny profil och kopiera användardata dit

I det här fallet rekommenderar officiell Microsoft-dokumentation att du skapar ett nytt konto och kopierar dina profildata dit. Men detta tillvägagångssätt ger upphov till ett helt lager av problem, eftersom Ny användare- detta är ett nytt säkerhetsämne, och därför får vi omedelbart problem med åtkomsträttigheter; dessutom måste vi återansluta alla nätverkskonton, återimportera personliga certifikat och export-importera e-post (om du använder Outlook) . I allmän underhållning tillräckligt och det är inte ett faktum att alla problem kan övervinnas framgångsrikt.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

och radera alla grenar relaterade till din profil. Låt oss starta om.

Windows kommer då att skapa en ny profil för ditt konto, precis som om du loggar in för första gången. detta system. Men din säkerhetsidentifierare (SID) kommer att förbli oförändrad, du kommer återigen att vara ägare till alla dina egna objekt, certifikat, etc., etc.

För ytterligare åtgärder du behöver ett annat konto med administratörsrättigheter, låt oss skapa det, i vårt fall är detta kontot temp.

Sedan loggar vi ut från vårt huvudkonto (eller startar om) och loggar in på vårt sekundära konto. Vår uppgift är att kopiera allt innehåll i den gamla profilmappen, förutom NTUSER-filerna, till den nya mappen. För dessa ändamål är det bättre att använda filhanterare (Total befälhavare, Far, etc.) körs med administratörsrättigheter.

I slutet av kopieringsprocessen loggar du in på ditt konto igen och kontrollerar hur kontot fungerar. Alla data och inställningar bör vara på plats igen. Men skynda dig inte att ta bort den gamla mappen och ytterligare kontot, vissa data kan behöva överföras igen. Detta kan bero på det faktum att vissa program som lagrar inställningar i den skadade registergrenen kan besluta att ny installation och skriv över de överförda filerna, i det här fallet räcker det att selektivt kopiera nödvändiga data.

Efter att du har arbetat med systemet en tid och är säker på att allt är på plats och fungerar som det ska, kan du radera den gamla mappen och ytterligare kontot.

• Taggar:

Snälla du aktivera JavaScript att se