13.1.16

פריצת סיסמה של יוזר

כל הסיסמאות של המשתמשים  נשמרות בקובץ בשם sam (windows/sistem32/con fig) קובץ בינארי וכן לא ניתן לגשת אילו בזמן המערכת עובדת הדרך היחידה היא להיכנס דרך הBOOT

Ø      change active password תוכנה מאפסת את הסיסמה של המשתמש ומאפשר יצירת סיסמה חדשה – הבעיה היא שהמשתמש יידע שמישהו נכנס למחשב כיון שהסיסמה שונתה

Ø      Kon-boot – תוכנה נכנסת בין הזיכרון לram  ובעת טעינת הקובץ הוא לוכד אותו ומוחק את הסיסמה וטוען לram  את הקובץ ללא סיסמאות ומאפשר כניסה למערכת ללא הקשת סיסמה. אבל הקובץ בזיכרון לא משתנה ולכן בטעינה הבאה שהמשתמש יעלה את המערכת ייטען הקובץ תקין וידרוש סיסמה והמשתמש לא יידע שמישהו נכנס 
פורסם על ידי ב- אין תגובות:

יצירת משתמש נסתר

מכיוון שבמידה ויש למשתמש שם מלא המערכת תציג את השם המלא ניתן ליצור משתמש נסתר באמצעות הדרך הבאה יצירת משתמש בשם אבי + שם מלא משה + סיסמה > יצירת משתמש בשם רגיל\אורח בשם משה + סיסמה (שונה מאבי)
יוצא שהמערכת תציג פעמיים "משה"
כנס לגדרות כניסה (לפי ההסבר בפוסט הקודם) > שנה את להגדרה שחייבים להקליד שם משתמש וסיסמה

בעת הכניסה צריך להקיש שם משתמש – הזן משה ולפי הסיסמה המערכת תפתח את המשתמש המתאים בראשון תעשה מה שאתה רוצה ובמידה ויבקשו ממך לפתוח את המחשב ולראות מה יש שם תפתח את השני 
פורסם על ידי ב- אין תגובות:

ניהול משתמשים - הגדרות מתקדמות WIN7


  Group Policy– ניהול מדיניות

החל מווינדוס וויסטה ההגדרות המתקדמות נמצאות בממשק לניהול המחשב המכונה GPO (בגרסאות עסקיות)ההגדרות מתחלקות ל2 נושאים USER – COMPUTER הגדרות משתמשים - הגדרות מערכת. 
  • הגדרות נמצאות תחת מספר קטגוריות שונות 
  • כניסה באמצעות  WIN +R > Gpedit.msc 

  
Ø      כל מה שמגדירים חל על כל המשתמשים במערכת כולל המנהל
Ø      גם לאחר שמירה ההגדרות לא נשמרות בצורה אוטומטית וצריך להריץ את פקודה  Gpuptate ע"מ שישמר  (מתגים לפקודה בהמשך)

 login  - הגדרות כניסה - ההגדרות כניסה שהובאו למעלה בXP  (Admunustrative tmplates > system > login)
      ·         Hide entry points for Fast User Switching – האם להציג את האפשרות להחלפת משתמשים
      ·         Always use classic logon – האם להשתמש בכניסה קלאסית (עם תמונות המשתמשים)
      ·         Show first sign-in animation – האם להראות את השם של המשתמש האחרון שנכנס למערכת                הגדרה זו תלויה במדיניות "לא להציג שם משתמש בחלון הכניסה"

account policy – מדיניות חשבון (settings windows > security settings)
Password policy- מדיניות סיסמה
·         Enforce password history – כמה סיסמאות ישנות לזכור ע"מ למנוע מהמשתמש לבחור סיסמה ישנה
·         Mximum Password age – לכמה ימים הסיסמה תקיפה
·         Minimum Password age  - מינימום ימים לסיסמה – לאחר סיום ימי המינימום מתקבלת הודעה למשתמש שנשאר X ימים להחלפת הסיסמה והאם ברצונו להחליף (לא ניתן לקבוע יותר ימים ממה שמוגדר ב Mximum) ממולץ לתת למשתמש כמה ימים לפני הסיום של הסיסמה התראה שצריך להחליף
·         Minimum – מינימום של תווים לסיסמה  (0 = סיסמה איננה חובה)
·         Password must meet complexity requirements – האם הסיסמה תהיה חייבת להיות מורכבת משלושה או יותר אלמנטים  מספרות\ אותיות קטנות\ גדולות תווים מיוחדים 
·         Store passwords…  לשמור את הסיסמה בהצפנה כפולה  >> ניתן גם לבצע את הפעולה באמצעות ממשק גרפי > WIN +R >> syskey.exe
account lockout policy – מדיניות השבתת חשבון
·         Reset account lockout counter afer לכמה זמן לנעול את המערכת אחרי כשל בכניסה (0 = רק מנהל יכול לפתוח)
·         Account lockout threshold – מה מספר הניסיונות כניסה הכושלים שלאחר מיכן החשבון ינעל
·         account lockout duration – מה הטווח של הזמן לספירם כשלים שלאחריו יתאפס המונה לספירה חדשה (לדוג' 2 טעויות ולאחר חצי שעה כניסה שגויה נוספת)
נ.ב  לאחר מספר הניסיונות המותרים החשבון ננעל  - שדה בהגדרות המשתמש locaed יסומן


Security options  - מדיניות אבטחה  (settings windows > security settings >local policies )
·         Rename Administrator /guest account - בכל מחשב יש משתמש בשם   Administrator ו guest ולכן שמישהו ירצה לפרוץ הוא ינסה תמיד להתחיל עם השמות האלה ומה שנשאר זה רק לנחש את הסיסמה לכן בשביל לאבטח את המחשב נשנה את שמות המשתמשים
·         Interactive logon: Machine account lockout threshold – כמה אפשריות טעות לתת למשתמש עד לחסימה 
·         Interactive logon: Message text for users attempting to log on - רישום הודעה למשתמשים שתופיע לפני החלון של המשתמשים
·         Prompt user to change password before expiration - להודיע למשתמש שעוד X ימים צריך להחליף סיסמה (ללא אפשרות החלפה)
·         Interactive logon: Do not require CTRL+ALT+DEL - מחייב את המשתמש להקיש את צירוף המקשים הזה לפני המסך login - מה שמונע כניסה למשב מרחוק כיוון שהצירוף מקשים הזה ישפיע על המחשב המקומי ולא על המרוחק


 מתגים לGPO
·         Target תעדכן רק את המדיניות מחשב או רק משתמש  (לעדכן איפה שביצענו שינויים ע"מ לחסוך זמן)
·         gpupdate - Force לבד עובר בין המדיניות שיש כרגע לבין מה ששונה ומוריד את שינויים – איפה שלא שונה הוא לא נוגע מתג Force =  עובר על הכל מההתחלה עד הסוף עובר ומוריד את המדיניות כולה (גם מה שלא שונה הוא מטעין מחדש)
·         Wait – לאחר X שניות תסיים את הפעולה – כשיש בלוק הגדרות גדול ייקח זמן רב לעדכן ובניתים לא ניתן לבצע פעולות בCMD המתג Wait מאפשר להגדיר שלאחרX  שניות   הוא ישחרר את החלון (התהליך ממשיך בתהליך ניסתר)
·         boot – החלת השינויים תתבצע ע"י כיבוי המחשב וטעינה מחודשת של כל ההגדרות בשימוש בד"כ לאחר שינויים בcomputer  
·         Logoff – החלת השינויים תתבצע ע"י הכרחת המשתמש לצאת מחשבון והמערכת תטען את החשבון מחדש עם ההגדרות החדשות  – בשימוש בד"כ לאחר שינויים בUSER

·         Sync – כשמפעילים את המערכת נטענים הקבצים\ הגדרות ובניהם הגדרות של GPO לאחר שבוחרים משתמש נטענים התיקיות וההגדרות של השולחן עבודה וכן ההגדרות GPO – ניתן באמצעות המתג Sync להגדיר האם המערכת תטעין את כל ההגדרות ורק לאחר מיכן תאפשר למשתמש גישה לשולחן עבודה או שתעלה את השולחן עבודה ובמקביל ממשיך לטעון ברקע את ההגדרות. בארגונים גדולים שיש בלוק הגדרות גדול זה יכול מאוד לשנות האם הכניסה למערכת תהיה מהירה או איטית 
פורסם על ידי ב- אין תגובות:

הגדרות מתקדמות בניהול משתמשים

הגדרות מתקדמות בניהול משתמשים XP (ביתי ועסקי)
כניסה אוטומטית למחשב
בחלון Control userpasswords2   קיימת הגדרה בשם "משתמשים צריכים להזין שם משתמש וסיסמה כדי להתחבר למחשב"  - כשמסמנים משתמש ומורידים את הסימון מההגדרה הזאת המערכת תעלה בכל פעם ישירות למשתמש הנ"ל ללא עצירה בחלון ברוכים הבאים
בביוס יש אפשרות להגדיר שהמחשב תמיד יידלק וכך גם אם היה הפסקת חשמל הוא ידלק מעצמו שהחשמל יחזור ומעצמו יכנס למערכת


חסימת החלפת משתמשים
כשמחליפים יוזרים ישנם תהליכים משותפים מה שגורם פרצה לאבטחת מידע ההגדרה ההגדרה הבאה use fast user switching   אומרת שלא יהיה ניתן להחליף יוזרים אלא צריך לצאת מאחד ואז להיכנס לשני


שינוי מסך הפתיחה
במצב רגיל המערכת מציגה את כל המשתמשים הקיימים ההגדרה   use the welcome screen  גורמת להסתרת המשתמשים ע"מ למנוע מצב שמישהו רואה את השם משתמש ומה שנשאר לו זה רק לפצח את הסיסמה – לאחר השינוי יוצג חלון להזנת שם משתמש וסיסמה  
הערה -  הגדרה זו גורמת גם להגדרה הקודמת לחול 



הערה - למנהל לא מוגדרת סיסמה בXP הוא היה זמין אך לא הופיע בכניסה ומוויסטה והלאה הוא גם אינו זמין  לכן אם רוצים להתחבר למערכת כמנהל בXP משנים את ההגדרה הקודמת ע"מ שיהיה ניתן להזין שם משתמש > יוצאים מהמערכת ונכנסים כ administrator  
פורסם על ידי ב- אין תגובות:

חשבונות משתמשים \ קבוצות

ישנם ארבעה אפשריות לניהול חשבונות המשתמשים
      1     לוח בקרה > ניהול משתמשים  (קיצור - netplwiz)
      2    ממשק ניהול – חיפוש > Control userpasswords2 (עם אפשריות יותר מתקדמות מהקודם)
      3     בחלון ניהול המחשב – למשתמשים עסקיים בלבד-
      4     שורת פקודה

מתגים
         ·         Net user  - יציג את כל המשתמשים כולל הפרטים
         ·         Net user xxx – יציג פרטים מורחבים על המשתמש
         ·         ADD הוספת משתמש  - דוג' Net user /add "xxx" 1234     - יוסיף שם משתמש בשם XXX עם הסיסמה 1234 (ניתן                    ליצור בלי  סיסמה) מה שמופיע אחרי הרווח מזוהה כסיסמה לכן אם רוצים שם משתמש  שמורכב מ2 שמות עם רווח (לא מומלץ) צריך לתחום את השם במרכאות    
        ·         123 Net user xxx ישנה את הסיסמה של המשתמש
        ·         Fullname – שם מלא
        ·         LOGONPASSWORDCHG  - מחייב את המשתמש לשנות סיסמה בכניסה הבאה
        ·         PASSWORDCHG – המשתמש לא יוכל לשנות את הסיסמה (ממולץ ביוזר שמשתמשים בו כמה משתמשים)
        ·         ACTIVE: NO – משתמש זמין\לא זמין – משתמש לא זמין לא יופיע בכניסה למערכת
        ·         PROFILEPATH[:path] באיזה מיקום לשמור את התיקייה של המשתמש

  •  יצירת משתמש לזמן מוגבל
   net user avi  1234  /expires:08/26/2016

/times הגבלת המשתמש לימים\שעות ספציפיות – ההגדרה היא לפי שעות עגולות.(24 או לפי 12 עם הוספת am/pm)  לימים ניתן להשתמש בקיצור (M,T,W,Th,F,Sa,Su)


דוג' - /time:M-T,08:00-17:00   המשתמש יוכל לעבוד ראשון עד חמישי בשעות 8-5


/time:M-T,08:00-17:00;F,8:00-13:00   - בנוסף לקודם יוכל לעבוד גם בשישי


 


רוצים לדעת מי המשתמש האחרון שהיה מחובר ומתי הייתה הכניסה הפקודה הבאת תדווח


net user administrator | findstr /B /C:"Last logon"
 






הערות
o        בארגונים גדולים לא מומלץ ליצור שם משתמש עם רווח אלא לעשות _ בין המילים
o        שם משתמש יכול להכיל עד 20 תווים – .  סיסמה 128 תווים
o        כשיש שם משתמש + שם מלא השם שיוצג בכניסה זה שם מלא


חשוב לדעת !!! לא לשנות סיסמה דרך ממשק הניהול אלא דרך לוח בקרה או שורת פקודה מכיוון שדברים יכולים להיפגע כמו לדו' מפתחות הצפנה 






קבוצות
כל משתמש משויך לקבוצה במערכת ומקבל את ההרשאות לפי הקבוצה. במערכת ישנם קבוצות מובנות
Administrator - מנהל– הרשאה מלאה – היוזר הכי גבוהה במשתמש קצה
backup - הרשאת היא החשובה ביותר אחרי מנהל מכיוון שאומנם שהוא לא יכול להתקין תוכנות אבל הוא יכול לקחת כל קובץ מערכת לשנות וטעון מחדש בצורה של גיבוי וככה לשנות הגדרות במערכת
power user - משתמש כוח– בין מנהל ל Users - יכול ליצור משתמש (עד הרמה שלו) וכן להתקין דברים
Users – משתמש רגיל יכול להתקין תוכנות ולשנות הגדרות אך לא לבצע שינויים בהגדרות המערכת
guests – משתמש אורח עם הרשאות מוגבלות לדוג' לא יכול להתקין דברים




Ø      במשתמש קצה לא ניתן ליצור קבוצות חדשות  בשרתים ניתן ליצור קבוצות ולהגדיר להם את ההרשאות

Ø      במערכות משתמש קצה רק משתמש אחד יכול לעבוד בכל רגע נתון על המערכת
Ø      במערכות שרתים כמה משתמשים יכולים להשתמש במערכת יחדיו


בכל ווינדוס נוצרים אוטומטית בעת התקנת המערכת 2 המשתמשים הבאים Administrator guests
Administrator בXP הוא זמין אך לא יופיע בעת כניסה למערכת בוויסטה ומעלה אינו זמין




מיקום תיקיות עיקריות של המשתמשים
כל זמן שהיוזר לא הופעל לא נוצרת תיקייה!

הערה – כל התיקיות של XP מופיעות גם בWIN7 כתיקיות צומת

פעולה / מערכת
XP
WIN 7
תיקיית המשתמש
documents and sattings
USERS
לתיקיית המשתמש %userprofile%
תבנית המשתמש
default user
Default
הגדרות משתמשים
ALL user
ProgramData
קבצים של תוכנות
Program fies
Program fies
קבצי הגדרות של תוכנות
User Profil
AppData > roaming
פתיחת ישום בעת כניסה ליוזר
Startup  
Programdata >Microsoft >windows \start menu
תיקיית משתמש עיקרית
appdata  
% LOCALAPPDATA%  - Local
% APPDATA% -  Roaming
מסמכים אחרונים

Recent
הכתובות של האתרים שגלשו בהם
Histori  
Histori  
קבצי מטמון תכנים של הדף טקסט\תמונות \נתונים

Tampporary internet files



·         תבנית משתמש – כל יוזר בהתחברות הראשונה מקבל סביבת עבודה (תיקיות\תוכנות בשולחן עבודה –תפריט התחלה) מתוך תבנית קבועה – ניתן להוסיף \ למחוק – משפיע רק על משתמשים חדשים

·         ALL user   מכיל את הנתונים העיקריים של המשתמשים הישנים וכן ניתן להוסיף (רק מנהל) נתונים למשתמש קיים

הערה - מה שמופיע בתיקיית default המשתמש יכול למחוק לעומת זאת מה שב ALL המשתמש לא יכול מכיוון שזה בתיקייה שאין לו גישה לשם  -לעומת זאת כשמנהל מוחק אצלו זה ימחק אצל כולם וכן המנהל יכול להוסיף שם דברים יופיעו לכל המשתמשים


·         כשמתקינים תוכנה הקבצים של התוכנה (מנוע) נשמר בpf  וההגדרות עבור המשתמש נשמר בUser Profil \ roaming ולכן כשיש בעיה במערכת לא חייבים להסיר ולהתקין אלא ניתן להסיר את קובץ ההגדרות בתיקיית המשתמש וכשתפעיל את התוכנה המערכת מתאפסת להגדרות של ההתקנה

חשוב לדעת  – לעולם לא מוחקים תיקיית הגדרות כיון שאולי נרצה לחזור אליה ולכן תמיד משנים את השם ומוסיפים בסוף OLD  

Ø      גישה מהירה לתיקיית המשתמש \משתמשים  > מקש ימיני על כפתור התחל > פתח
Ø      עריכת ההגדרות של כפתור התחל > מקש ימיני על כפתור התחל


פורסם על ידי ב- אין תגובות:
הירשם ל- רשומות (Atom)