Администраторы Windows ХР имеют возможность управлять учетными записями при помощи инструментов, количество которых равно четырем. Такое разнообразие способно привести в некоторое замешательство и даже вызвать чувство легкой растерянности: неужто дядюшка Билл решил нас баловать?

В принципе, ничем, кроме баловства, инструмент "Учетные записи пользователей" (вызывается командой control userpasswords) назвать нельзя. Пожалуй, единственное, для чего он действительно может пригодиться, так это для смены пользовательской картинки.

Вторая одноименная утилита "Учетные записи пользователей" (запускается командой control userpasswords2) имеет чуть более серьезный набор функций, из которых интерес представляет только одна - конфигурирование автоматической регистрации. Эта возможность недоступна из других утилит и позволяет системе после загрузки самостоятельно входить под учетной записью выбранного пользователя.

Наиболее богатый в плане возможностей инструмент "Локальные пользователи и группы" (lusrmgr.msc) и утилиты командной строки, так называемые net-команды (net user и net localgroup).

А теперь о безопасности. Уязвимым местом любой системы являются "забытые" пользовательские учетные записи. Поэтому при необходимости их следует отключать. Можно и удалять, но при этом стоит помнить, что после удаления учетной записи ее применение станет невозможным. Восстановить доступ к закодированным средствами XP файлам, персональным сертификатам путем повторного создания этой записи не удастся. Причина заключается в том, что права доступа связаны с исходным идентификатором безопасности (SID) учетной записи. В результате пересоздания учетной записи, даже если будет установлен тот же пароль, генерируется новый SID. Поэтому права у первой и второй записи будут различны. Так что без веских на то причин неиспользуемые записи лучше всего лишь отключать. С использованием net-команды это делается абсолютно без лишних движений, в консоли пишется: net user имя_пользователя /active:no.

Весьма желательно придерживаться общепринятой тактики, согласно которой повседневная работа производится с правами группы Power Users, а административная учетная запись применяется лишь при установке программ. В этом случае альтернативой процессу отключения и последующей перерегистрации с правами администратора может быть возможность запуска программ от имени другого пользователя (в контекстном меню пункт "Запустить от имени").

Полезно скрывать информацию, содержащуюся в журналах событий, от неблагонадежных пользователей, принадлежащих к группе безопасности Guests. Контролируется это ключом RestrictGuestAccess в реестре по адресу HKLM\System\Current ControlSet\Services\Eventlog. В каждом из трех подразделов (Application, Security, System) ключ RestrictGuestAccess типа dword должен быть равен 1.

Защита информации об учетных записях

Диспетчер Security Accounts Manager (SAM) поддерживает в системном реестре информацию о пароле учетной записи. В качестве усиления защиты базы данных SAM была разработана утилита Syskey, появившаяся в версии Windows NT 4 Service Pack 3. Утилита, о которой мы ведем речь, по умолчанию активизирована в Windows XP/2000; используя несколько уровней кодирования, она защищает информацию учетной записи, сохраняемую в базе данных SAM. Данные о пароле пользователя кодируются Syskey при помощи ключа шифрования, присущего учетной записи данного пользователя. А затем, после нескольких этапов кодирования, все шифруется так называемым стартовым ключом (по умолчанию случайным образом генерируется компьютером). В результате использования Syskey даже при краже базы SAM взломать ее почти невозможно. Правда, при наличии физического доступа к компьютеру эта задача становится более реальной, потому для обеспечения очень высокого уровня надежности стартовый ключ следует хранить отдельно от компьютера. В этом случае перед началом регистрации потребуется воспользоваться дискетой, на которой записан стартовый ключ, или собственной памятью, то есть ввести его вручную. Если ключ верный, произойдет разблокирование базы данных и отображение регистрационного экрана.

Для работы с утилитой в командной строке меню "Пуск" введите syskey и нажмите "Обновить". Далее выбирайте один из трех вариантов защиты. Только будьте осторожны - забывшим пароль для Syskey уже ничего не поможет...

Работа с паролями

Допустимая длина пароля в Windows XP/2000 может достигать 127 символов (в NT существовал предел, равный 14 символам).

В ХР учетные записи, снабженные пустыми паролями, могут применяться только для локальной регистрации. С ними ОС не разрешает выполнять следующие действия: регистрироваться через сеть, работать с удаленным рабочим столом, запускать программы от имени другого пользователя.

Проблема забытых паролей иногда решается путем изменения утерянного пароля на новый. Однако при этом пользователь лишается персональных сертификатов, при помощи которых осуществляется доступ к закодированным файлам или электронным сообщениям, зашифрованным с помощью пользовательского электронного ключа. Происходит это из-за того, что при обработке информации подобного рода применяется специальный мастер-ключ, с помощью которого можно разблокировать сертификаты персонального шифрования. Если пароль был изменен, мастер-ключ будет недоступен. Для возобновления доступа к мастер-ключу придется возвращаться к старому паролю.

Если изменение пароля происходит при помощи одной из встроенных утилит, то Windows применит старый пароль для декодирования мастер-ключа, а последующее кодирование мастер-ключа уже будет происходить с применением нового пароля. Благодаря этому закодированные файлы и электронные сообщения останутся доступными.

Автоматическая регистрация

Управлять этим процессом можно средствами утилиты "Учетные записи пользователей" (в меню "Пуск" команда control userpasswords2), которая была упомянута выше. Чтобы выполнялся автоматический вход в систему, для одного из перечисленных в окошке имен пользователей нужно убрать флажок "Требовать ввод имени пользователя и пароля".

Также есть возможность конфигурировать автоматическую регистрацию через реестр, но в этом случае страдает безопасность. В публикациях Microsoft подтверждается, что при ручной конфигурации данного процесса через реестр создается строковое значение DefaultPassword, в котором хранится пароль для загружаемой по умолчанию учетной записи, причем хранится он в виде простого текста. А вот если используется утилита "Учетные записи пользователей", пароль хранится в закодированном виде в ключе HKLM\Security\Policy\Secrets\DefaultPassword.

Предотвратить автоматическую регистрацию можно, удерживая клавишу Shift во время загрузки.

Дмитрий БАРДИЯН

Советы и секреты

Для отмены автоматического входа в систему следует придерживать клавишу Shift. Если требуется исключить влияние Shift во время загрузки, добавьте в HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon строковое значение IgnoreShiftOverride в 1.

Блокировать учетную запись после определенного количества попыток ввода неправильного пароля можно, запустив оснастку secpol.msc и проследовав в "Политики учетных записей" > "Политика блокировки учетной записи", где следует установить параметр "Пороговое значение блокировки".