Nesen pētnieku grupa aprakstīja scenāriju, kurā paroles atkopšanas jautājumi tika izmantoti, lai ielauztos Windows 10 datoros. Tas ir novedis pie tā, ka daži ierosināja šo funkciju atspējot. Bet jums tas nav jādara, ja esat mājas datora lietotājs.
Tātad, kas šeit notiek?
Kā Ars Technica Vispirms tika ziņots, ka Windows 10 pagājušajā gadā ir pievienojusi iespēju iestatīt paroles atkopšanas jautājumus vietējos kontos. Drošības pētnieki to iedziļinājās un atklāja, ka biznesa tīklā tas var radīt potenciālu ievainojamību.
Tūlīt jūs varat pamanīt divus svarīgus punktus:
Pirmkārt, viss scenārijs ir balstīts uz datoriem, kas ir pievienoti domēna tīklam — tādam, kādu jūs varat atrast biznesa tīklā ar pārvaldītiem datoriem.
Otrkārt, ievainojamība attiecas uz vietējiem kontiem. Tas ir īpaši interesanti, jo, ja jūsu dators ir daļa no domēna, jūs gandrīz noteikti izmantojat centralizētu domēna lietotāja kontu, nevis vietējo kontu. Un drošības jautājumi pēc noklusējuma nav atļauti domēna kontos.
Ir arī trešais punkts, kas ir vēl svarīgāks. Tas viss prasa, lai ļaundaris vispirms iegūtu administratora līmeņa piekļuvi tīklam. Pēc tam viņi varētu identificēt tīklam pievienotās mašīnas, kurām joprojām ir vietējie konti, un pēc tam pievienot šiem kontiem drošības jautājumus.
Kāpēc uztraukties?
Ideja ir tāda, ka, ja administratori atklāj un atsauc ļaunprātīgā dalībnieka piekļuvi, pēc tam mainot visas paroles, aktieris teorētiski varētu atgriezties tīklā pie šīm iekārtām un izmantot savus pielāgotos jautājumus, lai atiestatītu šīs paroles un atgūtu pilnu piekļuvi. .
Pētnieki ierosināja, ka viņi varētu izmantot arī jaukšanas rīku, lai noteiktu iepriekšējo paroli, un pēc tam atjaunot veco paroli, lai slēptu piekļuvi. Problēma ir tāda, ka lielākā daļa domēnu tīklu pēc noklusējuma neatļauj atkārtoti izmantotas paroles.
Kad Ars Technica lūdza Microsoft komentārus, atbilde bija īsa:
Lai izmantotu aprakstīto paņēmienu, uzbrucējam jau ir jābūt administratora piekļuvei
Lai gan sākumā tas varētu šķist stulbi, Microsoft teiktais ir pareizi, un tas mūs noved pie lietas patiesās būtības. Tiklīdz ļaunprātīgam dalībniekam ir administratīvā līmeņa piekļuve tīklam, iespējamie bojājumi un uzbrukuma iespējas pārsniedz vienkāršus paroles atiestatīšanas trikus. Un, ja tīkls ir pietiekami stabils, lai neļautu ļaunprātīgajam dalībniekam kādreiz iegūt administratīvu līmeni, tad tas viss ir strīdīgs.
Tātad galu galā mūsu ļaunprātīgajam uzbrucējam būs jāiegūst administratora līmeņa piekļuve biznesa tīklam, kurā tiek izmantots Windows domēns, jāatrod datori, kuros varētu būt lokālie konti, un pēc tam jāizveido drošības jautājumi, lai viņi varētu atgriezties tajos. datoriem, ja tie tiek atklāti un bloķēti. Un mums par to vajadzētu uztraukties, kad viņu administratora līmeņa piekļuve viņiem jau tagad ļauj nodarīt daudz vairāk ļauna.
Sapratu. Tātad, vai tas attiecas uz mani?
Ja mājās izmantojat Windows 10 datoru, īsā atbilde gandrīz noteikti nav. Un lūk, kāpēc:
Jūsu mājas dators, visticamāk, nav pievienots domēnam.
Pat ja tā būtu, jums ir jāizmanto vietējais konts, un lielākā daļa lietotāju operētājsistēmā Windows 10, iespējams, izmanto Microsoft kontu, lai pierakstītos. Tas ir tāpēc, ka sistēmai Windows 10 ir nepieciešams Microsoft konts, lai daudzi līdzekļi darbotos pareizi. Un, lai gan varat veikt dažas papildu darbības, lai izveidotu vietējo kontu, Microsoft to nepadara par acīmredzamāko izvēli. Ja izmantojat Microsoft kontu, jums nav iespējas izmantot paroles atiestatīšanas jautājumus.
Lai to izmantotu, kādam ir jābūt attālai vai fiziskai piekļuvei jūsu datoram. Un, ņemot vērā šo piekļuves līmeni, paroles atiestatīšanas jautājumi ir vismazākā problēma.
Tāpēc ir ļoti liela iespēja, ka neviens no šiem pētījumiem neattiecas uz jums. Bet pat tad, ja izmantojat vietējo kontu, kas ir pievienots domēnam, tas viss ir saistīts ar vecu jautājumu kopumu. No cik daudz ērtībām jums vajadzētu atteikties drošības vārdā? Un otrādi, no cik lielas drošības būtu jāatsakās ērtības vārdā?
Šādā gadījumā iespēja, ka slikts aktieris piekļūs jūsu iekārtai un izmantos drošības jautājumus, lai iegūtu pilnīgu kontroli, ir neticami maza. Un iespēja aizmirst paroli un uzdot jautājumus ir nedaudz lielāka. Apsveriet savu situāciju un izdariet sev labāko izvēli.