Поток портала авторизации windows 10 что это

Обновлено: 05.07.2024

Работа операционной системы Windows основана на работе процессов. В этой статье разберём что такое Windows процессы, их свойства, состояния и другое.

Процессы

Процесс стоит воспринимать как контейнер с набором ресурсов для выполнения программы. То есть запускаем мы программу, для неё выделяется часть ресурсов компьютера и эта программа работает с этими ресурсами.

Процессы нужны операционной системе для многозадачности, так как программы работают в своих процессах и не мешают друг другу, при этом по очереди обрабатываются процессором.

Windows процессы состоят из следующего:

  • Закрытое виртуальное адресное пространство, то есть выделенная для процесса часть оперативной памяти, которая называется виртуальной.
  • Исполняемая программа выполняя свой код, помещает его в виртуальную память.
  • Список открытых дескрипторов. Процесс может открывать или создавать объекты, например файлы или другие процессы. Эти объекты нумеруются, и их номера называют дескрипторами. Ссылаться на объект по дескриптору быстрее, чем по имени.
  • Контекст безопасности. Сюда входит пользователь процесса, группа, привилегии, сеанс и другое.
  • Идентификатор процесса, то есть его уникальный номер.
  • Программный поток (как минимум один или несколько). Чтобы процесс хоть что-то делал, в нем должен существовать программный поток. Если потока нет, значит что-то пошло не так, возможно процесс не смог корректно завершиться, или стартовать.

У процессов есть еще очень много свойств которые вы можете посмотреть в “Диспетчере задач” или “Process Explorer“.

Процесс может быть в различных состояниях:

В Windows существуют процессы трёх типов:

  • Приложения. Процессы запущенных приложений. У таких приложений есть окно на рабочем столе, которое вы можете свернуть, развернуть или закрыть.
  • Фоновые процессы. Такие процессы работают в фоне и не имеют окна. Некоторые процессы приложений становятся фоновыми, когда вы сворачиваете их в трей.
  • Процессы Windows. Процессы самой операционной системы, например “Диспетчер печати” или “Проводник”.

Дерево процессов

В Windows процессы знают только своих родителей, а более древних предков не знают.

Например у нас есть такое дерево процессов:

Если мы завершим дерево процессов “Процесс_1“, то завершатся все процессы. Потому что “Процесс_1” знает про “Процесс_2“, а “Процесс_2” знает про “Процесс_3“.

Если мы вначале завершим “Процесс_2“, а затем завершаем дерево процессов “Процесс_1“, то завершится только “Процесс_1“, так как между “Процесс_1” и “Процесс_3” не останется связи.

Например, запустите командную строку и выполните команду title parrent чтобы изменить заголовок окна и start cmd чтобы запустить второе окно командной строки:

Измените заголовок второго окна на child и из него запустите программу paint:

В окне командной строке child введите команду exit, окно закроется а paint продолжит работать:

После этого на рабочем столе останутся два приложения, командная строка parrent и paint. При этом parrent будет являться как бы дедом для paint.

Запустите “Диспетчер задач”, на вкладке “Процессы” найдите процесс “Обработчик команд Windows”, разверните список и найдите “parrent“. Затем нажмите на нём правой копкой мыши и выберите “Подробно”:

Подробности по процессу parrent

Вы переключитесь на вкладку “Подробно” с выделенным процессом “cmd.exe“. Нажмите правой кнопкой по этому процессу и выберите «Завершить дерево процессов»:

Завершаем дерево процессов в диспетчере задач

Окно командной строки Parrent завершится а Paint останется работать. Так мы убедились что связи между первым процессом и его внуком нет, если у внука нет непосредственного родителя.

Потоки

На центральном процессоре обрабатываются не сами процессы, а программные потоки. Каждый поток, это код загруженный программой. Программа может работать в одном потоке или создавать несколько. Если программа работает в несколько потоков, то она может выполняться на разных ядрах процессора. Посмотреть на потоки можно с помощью программы Process Explorer.

  • два стека: для режима ядра и для пользовательского режима;
  • локальную памятью потока (TLS, Thread-Local Storage);
  • уникальный идентификатор потока (TID, Thread ID).

Приложение может создать дополнительный поток, например, когда у приложения есть графический интерфейс, который работает в одном потоке и ожидает от пользователя ввода каких-то данных, а второй поток в это время занимается обработкой других данных.

Изучение активности потока важно, если вам нужно разобраться, почему тот или иной процесс перестал реагировать, а в процессе выполняется большое число потоков. Потоков может быть много в следующих процессах:

Волокна и планирование пользовательского режима

Потоки выполняются на центральном процессоре, а за их переключение отвечает планировщик ядра. В связи с тем что такое переключение это затратная операция. В Windows придумали два механизма для сокращения таких затрат: волокна (fibers) и планирование пользовательского режима (UMS, User Mode Scheduling).

Во-первых, поток с помощью специальной функции может превратится в волокно, затем это волокно может породить другие волокна, таким образом образуется группа волокон. Волокна не видимы для ядра и не обращаются к планировщику. Вместо этого они сами договариваются в какой последовательности они будут обращаться к процессору. Но волокна плохо реализованы в Windows, большинство библиотек ничего не знает о существовании волокон. Поэтому волокна могут обрабатываться как потоки и начнутся различные сбои в программе если она использует такие библиотеки.

Потоки UMS (User Mode Scheduling), доступные только в 64-разрядных версиях Windows, предоставляют все основные преимущества волокон при минимуме их недостатков. Потоки UMS обладают собственным состоянием ядра, поэтому они «видимы» для ядра, что позволяет нескольким потокам UMS совместно использовать процессор и конкурировать за него. Работает это следующим образом:

  • Когда двум и более потокам UMS требуется выполнить работу в пользовательском режиме, они сами могут периодически уступать управление другому потоку в пользовательском режиме, не обращаясь к планировщику. Ядро при этом думает что продолжает работать один поток.
  • Когда потоку UMS все таки нужно обратиться к ядру, он переключается на специально выделенный поток режима ядра.

Задания

Задания Windows (Job) позволяют объединить несколько процессов в одну группу. Затем можно этой группой управлять:

  • устанавливать лимиты (на память или процессорное время) для группы процессов входящих в задание;
  • останавливать, приостанавливать, запускать такую группу процессов.

Посмотреть на задания можно с помощью Process Explorer.

Диспетчер задач

Чаще всего для получения информации о процессе мы используем «Диспетчер задач». Запустить его можно разными способами:

  • комбинацией клавиш Ctrl+Shift+Esc;
  • щелчком правой кнопкой мыши на панели задач и выборе «Диспетчер задач»;
  • нажатием клавиш Ctrl+Alt+Del и выборе «Диспетчер задач»;
  • запуском исполняемого файла C:\Windows\system32\Taskmgr.exe.

При первом запуске диспетчера задач он запускается в кратком режиме, при этом видны только процессы имеющие видимое окно. При нажатие на кнопку «Подробнее» откроется полный режим:

Краткий режим Диспетчера задач

В полном режиме на вкладке «Процессы» виден список процессов и информация по ним. Чтобы получить больше информации можно нажать правой кнопкой мышки на заголовке и добавить столбцы:

Диспетчер задач - Добавление столбцов с информацией

Чтобы получить еще больше информации можно нажать правой кнопкой мышки на процессе и выбрать «Подробно». При этом вы переключитесь на вкладку «Подробности» и этот процесс выделится.

На вкладке «Подробности» можно получить ещё больше информации о процессе. А также здесь также можно добавить колонки с дополнительной информацией, для этого нужно щелкнуть правой кнопкой мыши по заголовку и нажать «Выбрать столбцы»:

Выбор столбцов с информацией о процессах на вкладке «Подробности»

Process Explorer

Установка и подготовка к работе

Более подробную информацию о процессах и потоках можно получить с помощью программы Process Explorer из пакета Sysinternals. Его нужно скачать и запустить.

Некоторые возможности Process Explorer:

  • информация по правам процесса: кто владелец процесса, у кого есть доступ к нему;
  • выделение разными цветами процессов и потоков, для удобного восприятия информации:
    • процессы служб – розовый;
    • ваши собственные процессы – синий;
    • новые процессы – зелёный;
    • завершенные процессы – красный;
    • число дескрипторов у процесса;
    • активность потоков в процессе;
    • подробную информация о распределении памяти.

    Запустите Process Explorer:

    Process Explorer

    Предупреждение о не настроенных символических именах

    Для начала скачиваем установщик «Пакет SDK для Windows 10».

    Устанавливать все не нужно, достаточно при установки выбрать “Debugging Tools for Windows“:

    Установка SDK для Windows 10

    Для настройки символических имен перейдите в меню Options / Configure / Symbols. Введите путь к библиотеке Dbghelp.dll, которая находится внутри установленного «Пакета SDK для Windows 10» по умолчанию:

    • C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\Dbghelp.dll.

    И путь к серверу символической информации:

    Некоторые основные настройки Process Explorer:

    • Смена цветового выделения – Options / Configure Colors.
    • Выбор колонок с информацией о процессах – View / Select Columns.
    • Сортировка процессов – нужно щелкнуть на заголовке столбца Process, при первом щелчке сортировка будет в алфавитном порядке, при втором в обратном порядке, при третьем вернется в вид дерева.
    • Просмотр только своих процессов – View / снять галочку Show Processes from All Users.
    • Настройка времени выделения только что запущенных процессов и завершённых – Options / Difference Highlight Duration / введите количество секунд.
    • Чтобы исследователь процесс подробнее можно дважды щелкнуть на нем и посмотреть информацию на различных вкладках.
    • Открыть нижнюю панель для просмотра открытых дескрипторов или библиотек – Vies / Show Lower Panel.

    Потоки в Process Explorer

    Потоки отдельного процесса можно увидеть в программе Process Explorer. Для этого нужно дважды кликнуть по процессу и в открывшемся окне перейти на вкладку «Threads»:

    Process Explorer (потоки процесса)

    В колонках видна информация по каждому потоку:

    • TID — идентификатор потока.
    • CPU — загрузка процессора.
    • Cycles Delta — общее количество циклов процессора, которое этот процесс использовал с момента последнего обновления работы Process Explorer. Скорость обновления программы можно настроить, указав например 5 минут.
    • Suspend Count — количество приостановок потока.
    • Service — название службы.
    • Start Address — начальный адрес процедуры, который начинает выполнение нового потока. Выводится в формате:«модуль!функция».

    При выделении потока, снизу показана следующую информация:

    • Идентификатор потока.
    • Время начала работы потока.
    • Состояние потока.
    • Время выполнения в режиме ядра и в пользовательском режиме.
    • Счетчик переключения контекста для центрального процессора.
    • Количество циклов процессора.
    • Базовый приоритет.
    • Динамический приоритет (текущий).
    • Приоритет ввода / вывода.
    • Приоритет памяти.
    • Идеальный процессор (предпочтительный процессор).

    Есть также кнопки:

    Задания в Process Explorer

    Process Explorer может выделить процессы, управляемые заданиями. Чтобы включить такое выделение откройте меню «Options» и выберите команду «Configure Colors», далее поставьте галочку «Jobs»:

    Process Explorer — выделение заданий

    Более того, страницы свойств таких процессов содержат дополнительную вкладку Job с информацией о самом объекте задания. Например приложение Skype работает со своими процессами как за заданием:

    Process Explorer — вкладка Job

    Запустите командную строку и введите команду:

    Таким образом вы запустите еще одну командную строку от имени этого пользователя. Служба Windows, которая выполняет команды runas, создает безымянное задание, чтобы во время выхода из системы завершить процессы из задания.

    В новой командной строке запустите блокнот:

    Далее запускаем Process Explorer и находим такое дерево процессов:

    Устройство Windows. Задания, изображение №3

    Как видим, процесс cmd и notepad это процессы связанные с каким-то заданием. Если дважды кликнуть по любому из этих процессов и перейти на вкладку Job, то мы увидим следующее:

    Библиотека проверки подлинности Майкрософт (MSAL) поддерживает несколько потоков проверки подлинности для использования в различных сценариях приложений.

    Поток Описание Используется в
    Код авторизации Используется в приложениях, установленных на устройстве, для получения доступа к защищенным ресурсам, таким как веб-API. Позволяет добавить доступ к мобильным и классическим приложениям с помощью данных для входа и API. Классические приложения, мобильные приложения, веб-приложения
    Учетные данные клиента Позволяет получить доступ к ресурсам, размещенным в Интернете, с помощью удостоверения приложения. Часто используется для взаимодействия между серверами, которое должно выполняться в фоновом режиме без непосредственного взаимодействия с пользователем. Управляющие программы
    Код устройства Позволяет пользователям входить на устройства с ограничениями ввода, например устройство типа Smart TV, устройство Интернета вещей или принтер. Классические и мобильные приложения
    Неявное разрешение Позволяет приложению получать маркеры без обмена учетными данными в серверной части. Так приложение может авторизовать пользователей, поддерживать сеансы и получать маркеры для других веб-API — и все это в клиентском коде JavaScript. Одностраничные приложения (SPA)
    On-behalf-of Приложение вызывает службу или веб-API, который, в свою очередь, должен вызывать другую службу или веб-API. Идея состоит в том, чтобы распространить делегированное удостоверение пользователя и разрешения с помощью цепочки запросов. Интерфейсы веб-API
    Имя пользователя и пароль Позволяет приложению войти в систему, напрямую обрабатывая пароль. Этот поток не рекомендуется. Классические и мобильные приложения
    Встроенная проверка подлинности Windows Позволяет приложениям на компьютерах, подключенных к домену или Azure Active Directory (Azure AD), получать маркер автоматически (без взаимодействия с пользовательским интерфейсом). Классические и мобильные приложения

    Как каждый поток выдает маркеры и коды

    В зависимости от того, как выполнена сборка клиентского приложения, оно может использовать один или несколько потоков проверки подлинности, поддерживаемых платформой удостоверений Майкрософт. Эти потоки могут создавать несколько типов маркеров, а также коды авторизации, для работы которых требуются разные маркеры.

    Поток Требования id_token Twitter, маркер обновления Код авторизации
    Поток кода авторизации x x x x
    Учетные данные клиента x (только для приложений)
    Поток кода устройства x x x
    Неявный поток x x
    Поток On-Behalf-Of Twitter, x x x
    Имя пользователя/пароль (ROPC) Имя пользователя и пароль x x x
    Гибридный поток OIDC x x
    Активация маркера обновления маркер обновления x x x

    Интерактивные и неинтерактивные методы проверки подлинности

    Некоторые из этих потоков поддерживают как интерактивное, так и неинтерактивное получение маркера.

    • Интерактивная проверка подлинности означает, что пользователю может предлагаться что-либо ввести. Например, пользователю может предлагаться войти в систему, выполнить многофакторную проверку подлинности (MFA) или предоставить дополнительное согласие на доступ к ресурсам.
    • Неинтерактивная или автоматическая проверка подлинности пытается получить маркер таким образом, чтобы сервер входа не запрашивал дополнительные сведения у пользователя.

    Приложение на основе MSAL должно сначала попытаться получить маркер автоматически и только в случае неудачи неинтерактивного способа прибегает к интерактивному. Дополнительные сведения об этом шаблоне см. в разделе Получение и кэширование маркеров с помощью библиотеки проверки подлинности Майкрософт (MSAL).

    Код авторизации

    Предоставление кода авторизации OAuth 2 может использоваться в приложениях, установленных на устройстве, для получения доступа к защищенным ресурсам, таким как веб-API. Это позволяет вам добавить доступ к мобильным и классическим приложениям с помощью функции входа и API.

    При входе пользователей в веб-приложения (веб-сайты) веб-приложение получает код авторизации. Код авторизации активируется для получения маркера для вызова веб-API.

    Схема потока кода авторизации

    На предыдущей схеме приложение:

    1. запрашивает код авторизации, который активируется для маркера доступа;
    2. использует маркер доступа для вызова веб-API.

    Рекомендации

    Код авторизации можно использовать только один раз для активации маркера. Не пытайтесь несколько раз получить маркер с одним и тем же кодом авторизации, так как это явно запрещается спецификацией стандарта протокола. Если вы активируете код несколько раз, преднамеренно или потому, что не знаете, что платформа тоже делает это, возникает следующая ошибка:

    AADSTS70002: Error validating credentials. AADSTS54005: OAuth2 Authorization code was already redeemed, please retry with a new valid code or use an existing refresh token.

    Учетные данные клиента

    Поток учетных данных клиента OAuth 2 позволяет получать доступ к ресурсам, размещенным в Интернете, с помощью удостоверения приложения. Этот тип предоставления разрешения часто используется для взаимодействия между серверами, которое должно выполняться в фоновом режиме без непосредственного взаимодействия с пользователем. Такие типы приложений часто называют управляющими программами или учетными записями служб.

    Процесс предоставления учетных данных клиента позволяет веб-службе (конфиденциальный клиент) вместо олицетворения пользователя использовать свои собственные учетные данные для проверки подлинности при вызове другой веб-службы. В этом сценарии клиент обычно является веб-службой среднего уровня, службой управляющей программы или веб-сайтом. Для большей надежности платформа удостоверений Майкрософт также позволяет вызывающей службе использовать в качестве учетных данных сертификат (вместо общего секрета).

    Конфиденциальный поток клиента недоступен на мобильных платформах, таких как UWP, Xamarin.iOS и Xamarin.Android, поскольку они поддерживают только общедоступные клиентские приложения. Общедоступные клиентские приложения не знают, как подтвердить удостоверение приложения для поставщика удостоверений. Безопасное подключение может быть достигнуто в веб-приложении или серверной части веб-API путем развертывания сертификата.

    Секреты приложений

    Схема конфиденциального клиента с паролем

    На предыдущей схеме приложение:

    1. получает маркер с помощью секрета приложения или учетных данных пароля;
    2. использует маркер для выполнения запросов к ресурсу.

    Сертификаты

    Схема конфиденциального клиента с сертификатом

    На предыдущей схеме приложение:

    1. получает маркер с помощью учетных данных сертификата;
    2. использует маркер для выполнения запросов к ресурсу.

    Эти учетные данные клиента должны быть:

    Код устройства

    С помощью потока кода устройства OAuth 2 пользователи могут входить на устройства с ограниченным входом, такие как Smart TV, устройства IoT и принтеры. Для интерактивной проверки подлинности в Azure AD требуется веб-браузер. Если устройство или операционная система не предоставляют веб-браузер, поток кода устройства предоставляет пользователю возможность использовать другое устройство, такое как компьютер или мобильный телефон, для входа в интерактивном режиме.

    При использовании потока кода устройства приложение получает маркеры с помощью двухэтапного процесса, специально разработанного для этих устройств и операционных систем. В качестве примеров таких приложений можно указать приложения, работающие на устройствах IoT, и инструменты командной строки (CLI).

    Схема потока кода устройства

    На предыдущей схеме показано следующее.

    Ограничения

    Неявное разрешение

    Поток неявного предоставления OAuth 2 позволяет приложению получать маркеры от платформы удостоверений Microsoft, не выполняя обмен учетными данными на тыловом сервере. Этот поток позволяет приложению авторизовывать пользователей, поддерживать сеансы и получать маркеры для других веб-API — и все это из клиентского кода JavaScript.

    Многие современные веб-приложения создаются как одностраничные клиентские приложения, созданные на JavaScript или с использованием платформы SPA, такой как Angular, Vue.js и React.js. Эти приложения работают в веб-браузере и имеют характеристики проверки подлинности, отличные от традиционных серверных веб-приложений. Платформа удостоверений Microsoft позволяет одностраничным приложениям поддерживать вход пользователей, а также получать маркеры для доступа к внутренним службам или веб-API, используя поток неявного предоставления разрешения. Неявный поток позволяет приложению получать маркеры идентификаторов для представления пользователя, прошедшего проверку подлинности, а также маркеры, необходимые для вызова защищенных API.

    Этот поток проверки подлинности не включает сценарии приложений, в которых используются межплатформенные фреймворки JavaScript, такие как Electron и React-Native, так как им требуются дополнительные возможности для взаимодействия с собственными платформами.

    Маркеры, выданные в режиме неявного потока, имеют ограничения по длине, так как они возвращаются в браузер посредством URL-адреса (где response_mode либо query , либо fragment ). Некоторые браузеры ограничивают длину URL-адреса в строке адреса, и в случае слишком большой длины происходит сбой браузера. Таким образом, эти маркеры неявного потока не содержат утверждений groups или wids .

    On-behalf-of

    Поток проверки подлинности от имени пользователя OAuth 2 используется, когда приложение вызывает службу или веб-API, который в свою очередь должен вызывать другую службу или веб-API. Идея состоит в том, чтобы передать по цепочке запросов делегированное удостоверение пользователя и соответствующие разрешения. Чтобы служба среднего уровня могла выполнять запросы к службе нижнего уровня с проверкой подлинности, служба среднего уровня должна защитить маркер доступа с платформы удостоверений Microsoft от имени пользователя.

    Схема потока On-Behalf-Of

    На предыдущей схеме показано следующее.

    Имя пользователя и пароль

    Предоставление учетных данных пароля владельца ресурса OAuth 2 (ROPC) позволяет приложению обрабатывать вход пользователя, непосредственно используя его пароль. В классическом приложении можно использовать поток имени пользователя и пароля для автоматического получения маркера. При использовании приложения не нужен пользовательский интерфейс.

    Схема потока имени пользователя и пароля

    На предыдущей схеме приложение:

    1. получает маркер, отправляя имя пользователя и пароль поставщику удостоверений;
    2. вызывает веб-API с помощью маркера.

    Этот поток не рекомендуется. Для этого требуется высокая степень доверия и предоставление учетных данных. Этот поток следует использовать только при невозможности использовать другие, более безопасные потоки. Дополнительные сведения см. в разделе Как решить насущную проблему паролей?.

    Предпочтительным потоком для автоматического получения маркера на компьютерах, присоединенных к домену Windows, является Встроенная проверка подлинности Windows. В других случаях используйте поток кода устройства.

    Хотя поток имени пользователя и пароля может быть удобен в некоторых сценариях, таких как DevOps, старайтесь избегать его, если хотите использовать имя пользователя и пароль в интерактивных сценариях, где предоставляете собственный пользовательский интерфейс.

    По имени пользователя и паролю.

    • Пользователи, которым требуется выполнить многофакторную проверку подлинности, не смогут войти в систему, так как взаимодействие отсутствует.
    • Пользователи не смогут выполнять единый вход.

    Ограничения

    Встроенная проверка подлинности Windows

    MSAL поддерживает Встроенную проверку подлинности Windows (IWA) для классических или мобильных приложений, которые работают на компьютере Windows, присоединенном к домену или Azure AD. С помощью IWA эти приложения могут получать маркер автоматически, без взаимодействия с пользователем.

    Схема Встроенной проверки подлинности Windows

    На предыдущей схеме приложение:

    1. получает маркер с использованием Встроенной проверки подлинности Windows;
    2. использует маркер для выполнения запросов к ресурсу.

    Ограничения

    Встроенная проверка подлинности Windows (IWA) поддерживает только федеративных пользователей, то есть пользователей, созданных в Active Directory и поддерживаемых Azure AD. Пользователи, созданные непосредственно в Azure AD без поддержки Active Directory (управляемые пользователи), не могут использовать этот поток проверки подлинности. Это ограничение не влияет на поток имени пользователя и пароля.

    IWA не обходит многофакторную проверку подлинности. Если настроена многофакторная проверка подлинности, IWA может завершиться ошибкой, когда требуется запрос многофакторной проверки подлинности. Многофакторная проверка подлинности требует взаимодействия с пользователем.

    Вы не контролируете, когда поставщик удостоверений запрашивает двухфакторную проверку подлинности. Этим занимается администратор клиента. Обычно двухфакторная проверка подлинности требуется при входе из другой страны или региона, если вы не подключены через VPN к корпоративной сети, и иногда даже при подключении через VPN. Azure AD использует искусственный интеллект для непрерывного изучения необходимости двухфакторной проверки подлинности. В случае сбоя IWA следует вернуться к интерактивному запросу пользователя.

    При создании общедоступного клиентского приложения необходим один из следующих центров.

    Так как IWA является автоматическим потоком, необходимо выполнить одно из следующих условий.

    • Пользователь приложения должен быть предварительно одобрен, чтобы использовать приложение.
    • Администратор клиента должен предварительно одобрить всех пользователей в клиенте для использования приложения.

    Это означает, что выполняется одно из следующих условий.

    • Вы как разработчик выбрали предоставление разрешения на портале Azure для самого себя.
    • Администратор клиента выбрал Предоставление/отзыв согласия администратора для на вкладке Разрешения API в разделе регистрации приложения на портале Azure (см. раздел Добавление разрешений для доступа к веб-API).
    • Вы указали способ предоставления пользователями согласия на приложение; см. раздел Запрос согласия отдельного пользователя.
    • Вы указали способ предоставления администратором клиента согласия для приложения; см. раздел Согласие администратора.

    Дополнительные сведения о согласии см. в разделе разрешения и согласия в версии 2.0.

    Дальнейшие действия

    Теперь, когда вы проверили потоки проверки подлинности, поддерживаемые библиотекой проверки подлинности Майкрософт (MSAL), узнайте о получении и кэшировании маркеров, используемых в этих потоках:

    Windows 10 является самой популярной операционной системой в среде киберпреступников. Это означает, что пользователям Windows нужно максимально усилить защиту своего ПК, чтобы оставаться в безопасности.

    Безопасный вход является дополнительным компонентом на экране авторизации Windows 10. Он не сможет предотвратить доступ к компьютеру постороннему лицу, который знает ваши учетные данные. Безопасный вход предназначен для того, чтобы скрыть форму ввода логина, пока вы не введете определенное клавиатурное сочетание. Только после этого, вы сможете указать PIN или ввести пароль.

    Данная защитная функция направлена для борьбы с вредоносными программами. Вредоносный код может работать в фоновом режиме и подделывать экран авторизации Windows 10 с целью перехвата ваших учетных данных. Поскольку приложения и программы, как правило, не имеют доступа к команде Ctrl + Alt + Del , вы можете обойти поддельный экран входа в систему с помощью функции безопасного входа, которая активируется данным клавиатурным сочетанием.

    Как включить или отключить безопасный вход в систему

    Используем команду Netplwiz

    Запустите окно Выполнить, нажав Win + R и введите команду netplwiz в текстовое поле, затем нажмите ОК.

    netplwiz

    Получить доступ к панели Учетные записи пользователей, можно также введя запрос netplwiz в строке поиска в панели задач или меню Пуск и выбрав опцию Выполнить команду.

    На экране откроется панель Учетные записи пользователей. Нужно перейти на вкладку Дополнительно (если не она открылась сразу). Отметьте галочку Требовать нажатия CTRL+ALT+DELETE в разделе Безопасный вход в систему для включения безопасного входа или снимите галочку, чтобы отключить его.

    Требовать нажатия CTRL+ALT+DELETE

    Используем локальные политики безопасности

    Это еще один, более трудоемкий метод активации безопасного входа. Используйте данный метод, если вы не привыкли к самым простым решениям, но не хотите работать с системным реестром.

    Запустите окно Выполнить, нажав Win + R и введите команду secpol.msc в текстовое поле, затем нажмите ОК.

    secpol.msc

    Откроется окно Локальная политика безопасности. Нужно раскрыть категорию Локальные политики в списке и затем выбрать подпапку Параметры безопасности. Затем в правой области окна нужно найти запись Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DELETE.

    Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DELETE

    Параметры локальной безопасности

    Используем системный реестр

    Если вы хотите выбрать самый сложный путь, то можно добиться того же результата с помощью манипуляций с системным реестром. Главное помнить, что любые изменения системного реестра могут вызвать проблемы стабильности системы. Данный вариант подходит опытным пользователям ПК.

    Запустите окно Выполнить, нажав Win + R и введите команду regedit в текстовое поле, затем нажмите ОК.

    regedit

    Получить доступ к редактору реестра, можно также введя запрос regedit в строке поиска в панели задач или меню Пуск и выбрав предложенное приложение.

    В редакторе реестра нужно перейти по пути:

    В папке CurrentVersion выберите подпапку Winlogon и найдите ключ DisableCad. Откройте его для редактирования значений.

    Примечание: если ключ DisableCad не найден в Winlogon, кликните правой кнопкой мыши и выберите Создать > Параметр DWORD (32-бита). Назовите параметр DisableCad и задайте соответствующее значение.

    DisableCad

    В открывшемся окне Изменение параметра DWORD (32-бита) измените установленное значение на одно из следующих:

    Windows 10 шпионит за пользователями: отключаем телеметрию и сбор данных

    В этой статье мы будем разбираться, что компания Microsoft узнаёт от нас, когда мы работаем или не работаем за своим компьютером. И как личную жизнь оставить личной.

    Если вы только планируете ставить операционную систему

    Выбирайте ручные настройки, и самостоятельно убирайте все галочки, которые будут встречать нас по пути. Необходимо обязательно создать локальную учетную запись (без наличия интернета), пропустив шаг подключения к Вашему Wi-Fi, либо не вставлять интернет провод в компьютер.

    Если Вы уже создали учетную запись Microsoft, то лучше удалить её и пересоздать без привязки к почтовому адресу. Так вы будете оставаться анонимным.

    Конфиденциальность и обновления

    После того, как мы увидели рабочий стол нашего компьютера, надо изменить политику конфиденциальности. Проходим дальше: Пуск – Параметры – Конфиденциальность. Здесь в разделе: «Общие» запрещаем все манипуляции.


    Ниже слева заходим в «диагностики и отзывы» Выбираем Базовый. Отключить весь сбор информации, к сожалению, нельзя, так как большинство вещей являются обычной диагностикой самого устройства.


    Пролистав ниже, убираем все галочки. Раз мы не можем отключить диагностику полностью, можем запретить отправлять эти данные самой Майкрософт. В самому низу есть пункт «Частота формирования отзывов», там в выпадающем окне выбираем «Никогда».


    Дальше мы отключим обновления. Так как обновления выходят часто, то наши манипуляции будут терять актуальность, в связи с тем, что параметры будут принудительно включаться. Переходим к:

    Пуск – Параметры – Обновление и безопасность Windows – Дополнительные параметры. Там убрать галочки с первых 4 пунктов, дальше можно оставить как есть.


    Дальше переименуем ПК. Для этого рядом с кнопкой «Пуск» есть значок лупы (поиск).


    Нажимаем и вписываем в поле запроса «О компьютере». Заходим в раздел «о компьютере», который находится в строке «Лучшее соответствие».


    Пролистав, чуть ниже увидим кнопку «Переименовать этот ПК». Пишем на латыни удобное для нас имя. Это необходимо сделать, так как Windows автоматически раздает имена ПК, и, если ваш компьютер окажется в публичной сети, его будет сложнее идентифицировать.


    Это оказалось просто? Тогда давайте повысим сложность.

    Изменяем настройки рекламы

    Правой кнопкой мыши по меню Пуск – Windows PowerShell Администратор.


    начинаем вводить скрипт:

    sc delete DiagTrack

    sc delete dmwappushservice

    Каждый скрипт подтверждаем нажатием «Enter», после чего наш PowerShell должен выглядеть как на приведённом скриншоте ниже.


    После ввода скрипта. Появится окно нашего блокнота.


    В конце текстовика вписываем следующее:

    Будет все выглядеть, как на картинке ниже. Сохраняем этот файл. Этим мы отключаем работу с внешними ресурсами и отключением рекламы во многих встроенных или выпущенных программах самой Microsoft.


    Встроенная защита и телеметрия

    Теперь будем изменять локальные групповые политики, чтобы отключить OneDrive, встроенный антивирус и часть телеметрии.

    Нажимаем сочетание клавиш: Win+R, открывается окно «Выполнить»:


    в нем непосредственно уже пишем в строке «открыть» следующий запрос:

    У нас откроется Конфигурация компьютера. В этом разделе выбираем Административные шаблоны, практически в самом низу выбираем «Компоненты Windows», далее папку «Сборки для сбора данных и предварительные сборки» и отключаем телеметрию.


    В меню Компоненты сборки выбираем OneDrive и отключаем его.


    Следом тут же отключаем Защитника Windows. Советую воспользоваться посторонним антивирусом, а не в первоначальный встроенный.

    Дальше находим в компонентах Windows – Антивирус программа. Выключаем параметр, выделенный на приведённом скриншоте ниже.


    Один из последних моментов – в реестре нужно отключить телеметрию полностью, чтобы ваш ПК меньше собирал технической информации. Нажимаем уже привычные нам Win+R. Пишем regedit. Откроется окно, где нам нужно будет перейти:


    нажимая каждый раз на значок стрелочки, и под конец кликаем уже на саму папку «DataCollection»:


    Где меняем значение 1 на 0. После нажимаем ОК.


    Самое последнее, что мы сделаем, так это проверим нет ли нашего голоса, записанного нашим же ПК. Для этого проследуем по пути:

    Там можно обнаружить записанный голос в формате WAV. Если есть – можете смело удалять. Как показала практика, слежкой занималась не сама Windows, а фильтры, установленные в микрофон. Самый действующий вариант – отключение микрофона через панель задач.

    Вывод

    Итак, мы научились контролировать свои действия, как в интернете, так и за его пределами. Необходимо понимание того, что компании действуют в целях больше рекламных, нежели наблюдательных.

    Для лучшего эффекта, советуем также не использовать встроенные программы наподобие GrooveMusic, просмотр фотографий, а использовать посторонний софт.

    Читайте также: