Create explorer shell unelevated task что это
Обновлено: 07.07.2024
При написании троянов и прочих полезных
утилит 🙂 часто возникает потребность в
автозагрузке. Так уж повелось так что все
используют для этих целей раздел RUN в
реестре Windows. А зря, ведь есть еще много
эффективных способов автозагрузки.
Мне кажется или все разленились? Уже никто
не хочет думать! Некоторые задачи стали
настолько тривиальны, что никто даже не
думает над их решением. Я это к тому, что
большая часть людей считает, что в Windows'е
можно сделать автозагрузку через VxD или RUN в
реестре. хммм. давайте копнем поглубже и
увидим неограниченые возможности скрытые в
Windows.
Магические директории
Люди особо "творческого" ума могут
сообщить нам, что загрузится можно
скопировав себя куда-то в "C:\WINDOWS\Главное
меню\Программы\Автозагрузка"(В Windows XP это
будет выглядеть где-то так: "C:\Documents and
Settings\User\Программы\Автозагрузка"). Не
спорю, такой вариант сработает, но давайте
сделаем немного иначе. Местоположение этой
папки система узнает с реестра. Упоминания
о ней можно найти в таких разделах:
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Shell
Folders
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\User Shell
Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\explorer\Shell
Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\explorer\User
Shell Folders
Значение там хранится в переменных "Startup"
и "Common Startup". Все дело в том, что в
переменную "Common Startup" можно написать
все, что угодно. То есть записав туда "c:\windows\system\my_secret_program"
мы запустим все программы находящиеся в
каталоге "my_secret_program". Привет Билли 🙂
Волшебные INI
Ну. Тут есть два варианта, использовать
WIN.INI или SYSTEM.INI. В WIN.INI ключ "windows"
содержит две переменные load и run. Придаваемые
им значения и есть программы которые надо
загрузить. Например:
.
[windows]
load=my_secret_pogram1.exe
run=my_secret_pogram2.exe
.
А в SYSTEM.INI метод немного другого характера. В
ключе "boot" есть параметр Shell, он задает
программу которая будет служить GUI для Windows.
По умолчанию это Explorer, но можно указывать и
другую программу 🙂 А самое интересное то,
что можно указать и Explorer с параметром/параметрами.
На что он услужливо запустит передаваемый
параметр. Например:
.
[boot]
Shell=Explorer.exe my_secret_pogram.exe
.
И снова подарки от майкрософт 🙂 Шелл еще
указывается в реестре: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\Shell". По умолчанию там
Explorer, но его можно заменить.
Великий BAT
Ну что, поехали дальше. Что такое бат файлы
знают все (я надеюсь. ), но не все знают что
существует достаточно интересный файл
winstart.bat, который находится в папке Windows. Он
автоматически запускается системой каждый
раз при загрузке. Это обычный Bach файл с
досовскими командами. Чтобы с его помощью
запустить нашу программу добавляем в файл
что-то вроде: c:\windows\my_secret_program.exe.
В противовес ему прилагается dosstart.bat,
который как и winstart находится в директории
Windows, но запускается он если выбрать "Перезагрузить
компьютер в режим эмуляции MS-DOS".
И конечно же Autoexec.bat, про который нельзя не
упомянуть говоря про батники :), запускается
при каждой загрузке твоего металлического
друга еще до винды. А для счасливых
обладателей NT/XP я имею другую прекрасную
новость. У них Autoexec.bat не грузится, зато Microsoft
не обделила и их вниманием, они могут
пользоваться файлом Autoexec.NT 🙂 Его работа
заключается в том, что если у DOS'овской
программы нет ярлыка, то настройки для
создания DOS-BOX'а берутся из него. А он в свою
очередь тот же батник 🙂 А если кто-нибудь
хочет загрузится в NT с Autoexec.bat (удовольствие
для исключительных извращенцев), тогда
придется покопаться в реестре. В разделе:
Значение переменной ParseAutoexec установите
равным "1". Вот и все 🙂
Реестр - знакомый и не очень
Хех. Про реестр рассказали уже столько
баек, что мне даже стыдно про него упоминать,
но ради приличия перечислю стандартные
ключи автозагрузки и то, о чем знают
немногие. Итак, стандартные места откуда
можно загрузится:
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\RunServices
Тут все просто в нужном разделе, создаем
параметр со значением запускаемой проги. А
теперь встречайте RunOnceEx! Что очень
удивительно, мало кто знает как в этом ключе
прописать свою программу. Вот рекомендации
по использованию 🙂
1 Создаем ключ(если его нету)
2 Создаем строковую переменную со
значением программы которую надо запустить,
но в интересном формате:
"DLL|Function|Arguments" или "||command parameters"
То есть у нас есть два варианта: мы можем
запустить некоторую функцию Function или exe-шник.
"my_secret_pogram"="||my_secret_pogram.exe" -
запустит my_secret_pogram.exe
"msprint2.dll|RUNDLL_PrintTestPage|" - печать пробной
страницы 🙂
Ах да. В NT есть еще один раздел:
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
Работает он также, как и классический RUN.
RegisterServiceProcces
Быстрее всех
Windows NT позволяет запускать специально
написанные программы до регистрации
пользователя (logon). Эти программы
подразделяются на две группы: драйверы и
сервисы. Все дело в том, что любую Win32
программу можно запустить до logon с помощью
специального сервиса. В Windows NT Resource Kit
включен сервис srvany.exe, выполняющий именно
эти задачи :). Его подробное описание
находится в файле srvany.wri. Почитай на досуге 🙂
Маленький трюк 🙂
Ну и наконец, после такого прогрузона я
скажу, что если тебе влом копаться в этом
дерьме, то ты можешь просто скопировать
my_secret_pogram.exe в корень диска C:\ и
переименовать в Explorer.exe. Он запустится до
настоящего Эксплорера 🙂 И это работает во
всех версиях Windows.
Теперь ты вооружен. Надеюсь после прочтения
этого ты задумаешься, каким способом будет
грузится твой новый троян 🙂 Удачи!
Не беспокойтесь, что ваши данные будут подвергнуты риску, поскольку Программное обеспечение MiniTool хорошо заботится о них.
Быстрая навигация:
Узел инфраструктуры оболочки перестал работать в Windows 10
Просматривая веб-страницы, я обнаружил, что многие пользователи Windows 10 сообщают об одной и той же проблеме - Shell Infrastructure Host перестала работать . Разумно, что они хотят найти эффективный способ уладить проблему, когда Windows 10 Shell перестала работать. Однако многие пользователи, которые становятся жертвами ошибки Shell Infrastructure Host, даже не знают, что это такое. В связи с этим я кратко его вам представлю.
Что такое Shell Infrastructure Host
Хост инфраструктуры оболочки, также известный как SIHost, на самом деле является основным компонентом операционной системы (ОС) Windows. Хост инфраструктуры оболочки необходим для работы с несколькими графическими элементами интерфейса вашей ОС, такими как визуальные элементы меню «Пуск» и прозрачность панели задач.
Основные функции Shell Infrastructure Host включают:
- Он показывает вам приложения в интерфейсе Windows.
- Он контролирует некоторые функции фона (например, смену обоев).
- И т.п.
Многие спрашивают - что такое sihost.exe. На самом деле имя его исполняемого файла - sihost.exe, и это то, что вы можете увидеть на вкладке «Процессы» в Windows. Диспетчер задач . По умолчанию процесс sihost.exe запускается автоматически каждый раз при включении компьютера. Хост инфраструктуры оболочки работает в фоновом режиме, поэтому не будет отображаться никакой информации о том, что он работает. Если вы сомневаетесь, что с процессом что-то не так или просто хотите взглянуть на него, вам следует открыть диспетчер задач вручную.
Два случая ошибки хоста инфраструктуры оболочки
Я расскажу о двух случаях, указывающих на сбой хоста инфраструктуры оболочки.
Первый: перестала работать хост инфраструктуры оболочки - Windows 10.
Привет, ребята, есть идеи, как решить эту проблему в Windows 10? Я просто попытался открыть гостевую учетную запись своего компьютера, а затем появилось диалоговое окно, в котором говорилось, что Shell Infrastructure Host перестала работать. Проблема привела к тому, что программа перестала правильно работать. Пожалуйста, закройте программу. И есть опция «Закрыть программу», но она ничего не делает, диалоговое окно просто всплывает снова, когда я нажимаю на нее. Пожалуйста помоги. Заранее спасибо. - спросил Декстер Бенгил в сообществе Microsoft.
Два: Хост инфраструктуры оболочки перестал работать Гостевой пользователь.
Также есть пользователи, жалующиеся на Критическая ошибка инфраструктуры Shell (также называемая критической ошибкой Windows).
Пользователи обычно сталкиваются с ошибкой при попытке открыть гостевую учетную запись на устройстве Windows.
Shell Infrastructure Host перестала работать .
Проблема привела к тому, что программа перестала правильно работать. Пожалуйста, закройте программу.
-> Закройте программу.
Когда вы на самом деле это видите, вы должны понимать, что процесс Shell Infrastructure Host или sihost.exe (отвечающий за управление графическими элементами) внезапно выходит из строя. Вы можете нажать на Закройте программу ссылка, чтобы закрыть диалоговое окно напрямую. Однако независимо от того, сколько раз вы пытались, окно с ошибкой будет продолжать появляться (до тех пор, пока вы все еще входите в систему с гостевой учетной записью).
Наконечник: Есть еще одна досадная ошибка, которая привлекает внимание пользователей Windows 10: sihost.exe - Системное предупреждение . Неизвестная серьезная ошибка и COM Surrogate перестал работать .
Что вызывает ошибку остановки работы хоста инфраструктуры оболочки?
На этот вопрос нет точного ответа, поэтому неудивительно, что Microsoft еще не придумала официального решения. Однако отсутствующий или поврежденный системный файл может быть наиболее вероятной причиной, по которой пользователи Windows 10 застревают в гостевой учетной записи. Следовательно, прямое исправление - восстановить недостающие файлы или же восстановить поврежденные файлы если сможешь.
Однажды посреди жаркого августовского дня я получил письмо от Холмса – он срочно просил меня приехать на Бейкер-стрит. Когда я вошел в кабинет, там уже сидела на краешке стула девушка, одетая скромно, но с большим вкусом.
История мисс Уинсли
Девушка начала свой рассказ, собираясь с силами через каждые две-три фразы и не переставая нервно теребить в руках платочек. Отец ее умер, когда она была еще крохой, и мать вышла замуж повторно за некого мистера Гейтса. Тот был весьма богат, но особых щедрот падчерице не перепадало.
Три года назад ее мать умерла, а недавно этот мир покинул и отчим. Почти все свое состояние он завещал фонду по борьбе с пиратскими сборками Windows. Девушке причиталась лишь малая толика, которой, впрочем, ей бы хватило на годы безбедного существования. Однако, то ли из вредности, то ли просто в шутку, мистер Гейтс включил в завещание особый пункт.
Чтобы получить свою долю наследства, мисс Уинсли должна была найти способ запустить проводник Windows 7 с правами администратора, не отключая контроль учетных записей. Причем на поиски решения ей отводилось ровно неделя.
За предыдущие шесть дней девушка сбилась с ног, пытаясь найти решение. Она обращалась к самым известным детективам, но все они говорили ей, что это невозможно.
В тупике
Я всегда считал, что Холмс не слишком разбирается в современных технологиях – именно поэтому он меня и позвал! Компьютер он использовал разве что для чтения криминальной хроники, да скачивания нот для своих скрипичных упражнений.
Ни слова не говоря, я раскрыл ноутбук, который верой и правдой служил мне еще с иракской кампании. Запустив диспетчер задач с полными правами, я быстро завершил процесс explorer.exe, открыл Файл – Новая задача, ввел там explorer /separate и нажал Enter.
Не скрывая торжества, я подвинул Холмсу ноутбук с открывшимся окном проводника.
Я начал догадываться, почему за шесть дней никто не смог помочь мисс Уинсли. Вид у меня был, наверное, не слишком радостный.
О чем рассказал Process Explorer
Я, как и любой опытный врач, всегда таскаю в саквояже инструменты компании Sysinternals.
Холмс навел курсор на процесс svchost.exe, и я увидел, что это служба запуска процессов DCOM-сервера. Он подвинул мне ноутбук, откинулся на спинку кресла и загадочно улыбнулся. Было непонятно, знает ли он точное решение, но направление для поисков он мне показал.
Поиски в реестре
Я открыл редактор реестра и запустил поиск по идентификатору , который используется в командной строке проводника. Он привел меня в один из подразделов HKEY_CLASSES_ROOT\CLSID. Исходя из названия параметра по умолчанию, подраздел отвечал за запуск нескольких процессов проводника одновременно.
В параметре AppID содержался другой идентификатор, очевидно, относящийся к приложению «Проводник». Дальнейший поиск по нему в реестре привел меня в раздел
В параметре по умолчанию там было указано Elevated-Unelevated Explorer Factory, что явно намекало на связь с запуском проводника с полными и обычными правами.
Я открыл браузер, намереваясь поискать в Интернете, но Холмс внезапно остановил меня:
Секретные службы [компонентов]
Холмс нашел оснастку поиском в меню «Пуск» (впоследствии я узнал, что можно еще запустить исполняемый файл dcomcnfg.exe).
Холмс открыл свойства компонента, и я увидел, что на вкладке «Удостоверение» предусмотрен выбор учетной записи для запуска процессов проводника.
Увидев и другие варианты, я предположил, что этот параметр ограничивает запуск проводника текущими правами учетной записи, которые даже у администратора являются обычными.
Смена типа учетной записи для запуска проводника
Холмс переключился в редактор реестра.
Он ловко получил доступ к разделу реестра и перезапустил оснастку. Чудесным образом в свойствах компонента Elevated-Unelevated Explorer Factory появилась возможность изменить тип учетной записи!
Затем Холмс снова вернулся в раздел HKEY_CLASSES_ROOT\AppID\ и продемонстрировал мне, что параметр RunAs исчез после изменения в оснастке.
Невозмутимо попыхивая трубкой, Холмс вернул исходные права и владельца раздела реестра на свои места, пояснив при этом:
Запуск проводника с полными правами
Я открыл командую строку с полными правами и выполнил explorer.exe /separate. Теперь запущенный процесс проводника (PID 5948) имел высокой уровень целостности.
Я ввел в адресной строке проводника cmd, и командная строка открылась с полными правами (PID 2612).
Пункт контекстного меню для запуска проводника с полными правами
Мисс Уинсли достала из объемной сумочки серебристый VAIO и протянула мне. Уже через пару минут я создал в контекстном меню пункт для открытия папки от имени администратора.
Впервые за время пребывания на Бейкер-стрит мисс Уинсли улыбнулась, и ее глаза засветились от счастья. Прижимая к груди нетбук, она осыпала меня словами благодарности, заставив даже покраснеть под ироничным взглядом Холмса.
Девушка отрицательно покачала головой, подарила нам еще одну улыбку и скрылась за дверью.
Вадим - владелец этого блога, и почти все записи здесь вышли из-под его пера. Подробности о блоге и авторе здесь. Поддержать автора вы можете тут.
Вас также может заинтересовать:
Подпишитесь на канал и читайте интересные записи чаще! Есть вопросы? Задайте их в чате.
комментариев 75
Превосходно! И детектив, и рассказ про такую полезную штуку как запуск проводника от имени администратора — все в одном! Прочел с удовольствием. Беру на заметку!
Годится! Согласны? +14Great story, mr. Watson! :)
Годится! Согласны? +8 Годится! Согласны? +17Вадим, стиль изложения выше всяких похвал! Как говорится, аффтар, пешы исчо.
Годится! Согласны? +9Читал с упоением, даже огорчился когда увидел конец детектива. Где берете все новое и новое Вадим, видимо Виндовс это большая недописанная книга)
Годится! Согласны? +5Скрыто по причине низкого рейтинга комментария. Нажмите здесь, чтобы прочесть.
Можете дать мод чтобы в меню через шифт, были пункты Запуск от админа для всех файлов, и Запуск папки под админом, и Запускт комадовой строки от админа в папке
Не ахти! -6Этот случай действительно интересный с точки зрения работы Windows 7. У него есть и практическое применение, хотя большей части пользователей он не нужен.
Увидев относительно слабую изначальную реакцию читателей на запись схожей тематики, я решил, что изложение proof of concept надо делать более увлекательным ;)
equinox, спасибо за высокую оценку рассказа!
Годится! Согласны? +5 Годится! Согласны? +5 Ваша оценка: +3Вам бы, батенька, романы писать.
Ваша оценка: -2 Ваша оценка: 0Bellissimo!
Das ist fantastisch!
Excellent!
Praeclarus!
Великолепно!
Сэр Артур Конан Дойль отдыхает однозначно :)
Вадим, изложение выше всяких похвал!
Надеюсь все твои следующие записи будут поданы не хуже этой ;)
Спасибо!
стиль потрясный, оказывается у технических спецов бывает и литературный талант :)
Ваша оценка: 0equinox, и что ваши скриншоты иллюстрируют? Они похожи на те, что у меня в статье :)
Hector, знаете, я ведь и до сегодняшнего дня писал точно так же с точки зрения языка, стилистики, детализации и т.д.. Просто тут стиль изложения другой, поэтому вы видите все в новом свете :)
Ваша оценка: 0 Ваша оценка: 0equinox, aх, понял теперь :) Идея хорошая, но я не стал настолько заморачиваться. У вас на скриншотах стиль оформления без Аеро, да и на первом скриншоте у меня видно, что explorer нет в списке процессов.
Чтобы продолжить в этом духе, нужны материалы подходящие. Я, конечно, рассматриваю такую возможность. С другой стороны, я буду и дальше стараться разнообразить стиль. Вы ведь любите приятные сюрпризы? :)
Ваша оценка: 0 Ваша оценка: 0В принципе, этот способ обсуждался в комментариях к предыдущей записи, начиная отсюда.
Описанное мной решение элегантнее, да и удобнее оно в повседневной работе, если она время от времени подразумевает запуск проводника с полными правами.
glizinia, спасибо за отзыв!
Ваша оценка: 0 Ваша оценка: +1 Ваша оценка: 0Vadim Sterkin
Назрел вопрос: возможно ли все манипуляции с dcomcnfg.exe и реестром развернуть на доменные машины? В работе на удаленных компьютерах использую FreeManager, который запускаю от имени администратора. Но запуск отдельного окошка проводника (а не долгий и утомительный перезапуск explorer.exe, как описывал Евгений) действительно полезнейшая штука при работе в среде с разделяемыми правами.
Ваша оценка: +1equinox: прошлом году крутили на первом канале английский сериал про современного Шерлока Холмса, »
Вадим, слов нет. Просто класс.
Ваша оценка: 0Спасибо, попробую на тестовой машине.
У меня тоже нет ТВ. Просто видел рекламу, и скачал весь сериал с торрентов :)
А а ведь всегда говорил, что есть некая корреляция между любовью к разъездам на велосипеде в не вполне трезвом состоянии и литературными способностями!
Но всё-таки «не опубликованное Конан Дойлем» должно писаться раздельно. (Либо «неопубликованное Конан Дойля»).
Ваша оценка: 0 Ваша оценка: +1Поинтересовался :) Мы пришли к выводу, что стилистически данная фраза небезупречна, и лучше было ее перефразировать, избегая разговорного стиля. Однако формат заголовка записи вынуждал быть кратким.
Примечание 3. Правило о раздельном написании не с причастиями, которые имеют зависимые слова, не распространяется на субстантивированные (перешедшие в разряд существительных) причастия; ср.:
В классе были учащиеся, не успевающие по русскому языку (причастие). — Количество неуспевающих по русскому языку в классе было невелико (причастие, перешедшее в разряд существительных).
Что же касается склонения (Конан Дойлем), то оно тоже правильно.
Ваша оценка: 0 Ваша оценка: +2 Ваша оценка: 0Я вот тоже так подумал. Но, посмотрев на число комментариев, прочёл. Не зря. Ключик забрал себе, авось пригодится.
P.S. В ХР всё проще было.
Желаю найти еще интересных тем для изложения их в подобном духе..)
Ваша оценка: 0 Ваша оценка: 0 Ваша оценка: +1 Ваша оценка: 0Короче и точнее:
1. Сначала определитесь, что вам нужно.
2. Потом читайте внимательно.
1мне нужно получить права админа 2мне нужно краткое описание того что написанно в рассказе.
Ваша оценка: 0Этот рассказ подразумевает, что у вас уже есть права администратора. Получить их можно так, если можно загрузиться с DVD/USB.
Но если эти права вам не положены И станет известно, что вы их получили, у вас будут проблемы.
Ваша оценка: 0 Ваша оценка: 0 Ваша оценка: 0Можно, но я не буду вам советовать это делать, потому что вам это вредно. См. также Так ли страшен контроль учетных записей?
Ваша оценка: 0
Еще с выходом в свет Windows Vista\2008 администраторы столкнулись с маленькой, но неприятной проблемой: оповещение об истечении срока действия пароля стало сиротливо появляться в самом неприметном углу экрана. И это вместо окна прямо по центру, как было раньше!
Отсюда и смена паролей в последний момент, под аккомпанемент отказов доступа; и негодование, почему вдруг перестал работать VPN, и что с этим делать в командировке. Конечно, не проблема года, но явление назойливое и неприятное. Поэтому разбираемся, как его одолеть.
В статье «Excel вместо PowerShell: запросы к AD и системные отчеты» я рассказывал, как вытащить информацию из Active Directory при помощи Excel. Благодаря этому механизму всегда можно получить отчет о сроках действия пользовательских паролей. В современных доменах для этого существует атрибут msDS-UserPasswordExpiryTimeComputed, который находится в классе user.
При помощи Power Query мы можем легко получить подобную табличку:
Отчет о сроках действия пароля в MS Excel.
Теперь, если добавить формулу вида
в соседний столбец, то мы получим таблицу уже такого вида:
Делаем отчет более наглядным.
Осталось только добавить правила раскрашивания ячеек на основе их содержимого, и будет совсем красиво:
И еще более наглядным.
При настройке автоматического обновления данных можно смотреть в таблицу и готовиться к заявкам от пользователей. Или поручить аккаунт-менеджеру (да, где-то есть такие специальные люди) обзванивать сотрудников.
Попробуем использовать в качестве аккаунт-менеджера PowerShell.
По счастью, получать данные из Active Directory можно не только через Excel, но и при помощи любимых скриптовых языков вроде PowerShell.
Для начала получим список пользователей и их адресов таким запросом:
Как видно, по этому запросу я получаю только тех пользователей, которые соответствуют трем критериям:
- Не заблокированные ― Enabled -eq $True.
- Те, у кого пароль имеет срок жизни ― PasswordNeverExpires -eq $False.
- Те, у кого вообще не установлен пароль ― PasswordLastSet -gt 0.
В результате мы получим таблицу значения с именем пользователя, его адресом и датой истечения пароля. Для удобства задаем три варианта времени предупреждения ― за 7, за 3 и за 1 день:
Теперь, сравнивая эти три переменные со значением $user.PasswordExpiry, мы сможем посылать соответствующие уведомления. Напомню, что отправка e-mail производится при помощи командлета Send-MailMessage.
Но не обязательно уведомлять пользователей исключительно по почте ― можно использовать материал «Еще не бот, но уже что-то ― получаем уведомления от Zabbix в мессенджеры» и отсылать уведомления по любому другому каналу связи.
С полным листингом скрипта, который можно запускать ежедневно при помощи планировщика, можно ознакомиться под спойлером.
Теперь пользователи предупреждены, и остается надеяться на их ответственность. Рассмотрим еще один вариант уведомления.
Приведу пример простого скрипта на PowerShell, подсунутого в автозагрузку групповыми политиками:
Строка запуска explorer shell. ― это запуск интерфейса «Безопасность Windows». После выхода Windows 2012 он исчез из меню «Пуск» и стал доступен только при нажатии Ctrl+Alt+Del или Ctrl+Alt+End в случае подключения по RDP.
Окно уведомления.
Для ценителей под спойлером старая версия скрипта.
Простой реализации помогает функция _AD_GetPasswordInfo() из библиотеки AD.au3. Она выдает массив значений с информацией о пароле, в том числе и временем его истечения.
После внедрения этого механизма какие-либо проблемы с просроченными паролями перестали появляться.
Если инфраструктура Active Directory у вас не развернута ― например, в случае отдельного терминального сервера, ― то решение тоже существует, пусть и чуть более сложное.
Для этого нам понадобится чуть-чуть магии WMI и любимый скриптовый язык. Вернемся к примерам на PowerShell:
При должной доработке такой скрипт может уведомлять пользователей при регулярном запуске или при входе в систему.
Уже давно я задумывался о смысле существования срока жизни пароля. С одной стороны, это хорошо и безопасно, с другой ― постоянное придумывание новых паролей приводит к забыванию этих самых паролей и, как следствие, к стикерам на мониторе и под клавиатурой.
Поэтому все больше мне близка практика, когда пользователи сами придумывают пароли, но при этом регулярно проводится аудит их творчества путем атаки по словарю утилитами вроде L0phtCrack. Обязательным остается только требование к длине паролей (вспоминая известную картинку от xkcd).
Так можно и людям жизнь облегчить, и избежать защитной реакции на «закручивание гаек» в виде чудесных сочетаний вроде Qwerty123. Ну, а что ― система не ругается, а ИБ эта ваша… понапридумывали тут.
Кстати, а у вас есть аккаунт-менеджер или какая-нибудь модно-молодежная практика смены паролей?
Читайте также: