Книга: Недокументированные и малоизвестные возможности Windows XP

Пароли Outlook Express

Пароли Outlook Express

Пароли всех удостоверений Outlook Express хранятся в реестре. Для этого предназначена ветвь реестра HKEY_CURRENT_USERSoftwareMicrosoftProtected Storage System Provider«идентификатор безопасности вашей учетной записи (SID)»Data. По умолчанию доступ к ветви системного реестра HKEY_CURRENT_USERSoftwareMicrosoftProtected Storage System Provider«идентификатор безопасности вашей учетной записи (SID)» не определен ни для какой учетной записи. Поэтому если ваша учетная запись принадлежит к группе Администраторы, то необходимо будет еще изменить права доступа к этой ветви реестра, чтобы увидеть ее содержимое (учетные записи, принадлежащие к другим группам, не имеют права изменять права доступа к данной ветви реестра). После того как вы измените права доступа, перед вами появятся два дочерних раздела ветви — Data и Data2. Пароли Outlook Express в зашифрованном виде содержатся в разделе Data, поэтому узнать пароль конкретного пользователя не получится, но можно переименовать раздел Data, например, в раздел 2Data или просто удалить его. После этого все пароли на удостоверения данного пользователя будут удалены и можно будет войти в его удостоверения без пароля. Это может понадобиться в том случае, если пароль на удостоверение утерян или поврежден.

ВНИМАНИЕ

Естественно, что администраторы могут удалить пароли удостоверений пользователей не только в том случае, когда пользователи забыли эти пароли, но и в зависимости от своих моральных качеств, просто так, ради интереса. При этом администратор может просто присвоить разделу Data другое имя, а потом, после того как получит доступ к удостоверению, переименовать раздел обратно в Data — и пользователь даже не узнает, что кто-то входил в его удостоверение. Именно поэтому в корпоративной сети следует внимательно относиться к своим удостоверениям, а также к переписке, которая хранится в них. 

ПРИМЕЧАНИЕ

Идентификатор безопасности SID является числом в специальном формате (например, для учетной записи Администратор этот идентификатор всегда равен S-1-5-21-1645522239-1957994488-839522115-500). Это число идентифицирует данного пользователя во всех операциях доступа к реестру, файловой системе Windows, сети и т.д. Идентификатор безопасности — это уникальное число (за исключением учетной записи Администратор, для которой идентификатор безопасности на всех компьютерах одинаковый), однозначно идентифицирующее учетную запись. Список всех идентификаторов безопасности для учетных записей (существуют также идентификаторы безопасности для групп пользователей) можно просмотреть в ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionProfileList. Ветвь содержит разделы, названные в честь идентификаторов безопасности. При этом данные разделы хранят параметр строкового типа ProfileImagePath, который определяет путь к папке профиля, используемой данной учетной записью (конечная папка этого пути названа в честь логина учетной записи, поэтому можно определить, какой учетной записи соответствует каждый идентификатор безопасности). 

Но удаление администраторами паролей к удостоверениям пользователей — это еще не все проблемы безопасности в Outlook Express. Существует еще одна. При входе пользователя в почтовый клиент Outlook Express (после ввода пользователем пароля) в ветви реестра HKEY_CURRENT_USERIdentities создается DWORD-параметр Identity Login. Он определяет так называемый идентификатор данного удостоверения (эти идентификаторы статичны, то есть всегда одинаковы для конкретной учетной записи пользователя, а не удостоверения). Идентификатор существует до выхода пользователя из почтового клиента — во время выхода он удаляется. Все дело в том, что если кто-то узнает значение данного идентификатора для удостоверения, например с помощью сетевого доступа просмотрит ветвь реестра HKEY_CURRENT_USERIdentities удаленного компьютера или просто посмотрит, чему равен идентификатор при своей работе в почтовом клиенте, то он сможет спокойно зайти в удостоверение, которое открывалось последним — почтовый клиент не потребует ввода пароля. Для этого достаточно будет перед открытием почтового клиента просто создать в ветви системного реестра HKEY_CURRENT_USERIdentities параметр Identity Login и присвоить ему значение идентификатора.

Теперь рассмотрим небольшой пример. Допустим, существует общественный компьютер, на котором используется почтовый клиент Outlook Express. В этом почтовом клиенте существует три удостоверения, при этом одно из них ваше, например, оно будет иметь GUID-номер удостоверения {7FA55060-42B6-4CA4-8925-51F7AE55A20F}, а второе удостоверение, доступ к которому очень нужно получить, имеет GUID-номер {5E92CB22-3FED-493A-9D6F-F7432CF5CD7C}. Если вы думаете, что получить доступ к этому удостоверению невозможно, то вы ошибаетесь — на это понадобится пять минут. Попробуем это сделать. Для начала, конечно, нужно зайти в свое удостоверение и посмотреть значение DWORD-параметра Identity Login ветви реестра HKEY_CURRENT_USERIdentities. После того как вы запомнили значение этого параметра, закрывайте почтовый клиент (внимание, нужно просто закрыть почтовый клиент, а не завершить сеанс работы с удостоверением). Вот, в принципе, и все. Теперь осталось выполнить последний шаг — отредактировать три параметра ветви реестра HKEY_CURRENT_USERIdentities.

1. Identity Login — необходимо создать этот параметр DWORD-типа и присвоить ему значение, которое вы недавно запомнили.

2. Last User ID — нужно присвоить этому параметру строкового типа значение GUID-номера удостоверения, к которому нужно получить доступ. В вашем случае, нужно присвоить значение {5E92CB22-3FED-493A-9D6F-F7432CF5CD7C} (если вы этого не сделаете, то просто войдете без пароля в свое удостоверение). 

3. Last Username —необходимо присвоить этому параметру строкового типа значение логина удостоверения, доступ к которому нужно получить (еще не забыли, что его можно посмотреть в значении параметра Username ветви системного реестра HKEY_CURRENT_USERIdentities{GUID-номер удостоверения почтового клиента, к которому вы хотите получить доступ}?).

Вот теперь точно все — достаточно еще раз открыть почтовый клиент, и вы без знания пароля войдете в удостоверение пользователя, имеющее GUID-номер {5E92CB22-3FED-493A-9D6F-F7432CF5CD7C}.

Как видите, проблема удаления паролей администраторами компьютера еще не самая страшная из всех, ведь предыдущий трюк может сделать обычный пользователь. Поэтому если корреспонденция, которую вы отправляете, имеет какую-то ценность, то ни в коем случае нельзя пользоваться для работы с ней почтовым клиентом Outlook Express, да еще и на общественных компьютерах. Ведь каким бы длинным и сложным ни был ваш пароль, его всегда можно удалить или обойти за пять минут.

Оглавление книги


Генерация: 1.416. Запросов К БД/Cache: 3 / 0
поделиться
Вверх Вниз