web-dev-qa-db-ja.com

Windows自動ログオンはどの程度安全ですか?

明らかに、自動ログオンが有効になっている場合、PCに物理的にアクセスできるすべてのユーザーがPCを使用できます。それは問題ではありません。

問題は、私が Windows 7の自動ログオンを有効にする ボックスの場合、追加のセキュリティ問題があるかどうかです。

設定「このコンピュータを使用するには、ユーザーはユーザー名とパスワードを入力する必要があります。」は他に影響しますか?自動ログイン用のパスワードはどこにどのように保存されますか?

注:これはWindows7専用です。この小さな宝石を見つけたので XPに関して

さらに、自動ログオンをオンにすると、パスワードはレジストリにプレーンテキストで格納されます。この値を格納する特定のレジストリキーは、Authenticated Usersグループによってリモートで読み取ることができます。

免責事項:これは私の自宅のデスクトップPC用です。ラップトップではありません。仕事関係ではありません。

8
Martin

問題は、Windows 7ボックスで自動ログオンを有効にすると、追加のセキュリティ問題があるのでしょうか?

レジストリを読み取ったり、そこに格納されている資格情報を(おそらく悪意のある)パーティに配布したりしない限り。

「このコンピュータを使用するには、ユーザーはユーザー名とパスワードを入力する必要があります」という設定はありますか?他に何か影響は?

レジストリへの読み取りアクセスを持たないように制限されているソフトウェアを実行している最初の人をまだ発見していません。したがって、実際には、実行するための正しい(UAC)資格情報が作成されて与えられていれば、どのソフトウェアでもレジストリから資格情報を読み取ることができます。これは99.99%の場合です。

実行中の「ソフトウェア」の1つが「マルウェア」である場合、必要なのは、資格情報をサードパーティに渡すためのインターネット経由の短い送信だけです。あなたの知らない最悪のシナリオで。これらの資格情報を使用して、外部(ネットワーク/インターネット)からシステムにアクセスし、自動ログインアカウントに与えたのと同じユーザーアクセスレベルでマシンを使用する可能性があります。

自動ログイン用のパスワードはどこにどのように保存されますか?

Windowsレジストリ、「プレーンテキスト」

まだ誰も言っていないので、私の側からのセキュリティのヒント...

自動ログインが役立ちます。ただし、自動ログインアカウントに「admin」レベルがあるとは言わないでください。もしそうなら、それをより制限された無害なものに変更してください...念のために!

4
user6373

自動ログインは、資格情報をレジストリにプレーンテキストで保存することで機能します。 winlogon.exeプロセスの読み込みが完了すると、それらの特定のレジストリ値をチェックします。それらが存在する場合、Windowsはそれらの資格情報でログオンします。ユーザーが同じ資格情報を自分で入力したかのようです。

通常、ネットワークまたはローカルマシンへのアクセスが制限されているユーザーアカウントを使用して、キオスクスタイルモードで使用するように設計されています。

安全ですか?いいえ。ユーザーパスワードは、プレーンテキストでレジストリに保存されます。これは、アクセスが制限されたアカウント用のキオスクスタイルのシステム用に設計されました。

6
Steve

SystInternals autologonは、資格情報をLSASecretレジストリ領域に格納します。これは、サードパーティツール(Google向け)で簡単に抽出できます。安全な解決策は、 LogonexpertAES256 を使用してログイン/パスを暗号化することだけです。 =

6
Taho

自動ログオンを使用する場合は、少なくともSystInternalsユーティリティ Autologon を使用することをお勧めします。

この方法では、少なくともプレーンテキストで保存されておらず、(ある程度)保護されていません。

注:LSAシークレットとして保存されます。 http://blogs.technet.com/b/doxley/archive/2009/04/22/safely-setting-autologon-for-windows.aspx

3
surfasb