Для чего программа входа в систему Windows

Если вы используете для входа в Windows 11 учетную запись Microsoft, при каждом включении вашего устройства необходимо вводить пароль или ПИН-код. Вы единственный пользователь и не хотите, получать запрос на ввод пароля каждый раз, вы можете изменить поведение системы и входить в Windows 11 автоматически без ввода пароля.

Для того чтобы использовать механизм автоматического входа в операционную систему Windows 11, сначала необходимо выполнить небольшую настройку в приложении «Параметры».

Отключить Windows Hello и ввод пароля при пробуждении устройства.

1. Если вы используете PIN-код или другую функцию Windows Hello, параметр «Требовать ввод имени пользователя и пароля» будет скрыт, чтобы использовать автоматический вход без ввода пароля, откройте приложение «Параметры».

1. Перейдите в категорию «Учетные записи» → «Варианты входа»

Ваша учетная запись отключена при входе Windows 10 — решение

1. В разделе «Дополнительные параметры» передвиньте ползунок для «Для повышения безопасности включите вход Windows Hello для учетных записей Майкрософт на этом устройстве (рекомендуется)» в положение «Откл.»

1. Сразу под ним находится следующий параметр «В случае вашего отсутствия через какое время Windows должна потребовать выполнить повторный вход?» в выпадающем меню выберите значение «Никогда».

Теперь, перейдем непосредственно к настройке автоматического входа.

Автоматический вход в Windows 11, с помощью одной из команд: control userpasswords2 и netplwiz.

1. Нажмите сочетание клавиш Win R это откроет диалоговое окно «Выполнить», введите любую из двух команд представленных ниже и нажмите Enter :

netplwiz
control userpasswords2

Или, Вы можете открыть папку C:WindowsSysWOW64 и запустите от имени администратора файл «Netplwiz.exe».

1. В открывшемся окне «Учетные записи пользователей» выберите свою учетную запись и снимите флажок «Требовать ввод имени пользователя и пароля», нажмите кнопку «Применить».

Создание новой учетной записи без входа в систему

Примечание: если вы не видите настройку «Требовать ввод имени пользователя и пароля», значит вы не отключили «Windows Hello».

1. В окне «Автоматический вход в систему» введите в строку «Пароль:» и «Подтверждение:» пароль, который используете для входа в систему.

Если учетная запись является локальной записью и не имеет пароля, просто оставьте это поле пустым.

1. Перезагрузите компьютер чтобы изменения вступили в силу.

После перезагрузки устройства вы автоматически войдете систему Windows 11 минуя окно блокировки и ввода пароля.

Автоматический вход в Windows с помощью утилиты «Microsoft AutoLogon».

«Microsoft Autologon» это крохотная утилита предлагаемая Microsoft, которая поможет вам легко изменить настройки механизма автоматического входа в Windows 11. Подобно netplwiz, вы можете настроить автоматический вход для локальной или MSA — учетной записи Microsoft.

Утилита сохраняет ваш пароль в реестре Windows 11, но в целях безопасности он будет зашифрован.

1. Перейдите на сайт docs.microsoft.com и загрузите утилиту «AutoLogon» (495 КБ).
2. После загрузки распакуйте архив и дважды кликните файл autologon.exe, примите условия лицензии.
3. Введите ваш логин и пароль для входа в систему и нажмите кнопку «Enable», это задействует механизм автоматического входа для выбранной учетной записи пользователя. Если вы все сделали правильно появится подтверждающее, что «Autologon» успешно сконфигурирован.

Вы также можете работать с утилитой AutoLogon с помощью Терминала Windows, используя синтаксис:

autologon user domain password

1. Перезагрузите ваше устройство с Windows 11, чтобы применить изменение.
2. Чтобы отключить автоматический вход, нажмите «Disable». Кроме того, если удерживать клавишу Shift до того, как система выполнит автоматический вход, автоматический вход будет отключен для этого сеанса входа в систему.

Автоматический вход в Windows 11 с помощью редактора реестра.

Вы можете настроить автоматический вход в Windows 11 с помощью редактора реестра.

1. Нажмите клавиши Win R на клавиатуре, чтобы открыть диалоговое окно «Выполнить». Введите «regedit» и нажмите Enter , чтобы запустить редактор реестра.
2. Перейдите к следующему пути или скопируйте и вставьте в адресную строку редактора реестра следующий путь:

КомпьютерHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

1. С права найдите параметр с именем «AutoAdminLogon» и измените его значение на «1». Если параметра не существует создайте новый параметр Dword (32 бита) с именем «AutoAdminLogon» и значением 1.

1. Теперь необходимо создать еще два строковых параметра в которых будут хранится данные для автоматического входа. Кликните правой кнопкой мыши на разделе «Winlogon» и выберите «Создать» → «Строковой параметр»

1. Задайте имя «DefaultUserName» новому строковому параметру и введите его значение — «Имя пользователя» (имя пользователя должно быть таким же как название папки C:Users)

1. Повторите процедуру для строкового параметра с именем «DefaultPassword» и введите в качестве значения ваш пароль для входа.

1. Если вы используете локальную учетную запись вам потребуется создать третий строковой параметр с именем «DefaultDomainName» и в поле значение введите имя вашего компьютера.
2. После того, как все значения будут заполнены, закройте редактор реестра и перезагрузите ваш компьютер.

После перезагрузки вы автоматически войдёте в систему без ввода пароля.

Таблица параметров и их значений

Имя Строкового параметра	Значение
DefaultDomainName	Имя компьютера или имя домена (для локальной учетной записи)
DefaultUserName	Имя пользователя (можно посмотреть здесь: C:Users)
DefaultPassword	Пароль для выбранной учетной записи

В отличии от предыдущего способа, ваш пароль хранится в реестре в незашифрованном виде. Любой, кто имеет доступ к вашему устройству может посмотреть его. Поэтому я рекомендую использовать «netplwiz» или «Autologon», поскольку они используют шифрование.

Если вы захотите отключить автоматический вход в Windows 11 с помощью этого способа, удалите строковые параметры «DefaultPassword», «DefaultUserName», «AutoAdminLogon».

Все! Поделитесь с нами в комментариях ниже, какой способ автоматического входа в Windows 11 используете вы.

Источник: g-ek.com

Sysadminium

В этой статье разберем процесс входа в систему (Login в Windows). А также разберём все компоненты участвующие в этом процессе.

Оглавление скрыть

Компоненты участвующие в процессе входа

Login в Windows начинается с процесса Winlogon. Который координирует вход в систему, запускает первый процесс пользователя при входе в систему и обрабатывает выход из системы.

Winlogon может запускать процесс LogonUI для ввода паролей при: входе в систему, изменении паролей, блокировке и раз-блокировке компьютера.

Winlogon при получении учетных данных пользователя зависит от поставщиков учетных записей, которые являются com-объектами. Поставщики поддерживают аутентификацию с использованием:

• пароля,
• pin-кода,
• смарт-карты с pin-кодом,
• распознавания лица.

Могут быть установлены и сторонние поставщики, например считывание отпечатка пальца.

Так как Winlogon является критически важным объектом, то его необходимо защищать. Поэтому Winlogon загружает поставщиков данных используя другой процесс — LogonUI. Процесс LogonUI запускается только по запросу, когда нужно вывести пользовательский интерфейс получения учетных данных. Выход из LogonUI осуществляется после получения таких данных. Winlogon может просто перезапустить LogonUI в случае сбоя.

После того как Winlogon получил учетные данные он вызывает LSASS, чтобы проверить правильность учетных данных. Если пользователь есть в системе и ему разрешено входить в систему, запускается оболочка входа в систему от имени этого пользователя.

Инициализация Winlogon

Перед тем, как станет активным любое пользовательское приложение, процесс Winlogon выполняет следующие действия:

• создает и выполняет интерактивное окно, для предоставления клавиатуры, мыши и монитора. Ни один другой пользовательский процесс не сможет запуститься, пока Winlogon это не разрешит;
• создает и запускает два рабочих стола — интерактивный и защищенный. Интерактивный рабочий стол используется для работы пользователя, а защищенный при блокировке системы, или перед тем как кто-нибудь зайдет в систему. Нажатие Ctrl+Alt+Delete переключает защищенный рабочий стол на интерактивный и начинается процедура аутентификации, запускается LogonUI, загружается один из поставщиков учетных данных и так далее;
• устанавливает ALPC-подключение к LSASS для обмена информацией;
• регистрируется сервер rpc-сообщений, который прослушивает уведомления SAS, выхода из системы и блокировки рабочей станции. Безопасность SAS реализована таким образом, что ни одно другое приложение не может перехватить комбинацию Ctrl+Alt+Delete.

Этапы входа пользователя в систему

Login в Windows начинается, когда пользователь нажимает SAS комбинацию (Ctrl+Alt+Delete). Далее Winlogon запускает LogonUI, который вызывает поставщика учетных данных. Winlogon также создает для этого пользователя уникальный SID входа в систему, этот SID попадает в маркер доступа.

После ввода имени пользователя и пароля Winlogon обращается к LSASS. Как только LSASS проверит пользователя, Winlogon продолжит процесс входа. Если LSASS в ходе проверки не узнает пользователя, то процесс входа для него прекращается.

Для интерактивного входа используются два стандартных пакета аутентификации:

• MSV1_0 — на автономном компьютере. Он принимает логин и хеш введенного пароля и отправляет запрос локальному SAM-администратору для извлечения информации об учетной записи. Извлекается имя учетной записи, его группы и хеш пароля. На основе этой информации принимается решение, пускать пользователя в систему или нет.
• Kerberos — на компьютере в домене. Процесс входа похож на первый, но в этом случае компьютеру в домене нужно еще обмениваться информацией с контроллером домена. Такой обмен выполняется по протоколу Kerberos, который обеспечивает безопасную среду передачи информации от рабочей станции к контроллеру домена в ходе аутентификации.

Затем Winlogon ищет в реестре значение параметра HKLMSOFTWARE MicrosoftWindows NTCurrent VersionWinlogonUserinit и на его основе создает первый процесс пользователя. По умолчанию это Userinit, который загружает профиль пользователя, а затем загружает оболочку пользователя из параметра HKCUSOFTWARE MicrosoftWindows NTCurrent VersionWinlogonShell или из HKLMSOFTWAREMicrosoftWindows NTCurrent VersionWinlogonShell. По умолчанию оболочка пользователя — Explorer.exe. Затем происходит выход из Userinit. Именно поэтому для Explorer.exe не показывается родительский процесс при просмотре в Process Explorer.

Windows Hello

Технология Windows Hello, появившаяся в Windows 10, предоставляет новые средства аутентификации пользователей на основании биометрической информации. С этой технологией пользователь может выполнить вход с минимальными усилиями — для этого достаточно заглянуть в камеру или провести пальцем.

Windows Hello поддерживает три типа биометрической идентификации:

• отпечаток пальца;
• лицо;
• сетчатка глаза.

Источник: sysadminium.ru

Управление проверкой личности с помощью Windows Hello для бизнеса

Делимся с вами обзорным материалом про службу Windows Hello, обеспечивающую двухфакторную проверку на Windows 10. Также вы узнаете, чем она будет полезна для крупных компаний, почему стоит выбирать PIN-код, а не пароль и как её настроить.

Windows Hello — что это и зачем?

В Windows 10 служба Windows Hello для бизнеса заменяет пароли на строгую двухфакторную проверку подлинности на компьютерах и мобильных устройствах. Она заключается в создании нового типа учетных данных пользователя в привязке к устройству, использовании биометрических данных или PIN-кода.

В первых версиях Windows 10 были службы Microsoft Passport и Windows Hello, которые обеспечивали многофакторную проверку подлинности. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Если вы уже выполнили развертывание этих технологий, то вы не заметите никаких изменений в функционировании служб. Для тех, кому еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.

Служба Hello призвана решать типичные проблемы пользователей, возникающие при работе с паролями:

• Пароли могут быть трудны для запоминания, и пользователи часто повторно используют пароли на нескольких сайтах.
• Взломы сервера могут раскрывать симметричные сетевые учетные данные.
• Пароли могут подлежать атакам с повторением пакетов.
• Пользователи могут непреднамеренно предоставить свой пароль вследствие фишинга.

После начальной двухэтапной проверки при регистрации на вашем устройстве настраивается служба Hello, и вы сами устанавливаете жест, который может быть как биометрическим, например отпечатком пальца, так и PIN-кодом. Далее необходимо сделать жест для проверки своего удостоверения. После этого Windows использует Hello для проверки подлинности и предоставления им доступа к защищенным ресурсам и службам.

От имени администратора компании или общеобразовательной организации можно создать политики управления Hello для использования на устройствах под управлением Windows 10, которые подключаются к вашей организации.

Разница между Windows Hello и Windows Hello для бизнеса

Windows Hello предназначена для удобного и безопасного входа пользователя. Такое использование Hello обеспечивает отдельный уровень защиты, так как является уникальным для устройства, на котором настраивается, однако проверка подлинности на основе сертификатов при этом отсутствует.

Служба Windows Hello для бизнеса, которая настраивается групповой политикой или политикой MDM, использует проверку подлинности на основе ключа или сертификата.

В настоящее время в учетных записях Active Directory с использованием Windows Hello не поддерживается проверка подлинности на основе ключа или сертификата. Эта функция должна появиться в будущем выпуске.

Почему PIN-код, а не пароль?

Пароли представляют собой общие секреты, они вводятся на устройстве и передаются по сети на сервер. Перехваченные имя и пароль учетной записи могут быть использованы кем угодно. Например, учетные данные могут быть раскрыты при взломе сервера.

В Windows 10, в процессе подготовки, служба Hello создает пару криптографических ключей, привязанных к доверенному платформенному модулю (TPM), если устройство оснащено таким модулем, или в программной реализации. Доступ к этим ключам и получение подписи для проверки того, что пользователь владеет закрытым ключом, предоставляется только при вводе PIN-кода или биометрического жеста.

Двухэтапная проверка, которая происходит при регистрации в службе Hello, формирует доверительные взаимоотношения между поставщиком удостоверений и пользователем, когда открытая часть пары «открытый/закрытый ключ» отправляется поставщику удостоверений и связывается с учетной записью пользователя. Когда пользователь выполняет жест на устройстве, поставщик удостоверений определяет по комбинации ключей Hello и жеста, что это проверенное удостоверение, и предоставляет маркер проверки подлинности, с помощью которого Windows 10 получает доступ к ресурсам и службам. Кроме того, в процессе регистрации генерируется претензия по удостоверению для каждого поставщика удостоверений, чтобы криптографически подтвердить, что ключи Hello привязаны к TPM. Если претензия по удостоверению во время регистрации не выставляется поставщику удостоверений, поставщик удостоверений должен предполагать, что ключ Hello создан программно.

Представьте, что кто-то подсматривает через ваше плечо при получении денежных средств из банкомата и видит вводимый вами PIN-код. Наличие этого PIN-кода не поможет им получить доступ к учетной записи, так как у них нет банковской карты. Аналогичным образом перехват PIN-кода для устройства не позволяет злоумышленнику получить доступ к учетной записи, так как PIN-код является локальным для конкретного устройства и не обеспечивает никакого типа проверки подлинности с любого другого устройства.

Hello как раз позволяет защищать удостоверения и учетные данные пользователей. Так как пароли не используются, фишинг и атаки методом подбора становятся бесполезными. Эта технология позволяет также предотвратить взломы серверов, так как учетные данные Hello являются асимметричной парой ключей, что предотвращает атаки с повторяющимися пакетами, так как эти ключи защищены доверенными платформенными модулями (TPM).

Также можно использовать устройства с Windows 10 Mobile в качестве удаленных учетных данных при входе на ПК под управлением Windows 10. В процессе входа в систему ПК под управлением Windows 10 он может подключаться и получать доступ к Hello на вашем устройстве под управлением Windows 10 Mobile по Bluetooth. Поскольку мы всегда носим с собой телефон, Hello позволяет гораздо проще реализовать двухфакторную проверку подлинности.

Функция входа через телефон в данный момент доступна только отдельным участникам программы принятия технологий (TAP).

Так как же PIN-код помогает защитить устройство лучше, чем пароль?

Преимущества PIN-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.

1. PIN-код привязан к устройству. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи PIN-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.

2. PIN-код хранится на устройстве локально. Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. PIN-код задается на устройстве на локальном уровне, не передается и не хранится на сервере.

При создании PIN-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе PIN-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.

3. PIN-код поддерживается оборудованием. PIN-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Hello подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. После определенного количества попыток ввода неправильного PIN-кода устройство блокируется.

4. PIN-код может быть сложным. К PIN-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что PIN-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики, предполагающие уровень сложности PIN-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.

Раздел меню настроек в котором задаются параметры PIN-кода и биометрия:

Что произойдет в случае кражи ноутбука или телефона?

Для нарушения безопасности учетных данных Windows Hello, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать PIN-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.

Настройка BitLocker без TPM

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:

Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы → Требовать дополнительной проверки подлинности при запуске

В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.

Перейдите в меню Панель управления → Система и безопасность → Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Конфигурация компьютера → Параметры Windows → Параметры безопасности → Политики учетных записей → Политика блокировки учетных записей → Пороговое значение блокировки.

Установите допустимое количество неудачных попыток входа в систему и нажмите ОК.

Как работает Windows Hello для бизнеса: основные положения

1. Учетные данные службы Hello основаны на сертификате или асимметричной паре ключей и привязаны к устройству, как и маркер, получаемый с помощью учетных данных.

2. Поставщик удостоверений (например, Active Directory, Azure AD или учетная запись Майкрософт) проверяет удостоверение пользователя и сопоставляет открытый ключ Hello с учетной записью пользователя на этапе регистрации.

3. Ключи могут генерироваться в аппаратном (TPM 1.2 или 2.0 для предприятий и TPM 2.0 для потребителей) или программном обеспечении на основании политики.

4. Проверка подлинности — это двухфакторная проверка с использованием сочетания ключа или сертификата, привязанного к устройству, и информации, известной пользователю PIN-код), или идентификационных данных пользователя (Windows Hello). Жест Hello не перемещается между устройствами и не предоставляется серверу. Он хранится локально на устройстве.

5. Закрытый ключ никогда не покидает устройство. Проверяющий подлинность сервер имеет открытый ключ, который был сопоставлен с учетной записью пользователя во время регистрации.

6. Ввод PIN-кода и биометрических жестов приводит к проверке удостоверения пользователя в Windows 10 и проверке подлинности с использованием ключей или сертификатов Hello.

7. Личные (учетная запись Майкрософт) или корпоративные учетные записи (Active Directory или Azure AD) использует один контейнер для ключей. Все ключи разделены по доменам поставщиков удостоверений в целях обеспечения конфиденциальности пользователя.

8. Закрытые ключи сертификатов могут быть защищены контейнером Hello и жестом Hello.

Сравнение проверки подлинности на основе ключа и сертификата

Для подтверждения личности служба Windows Hello для бизнеса может использовать ключи (аппаратный или программный) или сертификаты с ключами в аппаратном или программном обеспечении. Предприятия с инфраструктурой открытых ключей (PKI) для выпуска и управления сертификатами могут продолжать использовать PKI вместе со службой Hello. Предприятия, у которых нет PKI или которые хотят сократить объем работ, связанных с управлением сертификатами, могут использовать для службы Hello учетные данные на основе ключа.

Аппаратные ключи, которые создаются модулем TPM, обеспечивают наиболее высокий уровень гарантии. При изготовлении в модуль TPM помещается сертификат ключа подтверждения (EK). Этот сертификат EK создает корневое доверие для всех других ключей, которые генерируются в этом модуле TPM.

Сертификация EK используется для генерации сертификата ключа удостоверения подлинности (AIK), выданного службой сертификации Microsoft. Этот сертификат AIK можно использовать как претензию по удостоверению, чтобы доказать поставщикам удостоверений, что ключи Hello генерировались одним и тем же TPM. Центр сертификации Майкрософт (CA) генерирует сертификат AIK для каждого устройства, пользователя и IDP, чтобы гарантировать защиту конфиденциальности.

Если поставщики удостоверений, например Active Directory или Azure AD, регистрируют сертификат в службе Hello, Windows 10 будет поддерживать тот же набор сценариев, что и смарт-карта. Если тип учетных данных представляет собой ключ, будет поддерживаться только доверие и операции на основе ключа.