Windows szolgáltatások VII/2
2005/05/30 13:53
651 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A LocalSystem saga folytatódik: Protected Storage, Remote Access Auto Connection Manager

Protected Storage (Védett tároló)
A szerviz rövid neve: ProtectedStorage
Az alkalmazás neve: lsass.exe
Függés: Remote Procedure Call
Függesztés: -
Porthasználat: -
Alapértelmezett indítás: automatikus

Ez a szerviz az érzékeny adatainkat - úgymint jelszavak, privát kulcsok - védi, a nem jogosult felhasználóktól vagy éppen szolgáltatásoktól, processzek-től. A különböző alkalmazások (Outlook, IE, stb.) számára megengedi hogy egyszerűen elhelyezzék és szükség esetén kinyerjék a lerakott kódokat, jelszavakat. Erre a célra egy biztonságos és jól elzárt tárolót használ, amely sérthetetlenségét a felhasználó mesterkulcsán (master key, a profilba rejtett, a felhasználó jelszavából képzett, ám többszörösen "megkevert", háromhavonta megváltozó kulcs) keresztül a HMAC (Hash-Based Message Authentication Code) módszerrel és az SHA1 algoritmus segítségével biztosítja a DPAPI (Data Protection API). Ez egy teljes szélességében beavatkozás nélküli folyamat, nem is konfigurálható.

Ha letiltjuk vagy leállítjuk a szervizt, akkor az ilyetén védett adatok elérhetetlenek lesznek, a tanúsítványkiadó szolgáltatás nem működik tovább, sőt az S/MIME és az SSL sem, valamint az intelligens kártyás (smartcard) belépés is lehetetlenné válik.
De van ezzel a szervizzel kapcsolatban még egy érdekesség, nemcsak a leállásakor/letiltáskor lehetnek fennakadások, hanem egy speciális esetben is (megtörtént). Ez úgy derült ki, hogy miután az IE-nek megengedtük, hogy eltárolja a különböző weboldalakon rendszeresen használt és ezért kényelmi szempontból elmentett jelszavakat, és közben az Outlook-nak is, hogy a POP3 postafiókok jelszavát jegyezze meg, egyszercsak mindkettővel elkezdődtek a problémák. Az Outlook megtagadta a belépést a postafiókba, míg a jó ismerős weblapoknál állandóan egy "Protected Storage Service" panel akarta kikényszeríteni az elvileg már ismert jelszavakat. A megoldáshoz vezető úton (ami persze a Google, mint mindig :D) kiderült, hogy a valószínűleg az adott profilban generált jelszó cache és a Védett tároló szervizéhez kapcsolódó regisztrációs adatbázisban tárolt tartalom ütközik (mert mondjuk megsérült az utóbbi). Mit lehet tenni? Találtunk megoldást:
- le kell állítani a szervizt
- el kell indítani regedt32.exe-t és ide navigálni:

HKEY_CURRENT_USER Software Microsoft Protected Storage System Provider

- ahogy a képen is látható egyetlen kulcs található itt, az adott felhasználó SID-jével. Nos, ezt kellett törölni. Persze (és anno ezért kellett a regedt32, viszont ma már nem kell, jó a sima regedit.exe is), előtte adtunk magunknak jogosultságot (jobb gomb a kulcson > Permissons...), mert alapból csak a SYSTEM felhasználónak van hozzáférése.
A SID-del jelölt kulcsot kell törölni - ezután indítsuk el a szervizt és a hiba megszűnik.

Figyelem! A megoldás egyetlen szépséghibája, hogy a javítás mellett egyúttal fergeteges rombolást és sóval beszórást végez a korábban itt-ott elmentett jelszavak között, de ezeket újra megadva (az alkalmazásokban is) működni fog minden szépen.

Remote Access Auto Connection Manager
(Távelérés - automatikus kapcsolódás kezelője)
A szerviz rövid neve: RasAuto
Az alkalmazás neve: rasauto.dll (svchost.exe)
Függés: Remote Procedure Call, Remote Access Connection Manager, Telephony, Plug and Play
Függesztés: -
Porthasználat: -
Alapértelmezett indítás: kézi, leállítva

Ezt a szolgáltatást másképp "Autodial service"-nek is nevezik, és ebből már könnyebb kitalálni, hogy egy automatikus kapcsolódást próbál megvalósítani, akkor, amikor egy alkalmazás egy távoli DNS vagy NetBIOS nevet szeretne elérni.
A szerviz először biztosra akar menni, azaz megpróbálja feloldani a távoli számítógép vagy pl. egy megosztás nevét, vagy hálózati csomagokat próbál küldeni a távoli gép felé, mert élő hálózati kapcsolat esetén természetesen nem lesz automata "tárcsázás". Ám ha ezek a módszerek eredménytelennek bizonyulnak, akkor aktiválódik, és feldob egy modemes vagy VPN csatlakozási lehetőséget a felhasználó elé. Nyilván csak a már meglévő kapcsolatokat képes ilyenkor felajánlani a csatlakozáshoz, ezek közül pedig azt, amelyet legutóbb használtunk (mert az összerendeléseket tárolja) az adott hely eléréséhez.

Ha leállítjuk, kézzel kell indítanunk a csatlakozást, amennyiben szükséges. De van ami még ekkor is elindul! Ez pedig a Windows termékaktiváció, amely a Telefonos szerviz mellett ezt is képes beizzítani szükség esetén. Ha viszont letiltjuk a szervizt, akkor nem, és természetesen más alkalmazás sem.

Folytatjuk...

Gál Tamás
gtamas@tjszki.hu

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek