Роман Клименко - Недокументированные и малоизвестные возможности Windows XP

Но удаление администраторами паролей к удостоверениям пользователей — это еще не все проблемы безопасности в Outlook Express. Существует еще одна. При входе пользователя в почтовый клиент Outlook Express (после ввода пользователем пароля) в ветви реестра HKEY_CURRENT_USER\Identities создается DWORD-параметр Identity Login. Он определяет так называемый идентификатор данного удостоверения (эти идентификаторы статичны, то есть всегда одинаковы для конкретной учетной записи пользователя, а не удостоверения). Идентификатор существует до выхода пользователя из почтового клиента — во время выхода он удаляется. Все дело в том, что если кто-то узнает значение данного идентификатора для удостоверения, например с помощью сетевого доступа просмотрит ветвь реестра HKEY_CURRENT_USER\Identities удаленного компьютера или просто посмотрит, чему равен идентификатор при своей работе в почтовом клиенте, то он сможет спокойно зайти в удостоверение, которое открывалось последним — почтовый клиент не потребует ввода пароля. Для этого достаточно будет перед открытием почтового клиента просто создать в ветви системного реестра HKEY_CURRENT_USER\Identities параметр Identity Login и присвоить ему значение идентификатора.

Теперь рассмотрим небольшой пример. Допустим, существует общественный компьютер, на котором используется почтовый клиент Outlook Express. В этом почтовом клиенте существует три удостоверения, при этом одно из них ваше, например, оно будет иметь GUID-номер удостоверения {7FA55060-42B6-4CA4-8925-51F7AE55A20F}, а второе удостоверение, доступ к которому очень нужно получить, имеет GUID-номер {5E92CB22-3FED-493A-9D6F-F7432CF5CD7C}. Если вы думаете, что получить доступ к этому удостоверению невозможно, то вы ошибаетесь — на это понадобится пять минут. Попробуем это сделать. Для начала, конечно, нужно зайти в свое удостоверение и посмотреть значение DWORD-параметра Identity Login ветви реестра HKEY_CURRENT_USER\Identities. После того как вы запомнили значение этого параметра, закрывайте почтовый клиент (внимание, нужно просто закрыть почтовый клиент, а не завершить сеанс работы с удостоверением). Вот, в принципе, и все. Теперь осталось выполнить последний шаг — отредактировать три параметра ветви реестра HKEY_CURRENT_USER\Identities.

1. Identity Login — необходимо создать этот параметр DWORD-типа и присвоить ему значение, которое вы недавно запомнили.

2. Last User ID — нужно присвоить этому параметру строкового типа значение GUID-номера удостоверения, к которому нужно получить доступ. В вашем случае, нужно присвоить значение {5E92CB22-3FED-493A-9D6F-F7432CF5CD7C} (если вы этого не сделаете, то просто войдете без пароля в свое удостоверение).

3. Last Username —необходимо присвоить этому параметру строкового типа значение логина удостоверения, доступ к которому нужно получить (еще не забыли, что его можно посмотреть в значении параметра Username ветви системного реестра HKEY_CURRENT_USER\Identities\{GUID-номер удостоверения почтового клиента, к которому вы хотите получить доступ}?).

Вот теперь точно все — достаточно еще раз открыть почтовый клиент, и вы без знания пароля войдете в удостоверение пользователя, имеющее GUID-номер {5E92CB22-3FED-493A-9D6F-F7432CF5CD7C}.

Как видите, проблема удаления паролей администраторами компьютера еще не самая страшная из всех, ведь предыдущий трюк может сделать обычный пользователь. Поэтому если корреспонденция, которую вы отправляете, имеет какую-то ценность, то ни в коем случае нельзя пользоваться для работы с ней почтовым клиентом Outlook Express, да еще и на общественных компьютерах. Ведь каким бы длинным и сложным ни был ваш пароль, его всегда можно удалить или обойти за пять минут.

Учетная запись — это сведения о пароле, логине, сайте почтового сервера и настройках для подключения к этому сайту сервера, с которого будет скачиваться ваша почта, если это почтовый сервер, или новости, если новостной. Каждое удостоверение содержит как общие учетные записи, создаваемые при установке почтового клиента, так и уникальные, создаваемые пользователем, которому принадлежит удостоверение. В некоторых случаях нет необходимости разрешать пользователям создавать свои учетные записи, например, когда почтовый клиент должен использоваться только для отправки почты на какой-то стандартный почтовый сервер. В этом случае можно скрыть команду Учетные записи из меню Сервис почтового клиента Outlook Express. Для этого достаточно воспользоваться DWORD-параметром No Modify Accts из ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Outlook Express. По умолчанию этого параметра нет, и его нужно создать. Необходимо присвоить ему значение 1.

При использовании этого параметра стоит иметь в виду, что добавить учетную запись или отредактировать свойства уже существующей все-таки можно — для этого достаточно воспользоваться реестром. Сведения об учетных записях, принадлежащих данному удостоверению, находятся в ветви реестра HKEY_CURRENT_USER\Identities\{GUID-номер удостоверения}\Software\Microsoft\Internet Account Manager\Accounts, полный доступ к содержимому которой имеют все пользователи. Эта ветвь не существует для главной учетной записи, для созданных самостоятельно должна существовать. Она включает в себя список разделов, каждый из них определяет настройки одной учетной записи данного удостоверения, и чтобы добавить свою учетную запись, нужно создать новый раздел. Например, в командной строке можно воспользоваться следующей командой: reg copy «HKEY_CURRENT_USER\Identities\{GUID-номер удостоверения}\Software\Microsoft\Internet Account Manager\Accounts\«название существующего раздела»» «HKEY_CURRENT_USER\Identities\{GUID-номер удосудостоверения}\Software\Microsoft\Internet Account Manager\Accounts\«название нового раздела»» /s. После выполнения этой команды в ветви HKEY_CURRENT_USER\Identities\{GUID-номер удостоверения}\Software\Microsoft\Internet Account Manager\Accounts будет создан новый раздел, содержимое которого придется самостоятельно изменить.

После того как будет настроена новая учетная запись, необходимо будет еще сделать ее учетной записью для работы с почтой по умолчанию. Для этого используется строковый параметр Default Mail Account (для почтового сервера) или строковый параметр Default LDAP Account (для Active Directory). Оба этих параметра расположены в ветви реестра HKEY_CURRENT_USER\Identities\{GUID-номер удостоверения}\Software\Microsoft\Internet Account Manager и хранят название раздела реестра, содержащего настройки соответствующей учетной записи (название раздела, который был создан на предыдущем этапе).

Как видите, запрет, накладываемый параметром No Modify Accts, также очень легко обойти, поэтому наиболее действенным запретом на редактирование учетных записей по-прежнему остается изменение прав доступа к соответствующим ветвям реестра.

Существует возможность скрытия команд Состояние и Windows Messenger из меню Сервис. Для этого достаточно присвоить DWORD-параметру Hide Messenger значение, равное 2. Этот параметр расположен в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Outlook Express. По умолчанию параметр не существует, и его нужно создать.