Идентификация и аутентификация пользователей при работе подсистемы разграничения доступа в ОС Linux.

Есть много причин, по которым вам может понадобиться использовать один и тот же компьютер для нескольких пользователей. Windows 10 — это мощная и настраиваемая операционная система, которая заботится обо всех разрешениях файлов на системном уровне. Это поможет вам безопасно работать и защитить ваши файлы от других пользователей на том же компьютере. Однако вы можете столкнуться с различными ошибками разрешения файлов в Windows 10 по разным причинам. В большинстве случаев вы увидите сообщение об отказе в доступе или ошибку разрешения при попытке открыть файлы, принадлежащие другим пользователям.

У вас должна быть учетная запись с административными привилегиями, чтобы изменить владельца или разрешение и получить доступ к этим файлам. В этой статье мы объясним пошаговый процесс изменения прав доступа к файлам в Windows 10 для доступа к файлам и папкам.

Связанный: Просмотр или скрытие файлов в Windows 10.

Распространенные ошибки прав доступа к файлам

Вот несколько сценариев, в которых вы можете столкнуться с ошибкой разрешения файла в Windows 10.

  • Когда у вас есть общие компьютеры, и другие пользователи устанавливают разрешения для определенных файлов, к которым у вас нет доступа.
  • Вы хотите получить доступ к системным файлам. Мы не рекомендуем редактировать системные файлы, так как это может вызвать непредвиденные сбои.
  • Скопированные файлы с USB или внешнего жесткого диска защищены, и вы хотите изменить их на своем компьютере.
  • Вы хотите изменить файлы, скопированные из других операционных систем, таких как macOS.
  • Вы хотите отменить разрешение другого пользователя, чтобы запретить доступ к определенным общим файлам.

Есть два способа справиться со всеми вышеперечисленными ситуациями. Если вы являетесь владельцем файла, просто измените права доступа к файлу, чтобы предоставить или запретить доступ другим пользователям. Если вы хотите получить доступ к другим файлам, сначала вам нужно стать владельцем, а затем изменить права доступа к файлу. Давайте объясним оба сценария в следующих разделах. Помните, что в обеих ситуациях вам необходимо иметь доступ администратора для выполнения необходимых действий.

1. Вы не являетесь владельцем

1.1. Возьмите на себя ответственность за файлы или папки

Первый шаг для доступа к файлу — получить разрешение на конкретный файл, приняв его право собственности. Когда вы стали владельцем этого конкретного файла, вы можете легко настроить разрешения и получить доступ. Следуйте приведенным ниже инструкциям, чтобы стать владельцем любого файла или папки в Windows 10.

  • Нажмите сочетания клавиш «Win + E» на клавиатуре, чтобы открыть проводник Windows. Найдите и найдите файл или папку, к которым вы хотите получить полный доступ.
  • Щелкните файл правой кнопкой мыши, выберите параметр «Свойства», чтобы открыть диалоговое окно свойств.
  • Вы увидите множество вкладок в диалоговом окне свойств, перейдите на вкладку «Безопасность» и нажмите кнопку «Дополнительно».
image
Расширенный параметр на вкладке безопасности
  • Вы увидите всплывающее диалоговое окно «Дополнительные настройки безопасности», в котором вы можете увидеть текущего владельца файла. Windows отобразит владельца как «Система», когда вы выбрали системный файл. В нашем примере владельцем файла является «WebNots», поскольку это файл изображения, созданный пользователем. Щелкните ссылку «Изменить» напротив имени владельца.
image
Сменить владельца
  • В диалоговом окне «Выбрать пользователя или группу» нажмите кнопку «Дополнительно» внизу.
Расширенный выбор группы пользователей
  • Следующим шагом является поиск вашей учетной записи пользователя, которой вы хотите передать право собственности.
  • Нажмите кнопку «Найти», и Windows отобразит все имена пользователей, доступные на компьютере.
  • Проверьте результаты поиска и выберите правильную учетную запись пользователя. Помните, что выбранная учетная запись пользователя — это та учетная запись, которую вы хотите передать от первоначального владельца.
Измените право собственности на файл для своей учетной записи
  • Нажмите кнопку «ОК» или «Применить» во всех открытых диалоговых окнах, чтобы сохранить изменения.

Теперь вы получите право собственности на выбранный файл или папку для нового пользователя. Вы можете видеть, что владелец отображается как «Администратор», как показано ниже, поскольку мы изменили владельца с «WebNots» на другую учетную запись администратора на ПК.

Право собственности изменено

Связанный: Как заблокировать сайты в Google Chrome?

1.2. Получите разрешения для файлов или папок

После того, как вы получите право собственности на файл, следующим шагом будет получение необходимых разрешений для получения полного доступа к этому файлу. Выполните аналогичный процесс, описанный выше, чтобы открыть диалоговое окно «Дополнительные параметры безопасности» файла.

  • Нажмите кнопку «Добавить», чтобы добавить нового пользователя.
  • Вы увидите диалоговое окно, показывающее «Разрешение для имени файла». Здесь вы можете просмотреть текущие доступные разрешения для файла.
  • Теперь щелкните ссылку «Выбрать принципала» напротив поля «Принципал», чтобы назначить разрешения другому пользователю.
Выберите принципала
  • В диалоговом окне «Выбрать пользователя или группу» нажмите кнопку «Дополнительно». Теперь нажмите кнопку «Найти», чтобы найти пользователей на вашем компьютере.
  • В результатах поиска выберите свою учетную запись пользователя, которой вы хотите назначить разрешения, и нажмите «ОК».
  • В диалоговом окне «Ввод разрешений» выберите разрешения, которые вы хотите получить, в разделе «Основные разрешения». Вы можете просто выбрать опцию «Полный доступ», чтобы получить все разрешения для этого файла.
Выберите основные разрешения
  • Вы также можете установить расширенные разрешения, щелкнув ссылку «Показать расширенные разрешения».
Настройка дополнительных разрешений
  • После назначения необходимых разрешений нажмите «ОК» или «Применить» в открытых диалоговых окнах, чтобы сохранить изменения.

Теперь у вас есть необходимые разрешения для файла или папки и необходимый контроль доступа.

Помните, что все файлы, хранящиеся в родительской папке, будут иметь те же разрешения, что и у этой папки. В случае, если вы хотите изменить разрешения для подчиненных файлов, вы можете перейти к «Расширенным параметрам безопасности» этого конкретного файла и внести изменения, как описано выше. Либо нажмите кнопку «Отключить наследование», когда добавляете свое имя пользователя.

2. Вы являетесь владельцем

Если вы являетесь владельцем файла, вы можете легко изменить разрешения.

  • Щелкните правой кнопкой мыши файл или папку и перейдите в «Свойства».
  • Перейдите на вкладку «Безопасность» и нажмите кнопку «Изменить» напротив «Чтобы изменить разрешения, нажмите« Изменить »».
  • На следующем экране вы можете выбрать существующих пользователей в списке или добавить / удалить пользователя и настроить необходимые разрешения для каждого пользователя.
Изменить разрешения как владелец файла

Заключение

Некоторые из нас устанавливают атрибуты «Только для чтения» или «Скрытый» на вкладке «Общие» в свойствах файла или папки. Однако любой пользователь может легко отключить эти атрибуты. Таким образом, настройка разрешений необходима для защиты от несанкционированного доступа к вашему контенту. Кроме того, как администратор вы можете стать владельцем файлов и при необходимости проверить содержимое.

miio – проприетарный шифрованный сетевой протокол для взаимодействия Wi-Fi устройств компании Xiaomi и ее суббрендов с приложением Mi Home в локальной сети. Для интеграции устройств с альтернативными системами автоматизации в подавляющем большинстве случаев необходим token для доступа к устройству. Что бы получить token устройство должно быть привязано к учетной записи Xiaomi в приложении Mi Home.

Универсальный способ #1 – Xiaomi cloud token extractor

Самый простой и быстрый способ получения token’а на данный момент для всех устройств компании Xiaomi использование утилиты Xiaomi cloud token extractor. В случае OS Windows это утилита, в случае использования Unix/Linux это скрипт, написанный на Python. Проект выложен на GitHub.

Для Ubuntu и Raspberry Pi установка Pyton3 и необходимых компонентов будет выглядеть так:

  $ sudo apt-get install python3 python3-pip  $ pip3 install pycryptodome pybase64 requests

Скачиваем скрипт:

  $ wget https://github.com/PiotrMachowski/Xiaomi-cloud-tokens-extractor/raw/master/token_extractor.py

Запуск скрипта:

  $ python3 token_extractor.py

Для Windows скачиваем утилиту с GitHub: https://github.com/PiotrMachowski/Xiaomi-cloud-tokens-extractor/releases/latest/download/token_extractor.exe и запускаем ее.

При запуске утилита/скрипт попросит авторизоваться учетной записью Xiaomi. Необходимы:

  • E-mail или User ID Xiaomi
  • Пароль от учетной записи
  • Выбрать страну привязки устройств, можно оставить пустым, и программа проверит для всех перечисленных стран

Результат:

  $ python3 token_extractor.py  Username (email or user ID):  my_xiaomi_mail_or_user_id  Password:  my_xiaomi_password  Country (one of: ru, us, tw, sg, cn, de) Leave empty to check all available:    Logging in...  Logged in.    Devices found for country "cn":     ---------     NAME:  Xiaomi Mi Gateway v.2     ID:    XXXXXXXX     IP:    192.168.XXX.XXX     TOKEN: 1234567890abcdef1234567890abcdef     MODEL: lumi.gateway.v3     ---------     NAME:  Mi IR Remote control     ID:    XXXXXXXXX     IP:    192.168.XXX.XXX     TOKEN: 1234567890abcdef1234567890abcdef     MODEL: chuangmi.remote.v2     ---------     NAME:  Miji Robot Vacuum Cleaner 1C     ID:    XXXXXXXXX     IP:    192.168.XXX.XXX     TOKEN: 1234567890abcdef1234567890abcdef     MODEL: dreame.vacuum.mc1808

Огромным плюсом этого метода является то, что помимо подключенных Wi-Fi устройств, утилита показывает подключенные Bluetooth устройства, подключенные к шлюзам ZigBee устройства, созданные пульты для Mi IR Remote control.

  ---------  NAME:  Xiaomi Mijia BLE Temperature and Humidity Sensor  ID:    blt.3.ubsv8hlXXXXX  IP:    XXX.XXX.XXX.XXX  TOKEN: 1234567890abcdef123456789  MODEL: cleargrass.sensor_ht.dk1  ---------  NAME:  Aqara Smart Wall Socket  ID:    lumi.158d000XXXXXXX  IP:  TOKEN:  MODEL: lumi.ctrl_86plug.aq1

Это удобно использовать для определения ID ZigBee устройств.

Универсальный способ #2 – модифицированный Mi Home от vevs для Android

Mi Home от vevs – модифицированный Mi Home с переводом действий, условий и статусов (русский и английский языки), подробнее в блоге автора.

  • Удаляем оригинальный Mi Home
  • Скачиваем и устанавливаем последнюю версию Mi Home от vevs для Android
  • Запускаем установленное приложение Mi Home
  • Авторизуемся в приложении Mi Home
  • Открываем плагин необходимого устройства
  • Настройки -> Дополнительные настройки -> Информация о сети
  • В самом низу поле «Токен»

Универсальный способ #3 – Mi Home v5.4.49 для Android

Способ достаточно старый, но все еще действенный. Mi Home версии v5.4.49 для Android ведет логи взаимодействия с устройствами, логи хранятся в папке /Smarthome/logs в виде текстовых файлов. Порядок действий следующий:

  • Скачиваем и устанавливаем Mi Home v5.4.49 для Android. Если есть второе устройство, то лучше все операции делать на нем, иначе придется удалить текущую версию Mi Home
  • Запускаем установленное приложение Mi Home
  • Авторизуемся в приложении Mi Home
  • Для надежности открываем необходимое устройство в Mi Home
  • В менеджере файлов переходим в папку /Smarthome/logs
  • Открываем текстовый log файл
  • Просматриваем содержимое log файла, ищем по слову token

В папке может быть несколько текстовых файлов, просматриваем их все или удаляем всё содержимое папки и запускаем Mi Home v5.4.49 заново.

Результат просмотра log файла:

  • Для Xiaomi Mi Gateway v.2 – {"did":"XXXXXXXX","token":"1234567890abcdef1234567890abcdef","longitude":"XX.XXXXXXX","latitude":"XX.XXXXXXX","name":"Xiaomi Mi Gateway v.2",
  • Для Mi IR Remote control – {"did":"XXXXXXXXX","token":"1234567890abcdef1234567890abcdef","longitude":"XX.XXXXXXXX","latitude":"XX.XXXXXXXX","name":"Mi IR Remote control"

Для моего пылесоса Mijia Robot Vacuum Cleaner 1C токен тоже есть в лог файле, но в плагин управления попасть нельзя т.к. не поддерживается версией приложения. Но это не важно, главное результат получить token.

Список устройств и методы с помощью которых мне удалось получить токен.

Xiaomi Mi Gateway 2 (DGNWG02LM)

Токен можно получить с помощью методов #1, #2 и #3 описанных выше.

Получить токен для региона Китай можно в программе Mi Home любой версии, пока писал статью на версии Mi Home v5.9.19 обновился плагин для шлюза, из которого похоже вырезали доступ к режиму разработчика. Но в версии Mi Home v.5.8.40 плагин шлюза версии v.2.77.1, для включения режима разработчика и получения сведений он нам сгодится.

  • Скачиваем и устанавливаем Mi Home v5.8.40 для Android. Если есть второе устройство, то лучше все операции делать на нем, иначе придется удалить текущую версию Mi Home
  • Запускаем установленное приложение Mi Home
  • Авторизуемся в приложении Mi Home
  • Открываем плагин шлюза Xiaomi Mi Gateway 2
  • Нажимаем три точки в правом верхнем углу
  • Сведения -> Информация о шлюзе, если пункты меню «Протокол связи локальной сети» и «Информация о шлюзе» отсутствуют, то пять раз нажимаем на пункт Версия плагина: 2.XX.X пока не появятся указанные пункты меню.

Рис. 1

Рис. 2

Рис. 3

Рис. 4

Рис. 5

Xiaomi Mijia Universal Remote control (MJYKQ01CM)

Токен можно получить с помощью методов #1, #2 и #3 описанных выше.

Вытащить токен из устройства можно с помощью паяльника и USB2TTL устройства. Для этого отклеиваем нижнюю резиновую противоскользящую вставку, под ней будет четыре болта, откручиваем их. Припаиваем провода к техническим контактам (GND0, TX0, RX0), подключаем шайбу к USB2TTL по схеме:

ВНИМАНИЕ! Автор статьи не несет никакой ответственности за последствия, которые могут произойти при выполнении действий, описанных в данной статье! Всё что вы делаете, вы делаете только на свой страх и риск!

USB-to-TTL Mi IR Remote Control
GND GND0
RX TX0
TX RX0

Подключаем USB2TTL к компьютеру, открываем программу PuTTY, выбираем тип подключения Serial, выставляем COM порт на котором подключен адаптер UART, скорость подключения 115200.

В меню Session -> Logging выставляем вести лог всего что выводится и указываем путь для файла лога. Нажимаем кнопку Open.

Подаем штатное питание на устройство, через несколько секунд в PuTTy начнет отображаться информация. Т.к. информация отображается достаточно быстро, то лучше воспользоваться поиском в логе по слову token.

Xiaomi Mijia Bedside Lamp (MJCTD01YL)

Из трех альтернативных систем автоматизации, опробованных мной, токен для доступа к лампе требует только OpenHAB. Токен можно получить с помощью методов #1, #2 и #3 описанных выше.

Xiaomi Mijia 1C Sweeping Vacuum Cleaner (STYTJ01ZHM)

Токен можно получить с помощью методов #1 и #3 описанных выше. Метод #2 тоже рабочий, но я не проверял, в Mi Home v5.9.19 от vevs я не нашел где отображается токен, поэтому рекомендовать его не могу. UPD: В версии Mi Home 6.1.701 от vevs метод #2 рабочий!

Автор: muxa, 15.12.2020 Windows 10Windows Server 2012 R2

Одной из типовых задач администратора Windows при настройке доступа пользователей – управление NTFS разрешениями на папки и файлы файловой системы. Для управления NTFS разрешениями можно использовать графический интерфейс системы (вкладка Безопасность/Security в свойствах папки или файла), или встроенную утилиту командной строки iCACLS. В этой статье мы рассмотрим примеру использовании команды iCACLS для просмотра и управления разрешениями на папки и файлы.

Утилита iCACLS позволяет отображать или изменять списки управления доступом (Access Control Lists (ACLs) к файлам и папкам файловой системы. Предшественником у утилиты iCACLS.EXE является команда CACLS.EXE (доступна в Windows XP).

Чтобы просмотреть действующие разрешения на конкретную папку (например, C:PS), откройте командную строку и выполните команду:

icacls c:PS

Данная команда вернет список всех пользователей и групп пользователей, которым назначены разрешения на данную папку. Попробуем разобраться в синтаксисе разрешений, которые вернула команда iCACLS.

c:PS BUILTINАдминистраторы:(I)(OI)(CI)(F) NT AUTHORITYСИСТЕМА:(I)(OI)(CI)(F) BUILTINПользователи:(I)(OI)(CI)(RX) NT AUTHORITYПрошедшие проверку:(I)(M) NT AUTHORITYПрошедшие проверку:(I)(OI)(CI)(IO)(M)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

Напротив каждой группы и пользователя указан уровень доступа. Права доступа указываются с помощью сокращений. Рассмотрим разрешения для группы BUILTINАдминистраторы.

(OI) -  Object inherit – права наследуются на нижестоящие объекты (CI) - Container inherit – наследование каталога (F) – Full control– полный доступ к папке (I) — Inherit   права наследованы с вышестоящего каталога

Это означает, что у данной группы есть права на запись, изменение данных в данном каталоге и на изменения NTFS разрешений. Данные права наследуются на все дочерние объекты в этом каталоге.

Ниже представлен полный список разрешений, которые можно устанавливать с помощью утилиты icacls.

Права наследования:

(OI) — object inherit (CI) — container inherit (IO) — inherit only (NP) — don’t propagate inherit (I) — Permission inherited from parent container

Список основных прав доступа:

D — право удаления F — полный доступ N — нет доступа M — доступ на изменение RX — доступ на чтение и запуск R — доступ только на чтение W — доступ только на запись

Детальные разрешения:

DE — Delete RC — read control WDAC — write DAC WO — write owner S — synchronize AS — access system security MA — maximum allowed GR — generic read GW — generic write GE — generic execute GA — generic all RD — read data/list directory WD — write data/add file AD — append data/add subdirectory REA — read extended attributes WEA — write extended attributes X — execute/traverse DC — delete child RA — read attributes WA — write attributes

С помощью утилиты icacls вы можете сохранить текущие списки доступа к объекту в файл, а затем применить сохраненный список к этому же или другим объектам (своеобразный способ создания резервной копии текущего списка доступа — ACL).

Чтобы выгрузить текущие ACL папки C:PS и сохранить их в текстовый файл export_ps_acl.txt, выполните команду:

icacls C:PS* /save c:backupexport_ps_acl.txt /t

Данная команда сохраняет ACLs не только на сам каталог, но и на все вложенные папки и файлы. Полученный текстовый файл можно открыть с помощью блокнота или любого текстового редактора.

Чтобы применить сохраненные списки доступа (восстановить разрешения на каталог и все вложенные объекты), выполните команду:

icacls C:PS /restore :backupexport_ps_acl.txt

Таким образом процесс переноса прав доступа с одной папки на другую становится намного легче.

С помощью команды icacls вы можете изменить списки доступа к папке. Например, вы хотите предоставить пользователю aivanov право на редактирование содержимого папки. Выполните команду:

icacls C:PS /grant aivanov:M

Удалить все назначенные разрешения для учетной записи пользователя aivanov можно с помощью команды:

icacls C:PS /remove aivanov

Вы можете запретить пользователю или группе пользователей доступ к файлу или папке так:

icacls c:ps /deny "MSKManagers:(CI)(M)"

Имейте в виду, что запрещающие правил имеют больший приоритете, чем разрешающие.

С помощью команды icacls вы можете изменить владельца каталог или папки, например:

icacls c:pssecret.docx /setowner aivanov /T /C /L /Q

Теперь разберемся, что это за параметры используются в каждой команде.

  • /Q – сообщение об успешном выполнении команды не выводится;
  • /L – команда выполняется непосредственно над символической ссылкой, а не конкретным объектом;
  • /C – выполнение команды будет продолжаться несмотря на файловые ошибки; при этом сообщения об ошибках все равно будут отображаться;
  • /T – команда используется для всех файлов и каталогов, которые расположены в указанном каталоге;

Вы можете изменить владельца всех файлов в каталоге:

icacls c:ps* /setowner aivanov /T /C /L /Q

Также при помощи icacls можно сбросить текущие разрешения на объекты,

icacls C:ps /T /Q /C /RESET

После выполнения команды все текущие разрешения на папку будут сброшены и заменены на разрешения, наследуемые с вышестоящего объекта (каталога).

Пароль или пин-код электронной подписи (ЭП или ЭЦП) схож с пин-кодом банковской карты. Он защищает подпись от мошенников, его нужно запомнить или записать на листочек и хранить подальше от самой подписи. Но, в отличие от пин-кода карточки, пароль ЭП редко используют и часто забывают.

Возьмем экономиста Василия. Он получил электронную подпись, установил ее на компьютер, задал пароль, поставил галочку «Запомнить» — и все, больше никогда эту комбинацию не вводил. Но через полгода Василий переехал в другой кабинет и сел за новый компьютер. Попытался установить на него свою подпись, но не получилось — он забыл пароль электронной подписи, а листочек, на который записывал символы, потерял.

В своей беде Василий не одинок — многие владельцы ЭП не могут вспомнить или не знают, где взять пароль электронной подписи. В этой статье расскажем, что делать в подобной ситуации и когда нужно получать новую ЭП.

Что такое пароль и пин-код электронной подписи

На электронную подпись устанавливают один из типов защиты: пароль или пин-код. Разберемся, чем они отличаются. 

Пароль от контейнера электронной подписи

Пароль используют для подписи, сохраненной в память компьютера. Он защищает контейнер ЭП — папку с файлами подписи: сертификатом, закрытым и открытым ключами. 

Впервые с паролем владелец ЭП встречается, когда выпускает сертификат ЭП и записывает его в реестр компьютера или на обычную флешку (не токен). Придумать пароль нужно самостоятельно — при записи программа КриптоПро CSP покажет окошко, в которое нужно ввести комбинацию чисел, символов и латинских и русских букв.

Далее этот пароль будет запрашиваться при установке подписи на компьютер, ее копировании и при каждом использовании — подписании документов, работе на электронной торговой площадке или входе в сервисы. Если, конечно, не установить галочку «Запомнить пароль».

Пин-код от токена электронной подписи

Пин-код используется для электронной подписи, которая записана на носитель в виде usb-флешки — на токен. Пин защищает токен, поэтому, если мошенники украдут носитель ЭП, то самой подписью они воспользоваться не смогут.

Впервые владелец ЭП должен ввести пин-код при выпуске подписи — когда ее записывают на токен. Если носитель новый, то нужно ввести «заводское» стандартное значение, например, 12345678 для Рутокена. «Заводское» значение лучше сразу изменить на собственное, чтобы его не смогли подобрать злоумышленники.

После этого пин-код понадобится вводить, чтобы установить сертификат подписи на компьютер, использовать и копировать ЭП, работать с ней за новым компьютером. Чтобы не вводить комбинацию каждый раз, можно нажать галочку «Запомнить пароль». Главное в таком случае самим не забыть последовательность символов.

Как восстановить пароль электронной подписи

Если пароль и пин-код подписи не удается вспомнить, то восстановить его не получится. В этом не поможет даже удостоверяющий центр, выпустивший сертификат, — он не хранит пароли ЭП. Поэтому нужно пытаться вспомнить заветную комбинацию или подобрать ее.

Забыл пароль подписи

Пароль от контейнера ЭП можно вводить неограниченное количество раз. Поэтому можно спокойно подбирать к подписи все знакомые комбинации: важные даты или код из смс, которую при выпуске сертификата присылал удостоверяющий центр. Возможно, именно этот код случайно установили на контейнер в качестве защиты.

Если подобрать пароль не удается, то доступ к сертификату можно вернуть в некоторых случаях. Если раньше пароль сохраняли на компьютере — нажимали галочку «Запомнить», то иногда такой контейнер можно скопировать без ввода пароля. Попытайтесь скопировать папку со всеми файлами подписи на другое устройство или токен. Если в процессе у вас не спросят пароль, то можно продолжать работать с ЭП.

Если не получается ни скопировать подпись, ни вспомнить пароль ЭЦП, то остается только одно — получить новый сертификат ЭП. Для этого нужно отозвать старый в удостоверяющем центре и подать документы и заявку на выпуск нового. На контейнер новой подписи стоит установить пароль, который легко запомнить, но который не угадают мошенники. 

Забыл пин-код токена

Восстановить забытый пин-код токена тоже невозможно. Именно из-за этого токен — надежный носитель ЭП: если его украдут мошенники, то пин-код защитит подпись от них. 

Однако для владельца ЭП есть два способа, которые помогут подобрать нужную комбинацию.

Решение №1. Заводской пароль.

По умолчанию на новом токене установлен стандартный пин-код от производителя. Можно ввести его, чтобы вернуть доступ к сертификату ЭП. Для разных носителей подойдут разные значения: 

  • «Рутокен», eSmart, JaCarta и JaCarta LT— 12345678,
  • eToken — 1234567890, eToken,
  • Jacarta SE — 1111111 для PKI-части и 0987654321 для ГОСТ части.

Если «заводская» комбинация к токену не подходит, значит ее сменили при записи сертификата. Тогда вернуть доступ к ЭП можно только одним способом — подобрать правильные символы.

Решение №2. Подбор пин-кода и права администратора

На то, чтобы подобрать пин-код к токену, есть десять попыток. После десятого неверного ввода символов заблокируется.

Иногда количество попыток ввода можно увеличить. Для этого нужно зайти на токен в качестве администратора и разблокировать пин-код:

  1. Перейти в панель управления токеном. Например, если используется носитель «Рутокен», то нужно перейти в Пуск — Панель управления — Панель управления «Рутокен» — вкладка «Администрирование».
  2. Ввести пин-код администратора. Стандартное значение устанавливает производитель: для «Рутокена» — 87654321, для Jacarta SE — 00000000 для PKI-части и 1234567890 для ГОСТ части. Если стандартное значение администратора не подошло, значит его сменили, и нужно вспоминать установленную комбинацию. На это есть десять попыток, потом токен окончательно заблокируется.
  3. Разблокировать пин-код токена. Для этого на вкладке «Администрирование» нажать «Разблокировать».

Также, если пин-код администратора известен, то можно сбросить попытки ввода другим способом — через КриптоПро CSP:

  1. Открыть КриптоПро CSP, перейти на вкладку «Оборудование» и нажать кнопку «Настроить типы носителей».
  2. Выбрать свой токен. Открыть его свойства и перейти в раздел «Информация».
  3. Разблокировать пин-код.

После разблокировки счетчик попыток ввода сбросится. Но даже тогда, пока правильную комбинацию к токену не введут, доступ будет закрыт и использовать подпись не получится.

Если вспомнить или изменить нужную комбинацию не удалось, придется получать новый сертификат подписи в УЦ: отозвать старый сертификат и получить новый. Токен можно использовать старый — можете отформатировать носитель, тогда старый пин-код и сертификат удалятся. Отметим, что отформатировать токены марок Рутокен, eToken, JaCarta LT можно без прав администратора. Но для форматирования носителя Jacarta SE нужно знать администраторский пин.

При записи подписи на новый токен советуем поменять стандартный пин-код носителя на собственный. Это, конечно, может привести к тому, что комбинация вновь потеряется. Но лучше получить новый сертификат, чем пострадать от мошенников, которые смогли взломать «заводское» значение на токене и подписали украденной ЭП важные документы.

Столкнулся с тем, что не удается удаленно подключиться к дефолтным административным шарам (которые с долларом)  на компьютере с Windows 10 под пользователем, входящим в группу локальных администраторов. Причем под учетной записью встроенного локального администратора (по умолчанию она отключена) такой доступ работает.

Немного подробнее как выглядит проблема. Пытаюсь с удаленного компьютера обратится к встроенным административным ресурсам компьютера Windows 10, состоящего в рабочей группе (при отключенном фаерволе) таким образом:

  • \win10_pcC$
  • \win10_pcD$
  • \win10_pcIPC$
  • \win10_pcAdmin$

В окно авторизации ввожу имя и пароль учетной записи, состоящей в группе локальных администраторов Windows 10, на что появляется ошибка доступа (Access is denied). При этом доступ к общим сетевым каталогам и принтерам на Windows 10 работает нормально. Доступ под встроенной учетной записью administrator к административным ресурсам при этом тоже работает. Если же этот компьютер включить в домен Active Directory, то  под доменными аккаунтами с правами администратора доступ к админским шарам  также не блокируется.

imageДело в еще одном аспекте политики безопасности, появившемся в UAC – так называемом Remote UAC (контроль учетных записей для удаленных подключений), который фильтрует токены доступа локальных записей и аккаунтов Microsoft, блокируя удаленный административный доступ таким учеткам. При доступе под доменным аккаунтом такое ограничение не налагается.

Отключить Remote UAC можно путем создания в системном реестре параметра LocalAccountTokenFilterPolicy

Совет. Эта операция несколько снижает уровень безопасности  системы.

  1. Откройте редактор реестра (regedit.exe)
  2. Перейдите в ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem
  3. Создайте новый параметр типа DWORD (32-bit) с именем LocalAccountTokenFilterPolicy
  4. Установите значение параметра LocalAccountTokenFilterPolicy равным 1image
  5. Для применения изменений потребуется перезагрузить компьютер

Примечание. Создать указанный ключ можно всего одной командой

reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

После загрузки попробуйте удаленно открыть каталог административный каталог C$ на Windows 10 компьютере. Авторизуйтесь под учетною записью, входящей в группу локальных администраторов. Должно открыться окно проводника с содержимым диска C:.

image

Примечание. Станет доступен и другой функционал удаленного управления Windows 10, в том числе теперь можно удаленно подключиться к компьютеру с помощью оснастки Computer Management (Управления компьютером).

Итак, мы разобрались как с помощью параметра LocalAccountTokenFilterPolicy разрешить удаленный доступ к скрытым админ-ресурсам для всех локальных администраторов компьютера Windows. Данная инструкция применима также к Windows 8.x, 7 и Vista.

Источник: https://winitpro.ru/index.php/2016/07/06/kak-vklyuchit-udalennyj-dostup-k-administrativnym-sharam-v-windows-10/

Как исправить ошибку 0x80004005 в Windows 10

При обращении к сетевому ресурсу по имени \server выходила ошибка 0x80004005, имя разрешается, то есть определяется ip-адрес, хост пингуется, нет доступа к компьютерам ниже Windows 10. Решение было достаточно простым, но до этого перебрал несколько других вариантов, не помогло. Этот способ помог.

Если не заходит из Windows 10 на шару под Windows XP или под Windows Server 2003 решение такое:

Включить протокол SMB 1.0, который не установлен (по умолчанию) в Windows 10.

Windows 7

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Егор Новиков
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий