Реестр аудит входа в систему

Локальная политика безопасности. Часть 3: Политика аудита

Как я говорил ранее, в наше время стоит заботиться о безопасности пользовательских учетных записей и конфиденциальности информации вашего предприятия. Из предыдущих статей по локальным политикам безопасности вы узнали о методах использования локальных политик безопасности и о политиках учетных записей, при помощи которых вы смогли значительно повысить безопасность учетных записей пользователей. Теперь, после того как политики безопасности учетных записей у вас правильно настроены, злоумышленникам будет намного сложнее получить доступ к пользовательским учетным записям. Но не стоит забывать о том, что на этом ваша работа по обеспечению безопасности сетевой инфраструктуры не заканчивается. Все попытки вторжения и неудачную аутентификацию ваших пользователей необходимо фиксировать для того чтобы знать, нужно ли предпринимать дополнительные меры по обеспечению безопасности. Проверка такой информации с целью определения активности на предприятии называется аудитом.

В процессе аудита используются три средства управления: политика аудита, параметры аудита в объектах, а также журнал «Безопасность», куда заносятся события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. В этой статье мы рассмотрим именно политики аудита и последующий анализ событий в журнале «Безопасность».

Политика аудита

Политика аудита настраивает в системе определенного пользователя и группы аудит активности. Для того чтобы отконфигурировать политики аудита, в редакторе управления групповыми политиками вы должны открыть узел Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики/Политика аудита. Необходимо помнить, что по умолчанию параметр политики аудита, для рабочих станций установлен на «Не определено». В общей сложности, вы можете настраивать девять политик аудита, которые изображены на следующей иллюстрации:

Рис. 1. Узел «Политика аудита»

Так же, как и с остальными политиками безопасности, для настройки аудита вам нужно определить параметр политики. После двойного нажатия левой кнопкой мыши на любом из параметров, установите флажок на опции «Определить следующие параметры политики» и укажите параметры ведения аудита успеха, отказа или обоих типов событий.

Рис. 2. Свойства политики аудита «Аудит доступа к службе каталогов»

После настройки политики аудита события будут заноситься в журнал безопасности. Просмотреть эти события можно в журнале безопасности. Рассмотрим подробно каждую политику аудита:

Аудит входа в систему. Текущая политика определяет, будет ли операционная система пользователя, для компьютера которого применяется данная политика аудита, выполнять аудит каждой попытки входа пользователя в систему или выхода из нее. Например, при удачном входе пользователя на компьютер генерируется событие входа учетной записи. События выхода из системы создаются каждый раз, когда завершается сеанс вошедшей в систему учетной записи пользователя. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит доступа к объектам. Данная политика безопасности выполняет аудит попыток доступа пользователей к объектам, которые не имеют отношения к Active Directory. К таким объектам можно отнести файлы, папки, принтеры, разделы системного реестра, которые задаются собственными списками в системном списке управления доступом (SACL). Аудит создается только для объектов, для которых указаны списки управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют параметрам в данных списках.

Аудит доступа к службе каталогов. При помощи этой политики безопасности вы можете определить, будет ли выполняться аудит событий, указанных в системном списке контроля доступа (SACL), который можно редактировать в диалоговом окне «Дополнительные параметры безопасности» свойств объекта Active Directory. Аудит создается только для объектов, для которых указан системный список управления доступом, при условии, что запрашиваемый тип доступа и учетная запись, выполняющая запрос, соответствуют параметрам в данном списке. Данная политика в какой-то степени похожа на политику «Аудит доступа к объектам». Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL.

Аудит изменения политики. Эта политика аудита указывает, будет ли операционная система выполнять аудит каждой попытки изменения политики назначения прав пользователям, аудита, учетной записи или доверия. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

Аудит изменения привилегий. Используя эту политику безопасности, вы можете определить, будет ли выполняться аудит использования привилегий и прав пользователей. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.

Аудит отслеживания процессов. Текущая политика аудита определяет, будет ли операционная система выполнять аудит событий, связанных с процессами, такими как создание и завершение процессов, а также активация программ и непрямой доступ к объектам. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом.

Аудит системных событий. Данная политика безопасности имеет особую ценность, так как именно при помощи этой политики вы можете узнать, перегружался ли у пользователя компьютер, превысил ли размер журнала безопасности пороговое значение предупреждений, была ли потеря отслеженных событий из-за сбоя системы аудита и даже вносились ли изменения, которые могли повлиять на безопасность системы или журнала безопасности вплоть до изменения системного времени. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события.

Аудит событий входа в систему. При помощи этой политики аудита вы можете указать, будет ли операционная система выполнять аудит каждый раз при проверке данным компьютером учетных данных. При использовании этой политики создается событие для локального и удаленного входа пользователя в систему. Члены домена и компьютеры, не входящие в домен, являются доверенными для своих локальных учетных записей. Когда пользователь пытается подключиться к общей папке на сервере, в журнал безопасности записывается событие удаленного входа, причем события выхода из системы не записываются. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.

Аудит управления учетными записями. Эта последняя политика тоже считается очень важной, так как именно при помощи нее вы можете определить, необходимо ли выполнять аудит каждого события управления учетными записями на компьютере. В журнал безопасности будут записываться такие действия как создание, перемещение и отключение учетных записей, а также изменение паролей и групп. Аудит успехов означает создание записи аудита для каждого успешного события управления учетными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учетными записями

Как видите, все политики аудита в какой-то степени очень похожи и если вы для каждого пользователя свой организации установите аудит всех политик, то рано или поздно вы просто запутаетесь в них. Поэтому необходимо вначале определить, что именно необходимо для аудита. Например, чтобы удостовериться в том, что к одной из ваших учетных записей постоянно пытаются получить несанкционированный доступ методом подбора пароля, вы можете указать аудит неудачных попыток входа. В следующем разделе мы рассмотрим простейший пример использования данных политик.

Пример использования политики аудита

Допустим, у нас есть домен testdomain.com, в котором есть пользователь с учетной записью DImaN.Vista. в данном примере мы применим для этого пользователя политику «Аудит событий входа в систему» и увидим, какие события записываются в журнал безопасности при попытке несанкционированного доступа в систему. Для воспроизведения подобной ситуации выполните следующие действия:

  • На контроллере домена создайте пользовательскую учетную запись и поместите ее в группу безопасности «Vista», которая расположена в подразделении «Группы»;
  • Откройте консоль «Управление групповой политикой», где выберите контейнер «Объекты групповой политики» и нажмите на этом контейнере правой кнопкой мыши для отображения контекстного меню;
  • В контекстном меню выберите команду «Создать» и в отобразившемся диалоговом окне «Новый объект групповой политики» введите «Политика аудита», после чего нажмите кнопку «ОК»;

    Рис. 3. Создание нового объекта групповой политики

  • Выберите данный объект групповой политики и из контекстного меню выберите команду «Изменить»;
  • В появившемся окне «Редактор управления групповыми политиками» разверните узел Конфигурация компьютера/Политика/Конфигурация Windows/Параметры безопасности/Локальные политики/Политика аудита и откройте параметр политики «Аудит событий входа в систему»;
  • Установите флажки возле опций «Определить следующие параметры политики» и «отказ», как показано на следующей иллюстрации и нажмите на «ОК»;

    Рис. 4. Изменение политики аудита

  • Закройте редактор управления групповыми политиками;
  • Свяжите объект «Политики аудита» с подразделением «Группы». Для этого щелкните правой кнопкой мыши на подразделение «Группы» и из контекстного меню выберите команду «Связать существующий объект групповой политики»;

    Рис. 5. Связка объекта групповой политики с подразделением

  • В диалоговом окне «Выбор объекта групповой политики» выберите объект «Политика аудита» и нажмите на кнопку «ОК»;
  • Разверните подразделение «Группы» и в области «Фильтры безопасности» удалите фильтр «Прошедшие проверку». После этого нажмите на кнопку «Добавить» и выберите группу «Vista», которую мы создавали ранее;

    Рис. 6. Установка фильтра безопасности

  • Перейдите на клиентскую машину и обновите групповые политики при помощи команды gpupdate;
  • Заблокируйте компьютер и попробуйте войти в систему, используя заведомо неправильный пароль;
  • На контроллере домена откройте оснастку «Просмотр событий» и перейдите в журнал «Безопасность»;

    Рис. 7. Просмотр журнала безопасности

  • Как видите на предыдущей иллюстрации, сгенерировалось сообщение аудита отказа, соответственно, сгенерировался EventID 4771.
  • Заключение

    В данной статье мы продолжили изучение политик безопасности, а именно, рассмотрели параметры политик аудита, при помощи которых вы можете исследовать попытки вторжения и неудачную аутентификацию ваших пользователей. Рассмотрены все девять политик безопасности, отвечающих за ведение аудита. Также на примере вы узнали, как работают политики аудита при помощи политики «Аудит событий входа в систему». Была эмулирована ситуация несанкционированного проникновения на пользовательский компьютер с последующим аудитом системного журнала безопасности.

    www.oszone.net

    Как узнать кто заходил в компьютер и когда?

    Вам никогда не хотелось узнать, кто заходил в ваш компьютер и когда? На профессиональных изданиях Windows вы можете сделать это за счет включения аудита входа в систему.

    Аудит входа в систему отслеживает как локальные, так и сетевые входы в компьютер. При каждом входе фиксируется имя вошедшего пользователя, и время его входа. Вы также можете просмотреть, когда эти пользователи вышли из системы.

    Включаем аудит входа в систему

    Сначала, откройте редактор локальной групповой политики. Для этого нажмите клавишу Пуск и в поле поиска наберите gpedit.msc и нажмите Enter.

    В редакторе политики пройдите в папку: Политика “Локальный компьютер” -> Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Локальные политики –> Политика аудита.

    Теперь в правой панели двойным кликом войдите в настройки аудита входа в систему. В окне настроек включите опцию «Успех» для отображения случаев успешного доступа. Вы также можете включить опцию «Отказ» для случаев несостоявшихся попыток входа в систему.

    Просмотр событий входа в систему

    После включения аудита входа в систему, Windows будет записывать все события входа – включая имя пользователя и время – в системный журнал.

    Для просмотра этих событий, откройте «Просмотр событий». Для этого в окне поиска введите «Просмотр событий» и нажмите Enter.

    Пройдите в Журналы Windows -> Безопасность.

    Ищите события с кодом 4624 – это события с успешным входом в систему. Для просмотра более подробной информации, вроде имени входившего пользователя, вы можете дважды кликнуть по событию и пролистать текст вниз.

    В случаях чрезмерного загромождения журнала безопасности, вы можете кликнуть по пункту «Фильтр текущего журнала. » в боковой панели справа, и отфильтровать события по коду 4624. В результате вы увидите только события успешного входа в систему.

    winlined.ru

    Переменные окружения Windows

    Переменная окружения Windows, как и в других операционных системах, не самая заметная, но очень востребованная у системных администраторов функция. Чаще всего, переменные окружения Windows нужны для написания универсальных скриптов, которые могут работать на компьютерах с различными настройками — все параметры, которые могут изменяться, берутся из переменных окружения. Также, в Windows есть переменная окружения Path, которая позволяет получать более быстрый доступ к программам из командной строки.

    Локальные переменные окружения

  • %ALLUSERSPROFILE% — размещение профиля «All Users».
  • %APPDATA% — используемое по умолчанию размещение данных приложений.
  • %CD% — путь к текущей папке.
  • %CMDCMDLINE% — строку команд, с помощью которой был запущен данный экземпляр Cmd.exe.
  • %PROMPT% — параметры командной строки для текущего интерпретатора. Создается командой Cmd.exe.
  • %LOGONSEVER% — Имя контроллера домена, проверившего подлинность текущей сессии.
  • %USERDOMAIN% — имя домена, содержащего список учетных записей пользователей.
  • %USERNAME% — имя пользователя, выполнившего вход в систему.
  • %USERPROFILE% — размещение профиля для текущего пользователя.
  • Системные переменные окружения

    • %CMDEXTVERSION% — номер версии текущих расширений обработчика команд.
    • %COMPUTERNAME% — имя компьютера.
    • %COMSPEC% — путь к исполняемой командной оболочке.
    • %DATE% — Текущая дата. Использует тот же формат, что и команда date /t. Создается командой Cmd.exe.
    • %ERRORLEVEL% — код ошибки последней использовавшейся команды. Значение, не равное нуля, обычно указывает на наличие ошибки.
    • %HOMEDRIVE% — имя диска локальной рабочей станции, связанного с основным каталогом пользователя. Задается на основании расположения основного каталога. Основной каталог пользователя указывается в оснастке «Локальные пользователи и группы».
    • %HOMEPATH% — полный путь к основному каталогу пользователя. Задается на основании расположения основного каталога. Основной каталог пользователя указывается в оснастке «Локальные пользователи и группы».
    • %HOMESHARE% — сетевой путь к общему основному каталогу пользователя. Задается на основании расположения основного каталога. Основной каталог пользователя указывается в оснастке «Локальные пользователи и группы».
    • %NUMBER_OF_PROCESSORS% — Количество процессоров, установленных на компьютере.
    • %OS% — Имя операционной системы. При использовании Windows 2000 имя операционной системы отображается как Windows_NT.
    • %PATH% — Указывает путь поиска для исполняемых файлов.
    • %PATHEXT% — список расширений файлов, которые рассматриваются операционной системой как исполняемые.
    • %PROCESSOR_ARCHITECTURE% — архитектура процессора. Значения: x86, IA64.
    • %PROCESSOR_IDENTFIER% — Описание процессора.
    • %PROCESSOR_LEVEL% — номер модели процессора, установленного на компьютере.
    • %PROCESSOR_REVISION% — Номер модификации процессора.
    • %RANDOM% — Произвольное десятичное число от 0 до 32767. Создается командой Cmd.exe.
    • %SYSTEMDRIVE% — имя диска, содержащего корневой каталог Windows XP (т. е. системный каталог).
    • %SYSTEMROOT% — размещение системного каталога Windows XP.
    • %TEMP% и %TMP% — Временные папки, по умолчанию используемые приложениями, которые доступны пользователям, выполнившим вход в систему. Некоторые приложения требуют переменную TEMP, другие — переменную TMP.
    • %TIME% — текущее время. Использует тот же формат, что и команда time /t. Создается командой Cmd.exe.
    • %WINDIR% — размещение каталога операционной системы.
    • Просмотр переменных окружения через реестр Windows

      Для просмотра системных переменных окружения, нужно открыть ветку реестра:

      Добавить их туда можно двумя способами: утилитой reg или программой regedit. Например, системную переменную с именем var и содержанием val можно создать из командной строки следующей командой:

      profhelp.com.ua

      Вы вошли в систему с временным профилем в Windows

      Одна из проблем, с которой часто сталкиваются пользователи — сообщение о том, что вы вошли в систему с временным профилем в Windows 10, 8 и Windows 7 с дополнительным текстом «Вы не можете получить доступ к своим файлам, и файлы, созданные в этом профиле, будут удалены при выходе из системы». В этой инструкции подробно о том, как исправить эту ошибку и войти с обычным профилем.

      В большинстве случаев, проблема возникает после изменения (переименования) или удаления папки профиля пользователя, однако это не единственная причина. Важно: если у вас проблема возникла именно из-за переименования папки пользователя (в проводнике), то верните ей первоначальное имя, а затем прочтите: Как переименовать папку пользователя Windows 10 (для предыдущих версия ОС то же самое).

      Примечание: в этой инструкции приведены решения для рядового пользователя и домашнего компьютера с Windows 10 — Windows 7, не находящегося в домене. Если вы управляете учетными записями AD (Active Directory) в Windows Sever, то тут я деталей не знаю и экспериментировать не доводилось, но обратите внимание на сценарии входа в систему или просто удалите профиль на компьютере и снова зайдите в домен.

      Как исправить временный профиль в Windows 10

      Сначала об исправлении «Вы вошли в систему с временным профилем» в Windows 10 и 8, а в следующем разделе инструкции — отдельно по Windows 7 (хотя и описываемый здесь способ тоже должен работать). Также, при входе с временным профилем в Windows 10 вы можете видеть уведомления «Стандартное приложение сброшено. Приложение вызвало проблему с настройкой стандартного приложения для файлов, поэтому оно сброшено».

      Прежде всего, для всех последующих действий потребуется иметь учетную запись администратора. Если до появления ошибки «Вы вошли с временным профилем» ваша учетная запись имела такие права, то имеет и сейчас, и можно продолжать.

      Если же у вас была учетная запись простого пользователя, то выполнять действия придется либо под другой учеткой (администратора), либо зайти в безопасный режим с поддержкой командной строки, активировать скрытую учетную запись администратора, а затем из неё выполнять все действия.

      1. Запустите редактор реестра (нажмите клавиши Win+R, введите regedit и нажмите Enter)
      2. Раскройте раздел (слева) HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ ProfileList и обратите внимание на наличие в нем подраздела с .bak в конце, выберите его.
      3. В правой части посмотрите на значение ProfileImagePath и проверьте, совпадает ли имя папки пользователя, указанное там с именем папки пользователя в C:\Пользователи (C:\Users).
      4. Далее действия будут зависеть от того, что у вас получилось в пункте 3. Если имя папки не совпадает:

      5. Дважды кликните по значению ProfileImagePath и измените его так, чтобы в нем был правильный путь к папке.
      6. Если в разделах слева есть раздел точно с таким же именем, как текущий, но без .bak, кликните по нему правой кнопкой мыши и выберите «Удалить».
      7. Кликните правой кнопкой мыши по разделу с .bak на конце, выберите пункт «Переименовать» и уберите .bak.
      8. Закройте редактор реестра, перезагрузите компьютер и попробуйте зайти под тем профилем, где была ошибка.

      Если путь к папке в ProfileImagePath верный:

      1. Если в левой части редактора реестра присутствует раздел с тем же именем (все цифры совпадают), что и раздел с .bak на конце, кликните по нему правой кнопкой мыши и выберите «Удалить». Подтвердите удаление.
      2. Кликните правой кнопкой мыши по разделу с .bak и также его удалите.
      3. Перезагрузите компьютер и попробуйте снова войти в поврежденную учетную запись — данные для нее в реестре должны будут создаться автоматически.
      4. Далее способы, являющиеся удобными и быстрыми для исправления ошибки в 7-ке.

        Исправление входа с временным профилем в Windows 7

        По сути, это вариация способов, описанных выше, и, более того данный вариант должен сработать и для 10-ки, но опишу его отдельно:

      5. Войдите в систему под учетной записью администратора, отличающейся от той учетной записи, в которой есть проблема (например, под учеткой «Администратор» без пароля)
      6. Сохраните все данные из папки проблемного пользователя в другую папку (или переименуйте ее). Эта папка находится в C:\Пользователи (Users)\ Имя_пользователя
      7. Запустите редактор реестра и перейдите к разделу HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ ProfileList
      8. Удалите в нем подраздел, заканчивающийся на .bak
      9. Закройте редактор реестра, перезагрузите компьютер и зайдите под учетной записью, с которой была проблема.
      10. В описанном способе снова будет создана папка пользователя и соответствующая запись в реестре Windows 7. Из папки, в которую вы ранее копировали данные пользователя, вы можете вернуть их во вновь созданную папку, чтобы они оказались на своих местах.

        Если же вдруг способы, описанные выше, не смогли помочь — оставляйте комментарий с описанием ситуации, постараюсь помочь.

        remontka.pro

        Как снять пароль при входе в систему Windows 7

        Убрать пароль при входе в Виндовс 7 достаточно просто. Для этого потребуется минимальное количество времени, а также знаний. Подобного рода операция занимает обычно не более пары минут.

        Осуществить её можно различными способами: через специальную консоль, командную строку или путем сброса данных ключей с SAM. Каждый способ имеет как свои достоинства, так и недостатки.

        Зачем ставить пароль

        Нередко случается, что на ПК хранятся какие-либо важные и конфиденциальные данные, доступ к которым должен быть ограничен. Microsoft Windows дает возможность легко ограничить круг лиц, имеющих доступ к файлам на компьютере, путем установки специального ключа. Он может быть своим собственным у каждого человека, если user-ов несколько.

        Также код доступа требуется для защиты информации на ПК различным владельцам друг от друга. Например, не редко это необходимо родителям, дабы любопытные дети не смогли ознакомиться с какой-то не полагающейся им информацией.

        Снимаем пароль через консоль «Выполнить»

        Один из самых простых способ отключения ввода ключа доступа на ОС – при помощи пункта «Выполнить». Получить к нему доступ довольно просто – достаточно нажать на кнопку «Пуск». Чаще всего рассматриваемый пункт присутствует в правой части открывшегося окна.

        Ввод команды

        Для отключения рассматриваемой функции необходимо ввести определенную команду. Она откроет специальный апплет, позволяющий сделать это.

        Сам процесс ввода команды выглядит следующим образом:

        открываем меню кнопки «Пуск»;

        нажимаем на пункт «Выполнить»;

        в открывшемся поле пишем «control userpassword2».

        После выполнения данных операций откроется окно под названием «Учетные записи пользователей».

        В нем присутствуют две вкладки:

        Необходимо остановить свое вниманием именно на первой вкладке. Так как именно в ней осуществляются все настройки учетных записей, в том числе смена логина, ключа доступа и иных атрибутов. Кроме того, при желании можно легко добавить новые учетные записи или удалить старые.

        Отключаем пароль

        Для отключения Password достаточно открыть соответствующее окно («учетные записи»-> «пользователи»). В нем необходимо убрать галочку в поле под названием «Требовать ввод имени пользователя и …». Таким нехитрым способом можно отключить необходимость ввода Password.

        Подтверждаем пользователя

        Также можно полностью отключить окно входа в Microsoft Windows.

        Для этого необходимо осуществить следующие действия:

        в окне под названием «Учетные записи» дважды кликаем по нужной строке (admin, user или нечто другое);

        Откроется окно, содержащее три поля. Заполнено должно быть только верхнее, там прописывается login. Остальные остаются пустыми. После этого снова кликаем на «ОК». После выполнения данных операций при запуске Microsoft Windows не будет возникать необходимости в воде Password. Что достаточно удобно, если физический доступ к ПК имеется только у одного человека.

        видео: Сброс пароля

        Убираем пароль при запуске Windows без программ

        Также Password в рассматриваемой операционной системе можно отклеить без использования пункта «Выполнить», а также различного рода сторонних приложений. Для этого достаточно воспользоваться специальной командной строкой. Таким способом можно избежать необходимости ввода Password при включении компьютера, а также при выходе его из спящего режима.

        Настройка командной строки

        Для того чтобы осуществить настройку командной строки, необходимо воспользоваться диском с дистрибутивом Windows. Данный способом настройки и сброса кода доступа подходит в случае, если он забыт, и иным образом запустить ОС не представляется возможным.

        В первую очередь, необходимо через Биос установить загрузку с компакт-диска или иного устройства, содержащего дистрибутив. После этого следует выполнить перезагрузку и запустить установку.

        После этого выполняются следующие действия:

        открывается окно выбора параметров языка, следует нажать «Далее»;

        выбираем «Восстановление системы»->«Командная строка»;

        в открывшемся редакторе реестра находим раздел под названием «HKEY_LOKAL_MACHINE»;

        выделяем его, нажимаем на меню «Файл», и выбираем «Загрузить куст»;

        выбираем диск, куда инсталлирована ОС, и открываем файл, расположенный по адресу «наименование диска:windowssystem32SYSTEM»;

        необходимо ввести произвольное имя для выбранного раздела (например, 999);

        переходим в раздел HKEY_LOKAL_MACHINE999Setup и нажимаем два раза на параметры:

        CmdLine – вводим cmd.exe;

        SetupType – заменяем параметр 0 на 2;

        выделяем раздел 999 и нажимаем «Выгрузить куст»;

        извлекаем дистрибутив и перезагружаем ПК.

        Сброс пароля и входа в систему

        После загрузки операционной системы пользователь стразу же увидит окно командной строки. Для осуществления сброса password необходимо ввести следующую команду: net user имя_пользователя

        Если по какой-то причине User забыл название учетной записи, то можно написать просто net user без параметров. Это позволит отобразить все имеющиеся наименования и выбрать необходимое.

        Если использование нового Password не предполагается, то достаточно оставить поле пустым.

        Если же необходимо ввести новый, то команда будет выглядеть следующим образом: наименование диска:Windowssystem32net user имя_пользователя новый-ключ.

        Также нередко требуется создать новую учетную запись без ключа доступа.

        Для этого необходимо выполнить следующие команды в строгом порядке:

        net user имя_пароль /add;

        net localgroup Администраторы имя /add;

        net localgroup user имя /delete.

        Данные команды в строгом порядке выполняют операции:

        создание нового User;

        добавление его в рабочую группу Administrator;

        удаление из группы Users.

        Рассматриваемый способ сброса довольно сложен, но вполне осуществим даже для не очень опытных владельцев ПК.

        Метод сброса данных ключей с файла SAM

        Существует огромное количество самых разных способов сброса кода входа в систему. Но все они лишь изменяют различными путями информацию, хранящуюся в специальном файле под названием SAM. Именно он используется ОС для размещения в нем данных, касающихся как User, так и Password. Данное название-аббревиатура расшифровываются как Security Account Manager.

        Рассматриваемый файл не имеет расширения, так как это попросту ему не требуется. Он является непосредственной частью реестра, располагается в каталоге systemrootsystem32config. Также копия рассматриваемого файла имеется на диске аварийного восстановления, если данная функция по каким-то причинам не была отключена ранее.

        Редактирование данного файла для изменения параметров входа в операционную систему является самым сложным путем. Для работы с SAM необходимо специализированное программное обеспечение от сторонних разработчиков. Все операции с SAM необходимо выполнять максимально осторожно и аккуратно.

        Как это работает

        Наиболее популярным приложением для изменения данных в файле SAM является active password changer. Перед началом работы необходимо скопировать приложение на какой-либо носитель или иной жесткий диск FAT32.

        После выполнения данной операции необходимо:

        запустить из папки password файл «BootableDiskCreator»;

        в открывшемся окне выбираем «Add USB …»;

        активируем кнопку «Start».

        После выполнения всех вышеперечисленных действий будет создана загрузочная флешка.

        Сам процесс изменения данных при помощи рассматриваемого приложения выглядит следующим образом:

        перезапускаем ПК с установленной в него USB-флешкой;

        выбираем диск, на котором расположен SAM;

        если поиск успешно завершается, то будет выведена таблица User;

        выбираем нужный пункт, нажимаем на клавишу Enter;

        в открывшемся окне ставим крестик напротив пункта «clear this … »;

        ставим букву «Y», тем самым соглашаясь с выполнением операции.

        Данный способ работы с учетными записями и их атрибутами является максимально безопасным. Так как позволяет избежать редактирования реестра и иных операций, выполняемых вручную. Это порой бывает затруднительно для не очень опытных пользователей, начавших работать со своим ПК относительно недавно. Вероятность нанести вред операционной системе в данном случае практически равна нулю.

        Ещё одним важным достоинством данной программы является возможность установки расписания для использования ПК отдельными учетными записями.

        К недостаткам следует отнести то, что некоторые устаревшие модели материнских плат не поддерживают запуск с USB-носителя. В такой ситуации приходится искать какие-либо альтернативные варианты: дискета, компакт-диск или нечто иное.

        Довольно часто, особенно с начинающими, возникают ситуации, когда комбинация знаков, необходимая для входа в ОС забыта или утеряна по иным причинам. Из такой сложной ситуации имеется множество выходов, переустановка системы требуется далеко не всегда. Причем справиться со сбросом кода доступа к ОС сможет любой владелец компьютера, имеющий минимальные навыки взаимодействия с техникой подобного типа.

        compsch.com