Přihlášení do systému WindowsXP pomocí flash disku

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: BetonMAN
Datum: 21.2.2009
Hodnocení/Hlasovalo: 1/1

Jedná se o kompletní zabezpečení spouštění a přihlašování systému WindowsXP za pomocí flash disku, syskey a pár drobných programů.

Jeden můj slovenský kolega se mě zeptal, zda neznám nějaký způsob, jak svázat přihlašování systému Windows s flash diskem a to tak, že po odpojení flash disku dojde k uzamčení počítače. Zeptal jsem se tedy svého strýčka Google, ale ten mi odpověděl odkazy na komerční programy a tak jsem se pustil do výroby vlastního řešení.

Toto řešení jsem splácal dohromady dnes v noci (20-21.02.2009), takže to není nic extra, ale zcela určitě je bezpečnější, než klasické zadávání hesla při spuštění systému Windows.

V čem tato ochrana spočívá:

1. Syskey je uložen ve 128-bitovém souboru na flash disku, tudíž je nemožné bez něj systém vůbec spustit

2. Veškeré uživatelské účty jsou nastaveny jako zakázané, takže se k nim nedá přihlásit

3. Na pozadí běží monitorovací program, který sleduje přítomnost flash disku v počítači. Není-li flash disk přítomen, dojde k uzamčení stanice.




Jak na to?



Příprava flash disku



První věc, kterou musíme udělat, je přenést klíč pro spuštění systému na flash disk. Abychom to mohli provést, musíme si flash disk připojit jako jednotku pod písmenem A:. Pokud vám toto písmeno neobsadila disketová mechanika můžete následující odstavec přeskočit. A těm z vás, kterým disketová mechanika obsadila písmeno A:, nyní poradím, jak se jí zbavit.

Spusťte si správu počítače (Klikněte pravým tlačítkem myši na ikonu "Tento Počítač" a z kontextové nabídky vyberte položku "Spravovat"), dále přejděte na správce zařízení, dále pak na Disketové jednotky a zde klepneme pravým tlačítkem myši na položku Disketová mechanika a z kontextové nabídky vybereme položku Zakázat.

Ve správě počítače vyberte položku Správa disků. Mezi disky najděte svůj flash disk, klepněte na něj pravým tlačítkem myši a z kontextové nabídky vyberte položku Změnit písmeno jednotky a cestu. V nově otevřeném okně vyberte aktuální písmeno svého flash disku a klikněte za tlačítko změnit. V dalším okně klikněte na rozbalovací nabídku vpravo nahoře a vyberte z ní písmeno A a klikněte na OK.. Pokud chcete zprovoznit disketovou mechaniku, kterou jsme v předchozím kroku zakázali, postupujte stejně, jako při zakazování, jen namísto položky Zakázat vyberete položku Povolit.

Uložení spouštěcího klíče na flash disk


Spusťte si příkaz "syskey" (v příkazovém řádku, nebo v nabídce "spustit" v nabídce start). Klikněte na tlačítko aktualizovat. V nově otevřeném okně Vyberte možnost: Uložit klíč pro spuštění na disketu a klikněte na OK.

Změna přihlašovacího systému


Nyní přichází ta složitější část. Pokud moc neumíte programovat, nebo se nevyznáte v nastavení systému, přejděte na konec článku, kde si můžete stáhnout hotový instalátor. Pro ty zručnější pokračuji ve výkladu.

Budeme potřebovat nějakou monitorovací aplikaci/script, která nám bude hlídat přítomnost flash disku v počítači. Já jsem si napsal jednoduchý 1 KB JavaScriptový script, který se o toto postará.

Dále je nutné tuto aplikaci/script spustit ještě před startem uživatele, aby mohla uživatele automaticky přihlásit, objeví-li se v počítači flash disk. Já jsem si upravil aplikaci AutoExNT z rootkitu, který mi toto spuštění zajistí. Samozřejmě můžete také použít aplikaci SrvAny, nebo si udělat rovnou vlastní službu.

Pro automatické přihlášení/odemknutí uživatele při připojení flash disku jsem použil aplikaci logon.exe od firmy SoftTree Technologies.

No a nakonec pokud si rádi hrajete, můžete si udělat vlastní přihlašovací obrazovku, kterou použijete namísto té tradiční.

Hotové řešení ode mě



Pokud se nechcete pouště do výroby vlastního přihlašovacího systému, můžete využít toho, co se mi podařilo přes noc sesmolit. Udělal jsem vám k tomu i instalační a odinstalační programy, takže by mělo vše probíhat hladce.

Upozorňuji, že i když použijete mé řešení, stále si musíte sami převést spouštěcí klíč na flash disk, jinak program nebude fungovat.

Chcete-li opravdu vysokou bezpečnost, doporučuji zakázat všechny uživatele (zablokovat je), jelikož tím ještě zvýšíte bezpečnost systému. A když říkám všechny, tak myslím všechny, včetně uživatele, pod kterým pracujete. Teď si možná říkáte: "No fajn, já se zablokuji, ale jak se pak přihlásím?". Odpověď zní: Nepřihlásíte se. Ale přihlásí vás můj script, který na okamžik účet odblokuje, provede přihlášení uživatele a opět účet zablokuje. To vám zajišťuje, že k systému přistupujete pouze vy a nikdo jiný.

Pokud budete chtít, aby se touto metodou mohli na jednom počítači přihlásit uživatelé pod různými účty, bude potřeba pro každý účet použít jiný Flash disk. Navíc bude také zapotřebí patřičně upravit můj skript, jelikož je momentálně navržen pouze pro jeden účet současně.

Download



Zde si můžete stáhnout můj program.

Upozorňuji, že je minimálně nutné, abyste převedli na svůj flash disk klíč pro spuštění systému (body: 1. Příprava flash disku a 2. Uložení spouštěcího klíče na flash disk), jinak to nebude fungovat.

Program pro přihlášení do systém Windows pomocí Autentizačního flash disku.