• Настройка параметров программы .
• Завершение работы программы .
• Выключение компонентов защиты .
• Выключение компонентов контроля .
• Удаление ключа .
• Удаление / изменение / восстановление программы .
• Восстановление доступа к данным на зашифрованных устройствах .
• Просмотр отчетов .

Программа проверяет введенные пароли. Если пароли совпадают, программа применяет пароль. Если пароли не совпадают, программа предлагает повторно подтвердить пароль в поле Подтверждение пароля .

Откроется окно Проверка пароля .

Откроется окно с временным паролем (см. рис. ниже).

Скопируйте и передайте пользователю пароль.

Kaspersky endpoint security 10 для windows пароль

Для версии программы Kaspersky Endpoint Security 11.1.0 и выше порядок работы Защиты паролем изменился. В Kaspersky Endpoint Security 11.1.0 вы можете ограничить доступ к программе отдельным пользователям и не использовать одну учетную запись. При обновлении с предыдущих версий программы, если Защита паролем включена, Kaspersky Endpoint Security сохраняет ранее заданный пароль. Для первого изменения параметров Защиты паролем используйте имя пользователя KLAdmin и ранее заданный пароль.

Компьютер могут использовать несколько пользователей с разным уровнем компьютерной грамотности. Неограниченный доступ пользователей к Kaspersky Endpoint Security и его параметрам может привести к снижению уровня безопасности компьютера в целом. Защита паролем позволяет ограничить доступ пользователей к Kaspersky Endpoint Security в соответствии с предоставленными разрешениями (например, разрешение на завершение работы программы).

Если пользователь, который запустил сессию Windows, ( сессионный пользователь) имеет разрешение на выполнение действия, Kaspersky Endpoint Security не запрашивает имя пользователя и пароль или временный пароль. Пользователь получает доступ к Kaspersky Endpoint Security в соответствии с предоставленными разрешениями.

Если у сессионного пользователя отсутствует разрешение на выполнение действия, пользователь может получить доступ к программе следующими способами:

Ввод имени пользователя и пароля.

Этот способ удобен для повседневной работы. Для выполнения действия, защищенного паролем, требуется ввести данные доменной учетной записи пользователя с необходимым разрешением. При этом компьютер должен быть в домене. Если компьютер не в домене, вы можете использовать учетную запись KLAdmin.

Ввод временного пароля.

Этот способ удобен, если пользователь находится вне корпоративной сети и необходимо предоставить ему временное разрешение на выполнение запрещенного действия (например, завершить работу программы). По истечении срока действия временного пароля или истечении сессии программа возвращает параметры Kaspersky Endpoint Security в прежнее состояние.

При попытке пользователя выполнить действие, защищенное паролем, Kaspersky Endpoint Security предложит пользователю ввести имя пользователя и пароль или временный пароль (см. рис. ниже).

Запрос пароля для доступа к Kaspersky Endpoint Security

Имя пользователя и пароль

Для доступа к Kaspersky Endpoint Security необходимо ввести данные доменной учетной записи. Защита паролем поддерживает работу со следующими учетными записями:

• KLAdmin . Учетная запись администратора без ограничений доступа к Kaspersky Endpoint Security. Учетная запись KLAdmin имеет право на выполнение любого действия, защищенного паролем. Отменить разрешение для учетной записи KLAdmin невозможно. Kaspersky Endpoint Security требует задать пароль для учетной записи KLAdmin во время включения Защиты паролем.
• Группа «Все» . Стандартная группа Windows, которая включает в себя всех пользователей внутри корпоративной сети. Пользователи из группы «Все» могут получить доступ к программе в соответствии с предоставленными разрешениями.
• Отдельные пользователи или группы . Учетные записи пользователей, для которых вы можете настроить отдельные разрешения. Например, если для группы «Все» выполнение действия запрещено, то вы можете разрешить выполнение действия для отдельного пользователя или группы.
• Сессионный пользователь . Учетная запись пользователя, который запустил сессию Windows. Вы можете сменить сессионного пользователя во время ввода пароля (флажок Запомнить пароль на текущую сессию ). В этом случае Kaspersky Endpoint Security назначает сессионным пользователем, учетные данные которого вы ввели, вместо пользователя, который запустил сессию Windows.

Временный пароль позволяет предоставить временный доступ к Kaspersky Endpoint Security для отдельного компьютера вне корпоративной сети. Администратор создает временный пароль для отдельного компьютера в Kaspersky Security Center в свойствах компьютера пользователя. Администратор выбирает действия, на которые будет распространяться временный пароль, и срок действия временного пароля.

Алгоритм работы Защиты паролем

Kaspersky Endpoint Security принимает решение о выполнении действия, защищенного паролем, по следующему алгоритму (см. рис. ниже).

Деактивация защитных приложений без авторизации

Как обойти парольную аутентификацию, используемую для выгрузки приложения Kaspersky Endpoint Security 10 и других подобных продуктов в ОС Windows, от имени пользователя с ограниченными правами.

Авторы: Matthias Deeg, Sven Freund
Как обойти парольную аутентификацию, используемую для выгрузки приложения Kaspersky Endpoint Security 10 и других подобных продуктов в ОС Windows, от имени пользователя с ограниченными правами.
Введение
В основном, защитное программное обеспечение используется как одно из средств для повышения устойчивости IT-систем (как клиентов, так серверных систем) к различным угрозам. Типичные функции подобных приложений могут включать в себя антивирус, детектирование неизвестных вредоносов, механизмы управления устройствами и программами и/или фаервол.

Рисунок 1: Защита паролем в приложении Kaspersky Endpoint Security 10
Обычно подобное программное обеспечение защищено паролем в целях ограничения доступа к панели управления, которая предназначена для изменения настроек или деактивации защитных функций, только определенным пользователям. Эта защита уменьшает риск несанкционированных или непреднамеренных изменений в части функционала. Кроме того, ограничение административного доступа – в целом хорошая идея. Особенно когда дело касается безопасности (принцип наименьших привилегий).
Для того чтобы получить доступ для управления настройками безопасности, обычно требуется пароль (если быть более точным, то аутентификация при помощи пароля). В некоторых ситуациях подобная аутентификация может быть полезна для сотрудников IT-поддержки. Но если парольная аутентификация реализована неправильно, злоумышленник или вредонос, используя учетную запись с низкими привилегиями, сможет поменять настройки безопасности или деактивировать защиту полностью без знания пароля.
В 2012 году компания SySS GmbH уже публиковала пример уязвимости, связанной с обходом аутентификации в приложении Trend Micro OfficeScan [1] (см. раздел Ссылки). Однако этот тип уязвимостей до сих пор присутствует в приложениях, предназначенных для защиты рабочих станций. Мы ставили перед собой задачу – повторно привлечь внимание к этой проблеме.
В данной статье будет показано, как нарушение принципов безопасности может привести к уязвимостям, связанным с обходом аутентификации, которые были найдены в 2015 году в свежих версиях программных продуктов, предназначенных для защиты рабочих станций, от различных компаний. Обо всех упоминаемых брешах было сообщено компаниям-разработчикам согласно нашей политике распространения секретной информации [2]. Кроме того, данные уязвимости описывались в публичных бюллетенях 11 и обсуждались на конференции DeepSec в ноябре 2015 года [20].
Анализ уровня безопасности
Во время оценки уровня безопасности специалисты компании SySS GmbH проанализировали систему на базе ОС Windows под защитой при помощи приложения Kaspersky Endpoint Security 10, в котором предусмотрен пароль для доступа к панели управления (см. Рисунок 1).
Если парольная защита в KES 10 активирована, все защищенные операции могут быть выполнены либо через интерфейс, либо через командную строку при помощи утилиты avp.exe, если корректный пароль известен.
При использовании утилиты avp.exe и не указании требуемого пароля в качестве аргумента, появляется сообщение о вводе пароля.

Рисунок 2: Сообщение о вводе пароля в командной строке утилиты avp.exe
Анализируя парольную аутентификацию для выгрузки KES 10 (команда EXIT), специалисты компании SySS GmbH выяснили, что сравнение паролей происходит внутри процесса avp.exe, который запускается или может быть запущен в контексте текущего пользователя даже с ограниченными правами. Сей факт способствует дальнейшему анализу и, кроме того, манипуляции с проверкой пароля во время работы приложения в контексте с ограниченными правами, поскольку каждый пользователь способен отлаживать и манипулировать процессами, запущенными под своим именем.
На Рисунках 3 и 4 (см. ниже) в отладчике OllyDbg [21] показан код, отвечающий за сравнение хеша MD5 для введенного пароля с хешем MD5 для корректного пароля.

Рисунок 3: Сравнение паролей внутри процесса avp.exe
Для того чтобы обойти парольную аутентификацию, злоумышленнику нужно изменить проверку так, чтобы всегда по результатам всегда возвращалось значение true. Подобное можно реализовать посредством сравнения корректного пароля с самим собой или посредством модификации алгоритма проверки.
Причина присутствия данной уязвимости – нарушение базовых принципов безопасности. Сравнение паролей происходит внутри процесса, запущенного от имени пользователя с низкими привилегиями, вместо более достоверной и высоко привилегированной среды внутри служебного процесса, который недоступен из контекста пользователя с ограниченными правами. Рисунок 5 иллюстрирует проблему в системе безопасности.
В случае с KES 10 хеши MD5 являются несолеными с использованием пароля, закодированного в UTF-16LE и без завершающего пустого байта. В Листинге 1 (см. ниже) приведен пример для пароля syss.

Рисунок 4: Участок кода, где происходит сравнение паролей в KES 10
Как показано на Рисунке 6, также возможно извлечение хеша MD5 у корректного пароля из памяти процесса avp.exe, запущенного в контексте пользователя с ограниченными правами.
Использование односторонней хеш-функции MD5 без соления позволяет злоумышленнику, получившему доступ к хешу, выполнить высокоэффективную атаку при помощи заранее сформированных словарей (например, радужных таблиц) для того, чтобы вычислить пароль.
$ echo -en «s\x00y\x00s\x00s\x00» | md5sum
cfb37e7c04bea837d23005199b1cd62b –

Листинг 1: Несоленый MD5 хеш

Рисунок 5: Причина уязвимостей, связанных с обходом аутентификации

Другой способ получения доступа к хешу MD5 корректного пароля под пользователем с ограниченными правами – просто считать следующий ключ из реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\ protected\KSES10\settings\OPEP
По умолчанию этот ключ доступен для чтения каждому пользователю. Таким образом, существует два способа получения к плохо защищенному хешу из контекста пользователя с ограниченными правами.

Рисунок 6: Хеши MD5, используемые во время аутентификации

Рисунок 7: Ключ, содержащий хеш MD5 корректного пароля
Другие программные комплексы, содержащие уязвимости
Помимо приложения Kaspersky Endpoint Security 10 под ОС Windows специалисты компании SySS GmbH проанализировали другие аналогичные продукты на примет присутствия брешей, связанных с обходом аутентификации.
В Таблице 1 показаны все приложения, предназначенные для защиты рабочих станций, которые также уязвимы к атакам, связанным с обходом аутентификации, и защищают информацию о пароле неудовлетворительным образом.