Огляд сховища облікових даних
Сховище облікових даних - це служба, яка створює і підтримує безпечне місце зберігання на локальному комп'ютері, в якому зберігаються імена користувачів і паролі, збережені користувачем на веб-сайтах і в додатках для Windows 8. Доступ до сховища облікових даних здійснюється як до компоненту управління обліковими записами локального користувача - за допомогою Диспетчера облікових даних на панелі управління.
Керування: ідентифікація за допомогою диспетчера облікових даних контролюється користувачем локального комп'ютера. Щоб користувачам було зручно реєструватися в підтримуваних браузерах і Windows-додатках, вони можуть зберігати і зберігати облікові дані з цих ресурсів. Облікові дані зберігаються на комп'ютері в спеціальних зашифрованих папках профілю користувача. Додатки, що підтримують цей компонент (за допомогою використання API диспетчера облікових даних), такі як веб-браузери та додатки Windows 8, можуть надавати правильні облікові дані інших комп'ютерів і веб-сайтів при реєстрації.
Коли веб-сайт, додаток або інший комп'ютер запитує перевірку автентичності через NTLM або Kerberos, користувач може вибрати прапорець Оновити облікові дані за замовчуванням або Зберегти пароль. Діалог запиту на збереження облікових даних створюється додатком, що підтримує API диспетчера облікових даних. Якщо користувач вибирає прапорець, диспетчер облікових даних продовжує відстежувати ім'я користувача, пароль і пов'язану інформацію для використовуваної служби перевірки автентичності.
При наступному використанні служби диспетчер облікових даних автоматично надає облікові дані зі сховища облікових даних. Якщо дані не приймаються, користувачеві пропонується ввести правильну інформацію для отримання доступу. Якщо з новими обліковими даними доступ дозволений, диспетчер облікових даних змінює попередні облікові дані на нові і зберігає нові облікові дані в сховищі облікових даних.
Наприклад, якщо користувач додасть облікові дані Windows за допомогою диспетчера облікових даних, підключення до віддаленого робочого столу виявить це і заповнить діалогове вікно цими обліковими даними. Якщо облікові дані відхиляються і при наступній спробі користувач надає правильні дані, сховище облікових даних зберігає правильні облікові дані. Так само Internet Explorer 10 буде шукати в сховище облікових даних всіх даних, які зіставляються з веб-сайтом, що вимагає виконати реєстрацію. Якщо облікові дані не знайдені, користувачеві пропонується зареєструватися і при бажанні зберегти введені облікові дані в сховищі облікових даних, щоб використовувати їх при наступному доступі до цього веб-сайту.
Ізоляція облікових даних є частиною архітектури компонента. Сховище облікових даних може надати облікові дані тільки в наступних випадках:
- Додатків Магазину Windows, що підтримує API диспетчера облікових даних
Без змін залишається обробка облікових даних сховищем облікових даних для колишніх версій Windows-додатків.
Далі перераховані деякі важливі розширення функціональності, які необхідно враховувати при використанні сховища облікових даних на підприємстві.
- Керування: ідентифікація за допомогою диспетчера облікових даних контролюється користувачем локального комп'ютера.
Користувачі можуть скористатися перевагами можливості зберігати і зберігати облікові дані, які вони використовують при реєстрації в різних системах, включаючи веб-сайти і Windows-програми. У підтримуваних випусках Windows (див. Список Застосовується до на початку цього розділу) додатки Магазину Windows також можуть бути запрограмовані, щоб користувачі мали можливість збереження облікових даних в сховищі облікових даних. Internet Explorer 10 також надає цю можливість.
Користувачі можуть отримувати доступ до свого сховища даних для всіх довірених пристроїв Windows, як до частини профілю посвідчення користувача, але ця можливість відключена для комп'ютерів, об'єднаних в домен.
Сховище облікових даних підтримує простий вхід за допомогою додатків Магазину Windows, які використовують брокер веб-перевірки справжності. Воно запам'ятовує паролі для служб, таких як Facebook і Twitter, тому користувачеві не потрібно вводити облікові дані кілька разів. Цей простий вхід був розширений для пристроїв користувачів, що працюють під управлінням Windows 8.1.
Раніше, коли було збережено кілька облікових даних для одного ресурсу, не існувало можливості для вказівки облікових даних "за замовчуванням". У Windows 8.1 користувач може вказати облікові дані за замовчуванням для певного ресурсу. І для полегшення вибору користувача в облікових даних, що зберігаються в сховищі облікових даних, відображається дата їх останнього використання.
- Чи не підтримується автоматичне завантаження інформації з сховища облікових даних на USB-пристрої або назад.
Можна використовувати параметр політики безпеки Мережевий доступ: не дозволяти зберігання паролів або облікових даних для мережевої перевірки автентичності для управління диспетчером облікових даних. Якщо це властивість включено, диспетчер облікових даних не зберігає паролі або облікові дані для перевірки справжності домену на комп'ютері.
Так як додатки Магазину Windows можуть бути запрограмовані для підтримки сховища облікових даних, ІТ-адміністратори не можуть контролювати зберігання облікових даних з цих додатків на локальному комп'ютері. Тим не менш, ви можете контролювати додатки, які виконуються на вашому підприємстві, з використанням компонентів для управління додатками, такими як AppLocker.
Диспетчер облікових даних являє собою додаток панелі управління, яке є у всіх випусках підтримуваних версій Windows (див. Список Застосовується до на початку цього розділу). Додаткові вимоги до програмного забезпечення для використання цієї властивості відсутні.