Поток портала авторизации windows 10

Агрессивная — именно этот эпитет приходит в голову многим пользователям Windows 10, если им необходимо описать систему одним словом. Такое поведение начинается еще до установки, с раздражающих требований обновиться.

Даже сам руководитель отдела маркетинга Microsoft Крис Капоссела признает, что концерн действовал слишком напористо в своем желании максимально быстро распространить систему среди пользователей. Миллиарды ПК максимум за три года — таким был план. И, разумеется, все лишь во благо потребителей: «Мы хотим, чтобы как можно больше пользователей перешли на Windows 10 из соображений безопасности».

В категорию «Безопасность», однако, не попала конфиденциальность. Капоссела утаил, что Windows 10 проникает в частную сферу глубже, чем любая другая Windows прежде. Многих пользователей просто ставят перед непреложными фактами: данные собираются по умолчанию, обновления устанавливаются автоматически и без спроса, на экране блокировки отображается реклама. Microsoft ставит на то, что большинство людей свыкнутся с Windows 10 из-за отсутствия альтернатив.

Смириться? Хорошо, но, пожалуйста, на пользовательских условиях: мы покажем, как приручить наглую операционную систему, чтобы сохранить свою прайваси даже под Windows 10.

Освобождение от шпионажа служб Microsoft

Внедрение ощутимо ужесточенного наблюдения за своими клиентами Microsoft оправдывает необходимостью, в первую очередь, отслеживать частоту возникновения определенных ошибок. По информации из Online-FAQ, речь не идет о том, чтобы «идентифировать отдельных пользователей, контактировать с ними или отображать целевую рекламу».

Предустановленные настройки по умолчанию, однако, позволяют сотрудникам Microsoft напрямую подключаться к домашнему ПК, чтобы с помощью различных инструментов диагностики определить причины зарегистрированной ошибки. Полученная таким образом информация, однако, не разглашается.

Если вы владелец предварительно сконфигурированного ПК или же не проявили достаточно бдительности при установке Windows 10, стоит заглянуть в параметры конфиденциальности. Такие бесплатные утилиты, как O&O ShutUp10 (oo-software.com/en/shutup10), наглядно отображают большинство настроек приватности для Windows 10.

Картинка с сайта: windoro.ru

Мы рекомендуем вначале изменить основные параметры вручную и лишь затем позволить действовать ShutUp10. Так вы лучше познакомитесь с Windows 10 и будете точно знать, где найти конкретный переключатель.

Отключаем онлайн-аккаунт

Первым шагом к ограничению утечки данных станет переход на локальную учетную запись. Многие пользователи при установке системы бездумно пропускают этот этап, оставляя по умолчанию онлайновый аккаунт. После этого Windows 10 может синхронизировать параметры и пароли на различных устройствах. Обмен возникающей при этом информацией происходит через сервер Microsoft.

Кроме того, онлайн-аккаунт необходим для покупки приложений в магазине Microsoft. Таким образом, речь уже не идет о возможности приобрести ПО, как прежде, напрямую у разработчика или же в альтернативных онлайн-магазинах. Хорошо, что впоследствии вы можете перейти на локальную учетную запись.

Для этого нажмите на значок Windows в нижнем левом углу и откройте «Параметры», а затем «Учетные записи». Щелкните по записи «Войти вместо этого с локальной учетной записью».

Картинка с сайта: windoro.ru

Воспользуйтесь возможностью и измените также конфигурацию синхронизации. Для этого перейдите к строчке «Синхронизация ваших параметров» и переведите первый переключатель в положение «Откл.».

Добраться до пункта контроля за настройками приватности в Windows 10 можно через «Пуск | Параметры | Конфиденциальность». В разделе «Общие» вы найдете опции для блокировки использования идентификатора получения рекламы и передачи информации о вашем поведении в Microsoft. На некоторых системах эта функция уже отключена. В этом разделе стоит оставить включенным лишь фильтр SmartScreen, отвечающий за защиту от зараженных сайтов.

Запрещаем системе «стучать»

В завершение пройдитесь по всем строчкам списка после раздела «Общие» и настройте параметры под себя. Так, в категории «Отзывы и диагностика» установите вариант «Никогда» для функции отправки отзывов, а ниже выберите «Базовые сведения».

Картинка с сайта: windoro.ru

Благодаря этому при возникновении ошибок Windows будет передавать в Microsoft сравнительно немного сведений, например, идентификатор устройства, версию Windows и данные об используемом оборудовании.

В разделе «Местоположение» вы решаете, стоит ли давать Windows 10 разрешение на определение вашего местоположения и на передачу этих сведений другим приложениям. Отключите эту опцию, а также удалите «Историю местоположений» ниже.

Голосовая ассистентка Кортана доступна лишь для английского и ряда других иностранных языков. Если вы используете в системе английский язык интерфейса, то эта опция, на первый взгляд, может показаться полезной.

Однако ее работа неразрывно связана с передачей пользовательских данных на серверы Microsoft, где производится их анализ. Если вы не собираетесь этого позволять, щелкните по «Start | Cortana». Теперь нажмите на шестеренку и отключите все функции, чтобы заставить помощницу замолчать.

Персонализированную рекламу от корпорации вы отключите из браузера. Для этого откройте страницу http://choice.microsoft.com/ru-RU/opt-out и в блоке «Персонализированная реклама в этом браузере» нажмите на кнопку «Включить». Она поменяет название на «Выключить».

По умолчанию Windows 10 также автоматически подключается к «предлагаемым открытым хот-спотам».

Если вы предпочитаете держать эту сферу под своим контролем, отключите данную опцию. Ее вы найдете через «Пуск | Параметры | Сеть и Интернет | Wi-Fi». Деактивируйте функцию в разделе «Контроль Wi-Fi». На некоторых системах здесь также находится возможность автоматического обмена доступа к сетям с контактами. Ее также желательно выключить из соображений безопасности.

Предотвращаем автоматическую перезагрузку

Windows 10 Домашняя после установки обновлений перезапускается самостоятельно без учета ваших пожеланий. Тем самым Microsoft планирует добиться максимально быстрой раздачи своих пакетов. Если вам не повезло, вы можете из-за этого потерять, к примеру, несохраненные изменения в документе Word.

> Microsoft, впрочем, добавила кнопку, с помощью которой вы можете задать «Период активности», во время которого система не будет перезагружаться автоматически. Интервал, однако, не превышает 12 часов, после чего ваш компьютер безжалостно перезагрузится. Для компьютеров, работающих дольше, этого времени недостаточно.

> RebootBlocker от программиста Ульриха Декера устанавливает службу Windows, которая автоматически сдвигает рамки этого временного окна. Благодаря этому решению нежелательная перезагрузка Windows 10 уходит в прошлое. Вы найдете RebootBlocker бесплатно на сайте udse.de/en/windows-10-reboot-blocker.

Картинка с сайта: windoro.ru

Приручаем операционную систему

Новый центр уведомлений в Windows 10 собирает сообщения, рекомендации и другие уведомления от приложений с вашего компьютера и постоянно их отображает. Если вам это надоело, вы можете перекрыть этот информационный поток. Щелкните по значку Windows в левом нижнем углу и выберите «Параметры».

Откройте «Систему», а затем «Уведомления и действия». Отсюда вы можете отключить уведомления: либо сразу все через «Получать уведомления от приложений и других отправителей» или же индивидуально для отдельных приложений и отправителей (для этого нужно спустится ниже).

Для обновлений Microsoft в Windows 10 выбрала другую тактику: так, основные настройки вы не найдете в одном месте — некоторые из них очень хорошо запрятаны. Воля корпорации такова, чтобы Windows 10 непрерывно обновлялась самостоятельно. Поэтому у пользователей версии Домашняя отсутствует прямая возможность отказаться от установки новых патчей или же отложить ее.

Картинка с сайта: windoro.ru

Автоматическое и постоянно нервирующее вас обновление приложений можно отменить через Магазин Windows. Здесь щелкните по своей картинке профиля в верхнем правом углу. Выберите «Настройки» и переключите опцию «Обновлять приложения автоматически» на «Откл.».

Дрессируем системные обновления

Чуть больше времени вам понадобится, чтобы ограничить автоматические обновления операционной системы. В принципе остались три возможности: отложить, ограничить или полностью отключить обновления.

Самым эффективным и при этом самым радикальным решением является деактивация службы, отвечающей за актуализацию Windows. Для этого нажмите на «Win + R» и введите «services.msc». Теперь отсортируйте список по параметру «Имя» и правой кнопкой мыши щелкните по строчке «Центр обновления Windows». В меню выберите «Свойства» и переключите «Тип запуска» на вариант «Отключена». Нажмите на «ОК», чтобы сохранить изменения.

Картинка с сайта: windoro.ru

Теперь Windows 10 перестанет устанавливать какие-либо обновления, в том числе и патчи безопасности. Поэтому периодически следует вспоминать про этот параметр и на время активировать данную службу. Две другие возможности, как отложить или ограничить обновления от Microsoft, мы описываем на странице goo.gl/K4mNzT.

Распределение обновлений забивает полосу пропускания и требует денежных расходов. Часть этой нагрузки Microsoft перевалила на пользователей Windows 10, которые в свою очередь, зачастую сами того не зная, становятся поставщиками обновлений для других пользователей. Это может привести к тому, что их собственное подключение к Сети существенно замедлится на время отдачи обновления.

Перейдите к «Пуск | Параметры | Обновление и безопасность». Здесь нажмите на «Дополнительные параметры», а затем на «Выберите, как и когда получать обновления», чтобы это остановить.

Настраиваем под себя интерфейс и Проводник

Прогноз погоды в виде «живой» плитки, конечно, полюбился многим, однако постоянная смена содержимого других плиток быстро начинает действовать на нервы. Прекратите эту неразбериху правым кликом по любому такому элементу и выбором пункта «Отключить живые плитки».

Картинка с сайта: windoro.ru

Чтобы полностью удалить ненужные плитки, щелкните по ним правой кнопкой мыши и нажмите на «Удалить». Многим фанатам Windows сложно смириться с новым меню Пуск, и они предпочли бы просто избавится от него. Никаких проблем. Бесплатное приложение устанавливает меню, позволяющее настроить себя индивидуально и напоминающее о старых добрых временах.

Утилиту вы найдете по адресу classicshell.net. Если после установки щелкнуть по кнопке Пуск, появится запрос на выбор шаблона (см. выше).

Новые функции для Проводника

Помимо всего прочего, Classic Shell добавляет в Проводник Windows некоторые полезные значки, благодаря которым вы быстрее откроете опции папок или сможете оправить файлы по электронной почте. К слову о Проводнике Windows: прежде этот файловый менеджер предоставлял обзор подключенных к ПК дисков уже при запуске программы.

Картинка с сайта: windoro.ru

Под Windows 10 он, напротив, отображает только последние открытые файлы. Откройте «Вид | Параметры», чтобы изменить настройки. На вкладке «Общие» измените вариант для записи «Открыть проводник для» на «Этот компьютер».

Другая характерная особенность Windows 10 вывела многих пользователей на баррикады: эта операционная система периодически демонстрирует на экране блокировки рекламу. Ее вы также можете отключить. Для этого зайдите в «Пуск | Параметры» и нажмите на «Персонализацию».

Теперь перейдите к разделу «Экран блокировки» и для «Фона» установите вариант «Фото». Теперь немного спуститесь вниз и переведите переключатель «Интересные факты, подсказки и другая информация от Windows и Кортаны на экране блокировки» в положение «Откл.».

Переустановка без потери данных

Бывают ситуации, когда вернуть себе контроль Windows невозможно без ее полной переустановки. К счастью, осуществить это в «десятке» гораздо проще, чем в ее предшественницах.

Картинка с сайта: windoro.ru

> Свежее начало может потребоваться, если Windows 10 перестала работать так, как вам нужно, или же на новом компьютере обнаружено слишком много предустановленного ПО, которое вам мешает. Microsoft для этих целей разработала бесплатную утилиту Windows 10 Refresh Tool. Она не просто полностью переустанавливает операционную систему, но и сохраняет при этом нетронутыми персональные данные.

> Однако мы рекомендуем заранее создать на внешнем носителе резервную копию всей важной информации. После этого скачайте программу со страницы http://go.microsoft.com/fwlink/?LinkId=808750 и запустите ее. Выберите «Сохранить мои файлы» и нажмите на «Начать», чтобы освежить компьютер.

Фото: компании-производители, ShutterStock/Fotodom.ru

выделение разными цветами процессов и потоков, для удобного восприятия информации:

• процессы служб – розовый;
• ваши собственные процессы – синий;
• новые процессы – зелёный;
• завершенные процессы – красный;

• число дескрипторов у процесса;
• активность потоков в процессе;

• подробную информация о распределении памяти.

Запустите Process Explorer:

Для начала скачиваем установщик «Пакет SDK для Windows 10».

Устанавливать все не нужно, достаточно при установки выбрать “Debugging Tools for Windows“:

Для настройки символических имен перейдите в меню Options / Configure / Symbols. Введите путь к библиотеке Dbghelp.dll, которая находится внутри установленного «Пакета SDK для Windows 10» по умолчанию:

• C:Program Files (x86)Windows Kits10Debuggersx64Dbghelp.dll.

И путь к серверу символической информации:

Некоторые основные настройки Process Explorer:

• Смена цветового выделения – Options / Configure Colors.
• Выбор колонок с информацией о процессах – View / Select Columns.
• Сортировка процессов – нужно щелкнуть на заголовке столбца Process, при первом щелчке сортировка будет в алфавитном порядке, при втором в обратном порядке, при третьем вернется в вид дерева.
• Просмотр только своих процессов – View / снять галочку Show Processes from All Users.
• Настройка времени выделения только что запущенных процессов и завершённых – Options / Difference Highlight Duration / введите количество секунд.
• Чтобы исследователь процесс подробнее можно дважды щелкнуть на нем и посмотреть информацию на различных вкладках.
• Открыть нижнюю панель для просмотра открытых дескрипторов или библиотек – Vies / Show Lower Panel.

Потоки в Process Explorer

Потоки отдельного процесса можно увидеть в программе Process Explorer. Для этого нужно дважды кликнуть по процессу и в открывшемся окне перейти на вкладку «Threads»:

В колонках видна информация по каждому потоку:

• TID — идентификатор потока.
• CPU — загрузка процессора.
• Cycles Delta — общее количество циклов процессора, которое этот процесс использовал с момента последнего обновления работы Process Explorer. Скорость обновления программы можно настроить, указав например 5 минут.
• Suspend Count — количество приостановок потока.
• Service — название службы.
• Start Address — начальный адрес процедуры, который начинает выполнение нового потока. Выводится в формате:«модуль!функция».

При выделении потока, снизу показана следующую информация:

• Идентификатор потока.
• Время начала работы потока.
• Состояние потока.
• Время выполнения в режиме ядра и в пользовательском режиме.
• Счетчик переключения контекста для центрального процессора.
• Количество циклов процессора.
• Базовый приоритет.
• Динамический приоритет (текущий).
• Приоритет ввода / вывода.
• Приоритет памяти.
• Идеальный процессор (предпочтительный процессор).

Есть также кнопки:

Задания в Process Explorer

Process Explorer может выделить процессы, управляемые заданиями. Чтобы включить такое выделение откройте меню «Options» и выберите команду «Configure Colors», далее поставьте галочку «Jobs»:

Более того, страницы свойств таких процессов содержат дополнительную вкладку Job с информацией о самом объекте задания. Например приложение Skype работает со своими процессами как за заданием:

Запустите командную строку и введите команду:

Таким образом вы запустите еще одну командную строку от имени этого пользователя. Служба Windows, которая выполняет команды runas, создает безымянное задание, чтобы во время выхода из системы завершить процессы из задания.

В новой командной строке запустите блокнот:

Далее запускаем Process Explorer и находим такое дерево процессов:

Как видим, процесс cmd и notepad это процессы связанные с каким-то заданием. Если дважды кликнуть по любому из этих процессов и перейти на вкладку Job, то мы увидим следующее:

Библиотека проверки подлинности Майкрософт (MSAL) поддерживает несколько потоков проверки подлинности для использования в различных сценариях приложений.

Как каждый поток выдает маркеры и коды

В зависимости от того, как выполнена сборка клиентского приложения, оно может использовать один или несколько потоков проверки подлинности, поддерживаемых платформой удостоверений Майкрософт. Эти потоки могут создавать несколько типов маркеров, а также коды авторизации, для работы которых требуются разные маркеры.

Интерактивные и неинтерактивные методы проверки подлинности

Некоторые из этих потоков поддерживают как интерактивное, так и неинтерактивное получение маркера.

• Интерактивная проверка подлинности означает, что пользователю может предлагаться что-либо ввести. Например, пользователю может предлагаться войти в систему, выполнить многофакторную проверку подлинности (MFA) или предоставить дополнительное согласие на доступ к ресурсам.
• Неинтерактивная или автоматическая проверка подлинности пытается получить маркер таким образом, чтобы сервер входа не запрашивал дополнительные сведения у пользователя.

Приложение на основе MSAL должно сначала попытаться получить маркер автоматически и только в случае неудачи неинтерактивного способа прибегает к интерактивному. Дополнительные сведения об этом шаблоне см. в разделе Получение и кэширование маркеров с помощью библиотеки проверки подлинности Майкрософт (MSAL).

Код авторизации

Предоставление кода авторизации OAuth 2 может использоваться в приложениях, установленных на устройстве, для получения доступа к защищенным ресурсам, таким как веб-API. Это позволяет вам добавить доступ к мобильным и классическим приложениям с помощью функции входа и API.

При входе пользователей в веб-приложения (веб-сайты) веб-приложение получает код авторизации. Код авторизации активируется для получения маркера для вызова веб-API.

На предыдущей схеме приложение:

1. запрашивает код авторизации, который активируется для маркера доступа;
2. использует маркер доступа для вызова веб-API.

Рекомендации

Код авторизации можно использовать только один раз для активации маркера. Не пытайтесь несколько раз получить маркер с одним и тем же кодом авторизации, так как это явно запрещается спецификацией стандарта протокола. Если вы активируете код несколько раз, преднамеренно или потому, что не знаете, что платформа тоже делает это, возникает следующая ошибка:

AADSTS70002: Error validating credentials. AADSTS54005: OAuth2 Authorization code was already redeemed, please retry with a new valid code or use an existing refresh token.

Учетные данные клиента

Поток учетных данных клиента OAuth 2 позволяет получать доступ к ресурсам, размещенным в Интернете, с помощью удостоверения приложения. Этот тип предоставления разрешения часто используется для взаимодействия между серверами, которое должно выполняться в фоновом режиме без непосредственного взаимодействия с пользователем. Такие типы приложений часто называют управляющими программами или учетными записями служб.

Процесс предоставления учетных данных клиента позволяет веб-службе (конфиденциальный клиент) вместо олицетворения пользователя использовать свои собственные учетные данные для проверки подлинности при вызове другой веб-службы. В этом сценарии клиент обычно является веб-службой среднего уровня, службой управляющей программы или веб-сайтом. Для большей надежности платформа удостоверений Майкрософт также позволяет вызывающей службе использовать в качестве учетных данных сертификат (вместо общего секрета).

Конфиденциальный поток клиента недоступен на мобильных платформах, таких как UWP, Xamarin.iOS и Xamarin.Android, поскольку они поддерживают только общедоступные клиентские приложения. Общедоступные клиентские приложения не знают, как подтвердить удостоверение приложения для поставщика удостоверений. Безопасное подключение может быть достигнуто в веб-приложении или серверной части веб-API путем развертывания сертификата.

Секреты приложений

На предыдущей схеме приложение:

1. получает маркер с помощью секрета приложения или учетных данных пароля;
2. использует маркер для выполнения запросов к ресурсу.

Сертификаты

На предыдущей схеме приложение:

1. получает маркер с помощью учетных данных сертификата;
2. использует маркер для выполнения запросов к ресурсу.

Эти учетные данные клиента должны быть:

Код устройства

С помощью потока кода устройства OAuth 2 пользователи могут входить на устройства с ограниченным входом, такие как Smart TV, устройства IoT и принтеры. Для интерактивной проверки подлинности в Azure AD требуется веб-браузер. Если устройство или операционная система не предоставляют веб-браузер, поток кода устройства предоставляет пользователю возможность использовать другое устройство, такое как компьютер или мобильный телефон, для входа в интерактивном режиме.

При использовании потока кода устройства приложение получает маркеры с помощью двухэтапного процесса, специально разработанного для этих устройств и операционных систем. В качестве примеров таких приложений можно указать приложения, работающие на устройствах IoT, и инструменты командной строки (CLI).

На предыдущей схеме показано следующее.

Ограничения

Неявное разрешение

Поток неявного предоставления OAuth 2 позволяет приложению получать маркеры от платформы удостоверений Microsoft, не выполняя обмен учетными данными на тыловом сервере. Этот поток позволяет приложению авторизовывать пользователей, поддерживать сеансы и получать маркеры для других веб-API — и все это из клиентского кода JavaScript.

Многие современные веб-приложения создаются как одностраничные клиентские приложения, созданные на JavaScript или с использованием платформы SPA, такой как Angular, Vue.js и React.js. Эти приложения работают в веб-браузере и имеют характеристики проверки подлинности, отличные от традиционных серверных веб-приложений. Платформа удостоверений Microsoft позволяет одностраничным приложениям поддерживать вход пользователей, а также получать маркеры для доступа к внутренним службам или веб-API, используя поток неявного предоставления разрешения. Неявный поток позволяет приложению получать маркеры идентификаторов для представления пользователя, прошедшего проверку подлинности, а также маркеры, необходимые для вызова защищенных API.

Этот поток проверки подлинности не включает сценарии приложений, в которых используются межплатформенные фреймворки JavaScript, такие как Electron и React-Native, так как им требуются дополнительные возможности для взаимодействия с собственными платформами.

Маркеры, выданные в режиме неявного потока, имеют ограничения по длине, так как они возвращаются в браузер посредством URL-адреса (где response_mode либо query , либо fragment ). Некоторые браузеры ограничивают длину URL-адреса в строке адреса, и в случае слишком большой длины происходит сбой браузера. Таким образом, эти маркеры неявного потока не содержат утверждений groups или wids .

On-behalf-of

Поток проверки подлинности от имени пользователя OAuth 2 используется, когда приложение вызывает службу или веб-API, который в свою очередь должен вызывать другую службу или веб-API. Идея состоит в том, чтобы передать по цепочке запросов делегированное удостоверение пользователя и соответствующие разрешения. Чтобы служба среднего уровня могла выполнять запросы к службе нижнего уровня с проверкой подлинности, служба среднего уровня должна защитить маркер доступа с платформы удостоверений Microsoft от имени пользователя.

На предыдущей схеме показано следующее.

Имя пользователя и пароль

Предоставление учетных данных пароля владельца ресурса OAuth 2 (ROPC) позволяет приложению обрабатывать вход пользователя, непосредственно используя его пароль. В классическом приложении можно использовать поток имени пользователя и пароля для автоматического получения маркера. При использовании приложения не нужен пользовательский интерфейс.

На предыдущей схеме приложение:

1. получает маркер, отправляя имя пользователя и пароль поставщику удостоверений;
2. вызывает веб-API с помощью маркера.

Этот поток не рекомендуется. Для этого требуется высокая степень доверия и предоставление учетных данных. Этот поток следует использовать только при невозможности использовать другие, более безопасные потоки. Дополнительные сведения см. в разделе Как решить насущную проблему паролей?.

Предпочтительным потоком для автоматического получения маркера на компьютерах, присоединенных к домену Windows, является Встроенная проверка подлинности Windows. В других случаях используйте поток кода устройства.

Хотя поток имени пользователя и пароля может быть удобен в некоторых сценариях, таких как DevOps, старайтесь избегать его, если хотите использовать имя пользователя и пароль в интерактивных сценариях, где предоставляете собственный пользовательский интерфейс.

По имени пользователя и паролю.

• Пользователи, которым требуется выполнить многофакторную проверку подлинности, не смогут войти в систему, так как взаимодействие отсутствует.
• Пользователи не смогут выполнять единый вход.

Ограничения

MSAL поддерживает Встроенную проверку подлинности Windows (IWA) для классических или мобильных приложений, которые работают на компьютере Windows, присоединенном к домену или Azure AD. С помощью IWA эти приложения могут получать маркер автоматически, без взаимодействия с пользователем.

На предыдущей схеме приложение:

1. получает маркер с использованием Встроенной проверки подлинности Windows;
2. использует маркер для выполнения запросов к ресурсу.

Ограничения

Встроенная проверка подлинности Windows (IWA) поддерживает только федеративных пользователей, то есть пользователей, созданных в Active Directory и поддерживаемых Azure AD. Пользователи, созданные непосредственно в Azure AD без поддержки Active Directory (управляемые пользователи), не могут использовать этот поток проверки подлинности. Это ограничение не влияет на поток имени пользователя и пароля.

IWA не обходит многофакторную проверку подлинности. Если настроена многофакторная проверка подлинности, IWA может завершиться ошибкой, когда требуется запрос многофакторной проверки подлинности. Многофакторная проверка подлинности требует взаимодействия с пользователем.

Вы не контролируете, когда поставщик удостоверений запрашивает двухфакторную проверку подлинности. Этим занимается администратор клиента. Обычно двухфакторная проверка подлинности требуется при входе из другой страны или региона, если вы не подключены через VPN к корпоративной сети, и иногда даже при подключении через VPN. Azure AD использует искусственный интеллект для непрерывного изучения необходимости двухфакторной проверки подлинности. В случае сбоя IWA следует вернуться к интерактивному запросу пользователя.

При создании общедоступного клиентского приложения необходим один из следующих центров.

Так как IWA является автоматическим потоком, необходимо выполнить одно из следующих условий.

• Пользователь приложения должен быть предварительно одобрен, чтобы использовать приложение.
• Администратор клиента должен предварительно одобрить всех пользователей в клиенте для использования приложения.

Это означает, что выполняется одно из следующих условий.

• Вы как разработчик выбрали предоставление разрешения на портале Azure для самого себя.
• Администратор клиента выбрал Предоставление/отзыв согласия администратора для на вкладке Разрешения API в разделе регистрации приложения на портале Azure (см. раздел Добавление разрешений для доступа к веб-API).
• Вы указали способ предоставления пользователями согласия на приложение; см. раздел Запрос согласия отдельного пользователя.
• Вы указали способ предоставления администратором клиента согласия для приложения; см. раздел Согласие администратора.

Дополнительные сведения о согласии см. в разделе разрешения и согласия в версии 2.0.

Дальнейшие действия

Теперь, когда вы проверили потоки проверки подлинности, поддерживаемые библиотекой проверки подлинности Майкрософт (MSAL), узнайте о получении и кэшировании маркеров, используемых в этих потоках:

Windows 10 является самой популярной операционной системой в среде киберпреступников. Это означает, что пользователям Windows нужно максимально усилить защиту своего ПК, чтобы оставаться в безопасности.

Безопасный вход является дополнительным компонентом на экране авторизации Windows 10. Он не сможет предотвратить доступ к компьютеру постороннему лицу, который знает ваши учетные данные. Безопасный вход предназначен для того, чтобы скрыть форму ввода логина, пока вы не введете определенное клавиатурное сочетание. Только после этого, вы сможете указать PIN или ввести пароль.

Данная защитная функция направлена для борьбы с вредоносными программами. Вредоносный код может работать в фоновом режиме и подделывать экран авторизации Windows 10 с целью перехвата ваших учетных данных. Поскольку приложения и программы, как правило, не имеют доступа к команде Ctrl + Alt + Del , вы можете обойти поддельный экран входа в систему с помощью функции безопасного входа, которая активируется данным клавиатурным сочетанием.

Как включить или отключить безопасный вход в систему

Используем команду Netplwiz

Запустите окно Выполнить, нажав Win + R и введите команду netplwiz в текстовое поле, затем нажмите ОК.

Получить доступ к панели Учетные записи пользователей, можно также введя запрос netplwiz в строке поиска в панели задач или меню Пуск и выбрав опцию Выполнить команду.

На экране откроется панель Учетные записи пользователей. Нужно перейти на вкладку Дополнительно (если не она открылась сразу). Отметьте галочку Требовать нажатия CTRL+ALT+DELETE в разделе Безопасный вход в систему для включения безопасного входа или снимите галочку, чтобы отключить его.

Используем локальные политики безопасности

Это еще один, более трудоемкий метод активации безопасного входа. Используйте данный метод, если вы не привыкли к самым простым решениям, но не хотите работать с системным реестром.

Запустите окно Выполнить, нажав Win + R и введите команду secpol.msc в текстовое поле, затем нажмите ОК.

Откроется окно Локальная политика безопасности. Нужно раскрыть категорию Локальные политики в списке и затем выбрать подпапку Параметры безопасности. Затем в правой области окна нужно найти запись Интерактивный вход в систему: не требовать нажатия CTRL+ALT+DELETE.

Используем системный реестр

Если вы хотите выбрать самый сложный путь, то можно добиться того же результата с помощью манипуляций с системным реестром. Главное помнить, что любые изменения системного реестра могут вызвать проблемы стабильности системы. Данный вариант подходит опытным пользователям ПК.

Запустите окно Выполнить, нажав Win + R и введите команду regedit в текстовое поле, затем нажмите ОК.

Получить доступ к редактору реестра, можно также введя запрос regedit в строке поиска в панели задач или меню Пуск и выбрав предложенное приложение.

В редакторе реестра нужно перейти по пути:

В папке CurrentVersion выберите подпапку Winlogon и найдите ключ DisableCad. Откройте его для редактирования значений.

Примечание: если ключ DisableCad не найден в Winlogon, кликните правой кнопкой мыши и выберите Создать > Параметр DWORD (32-бита). Назовите параметр DisableCad и задайте соответствующее значение.

В открывшемся окне Изменение параметра DWORD (32-бита) измените установленное значение на одно из следующих:

Картинка с сайта: windoro.ru

В этой статье мы будем разбираться, что компания Microsoft узнаёт от нас, когда мы работаем или не работаем за своим компьютером. И как личную жизнь оставить личной.

Если вы только планируете ставить операционную систему

Выбирайте ручные настройки, и самостоятельно убирайте все галочки, которые будут встречать нас по пути. Необходимо обязательно создать локальную учетную запись (без наличия интернета), пропустив шаг подключения к Вашему Wi-Fi, либо не вставлять интернет провод в компьютер.

Если Вы уже создали учетную запись Microsoft, то лучше удалить её и пересоздать без привязки к почтовому адресу. Так вы будете оставаться анонимным.

Конфиденциальность и обновления

После того, как мы увидели рабочий стол нашего компьютера, надо изменить политику конфиденциальности. Проходим дальше: Пуск – Параметры – Конфиденциальность. Здесь в разделе: «Общие» запрещаем все манипуляции.

Картинка с сайта: windoro.ru

Ниже слева заходим в «диагностики и отзывы» Выбираем Базовый. Отключить весь сбор информации, к сожалению, нельзя, так как большинство вещей являются обычной диагностикой самого устройства.

Картинка с сайта: windoro.ru

Пролистав ниже, убираем все галочки. Раз мы не можем отключить диагностику полностью, можем запретить отправлять эти данные самой Майкрософт. В самому низу есть пункт «Частота формирования отзывов», там в выпадающем окне выбираем «Никогда».

Картинка с сайта: windoro.ru

Дальше мы отключим обновления. Так как обновления выходят часто, то наши манипуляции будут терять актуальность, в связи с тем, что параметры будут принудительно включаться. Переходим к:

Пуск – Параметры – Обновление и безопасность Windows – Дополнительные параметры. Там убрать галочки с первых 4 пунктов, дальше можно оставить как есть.

Картинка с сайта: windoro.ru

Дальше переименуем ПК. Для этого рядом с кнопкой «Пуск» есть значок лупы (поиск).

Картинка с сайта: windoro.ru

Нажимаем и вписываем в поле запроса «О компьютере». Заходим в раздел «о компьютере», который находится в строке «Лучшее соответствие».

Картинка с сайта: windoro.ru

Пролистав, чуть ниже увидим кнопку «Переименовать этот ПК». Пишем на латыни удобное для нас имя. Это необходимо сделать, так как Windows автоматически раздает имена ПК, и, если ваш компьютер окажется в публичной сети, его будет сложнее идентифицировать.

Картинка с сайта: windoro.ru

Это оказалось просто? Тогда давайте повысим сложность.

Изменяем настройки рекламы

Правой кнопкой мыши по меню Пуск – Windows PowerShell Администратор.

Картинка с сайта: windoro.ru

начинаем вводить скрипт:

sc delete DiagTrack

sc delete dmwappushservice

Каждый скрипт подтверждаем нажатием «Enter», после чего наш PowerShell должен выглядеть как на приведённом скриншоте ниже.

Картинка с сайта: windoro.ru

После ввода скрипта. Появится окно нашего блокнота.

Картинка с сайта: windoro.ru

В конце текстовика вписываем следующее:

Будет все выглядеть, как на картинке ниже. Сохраняем этот файл. Этим мы отключаем работу с внешними ресурсами и отключением рекламы во многих встроенных или выпущенных программах самой Microsoft.

Картинка с сайта: windoro.ru

Встроенная защита и телеметрия

Теперь будем изменять локальные групповые политики, чтобы отключить OneDrive, встроенный антивирус и часть телеметрии.

Нажимаем сочетание клавиш: Win+R, открывается окно «Выполнить»:

Картинка с сайта: windoro.ru

в нем непосредственно уже пишем в строке «открыть» следующий запрос:

У нас откроется Конфигурация компьютера. В этом разделе выбираем Административные шаблоны, практически в самом низу выбираем «Компоненты Windows», далее папку «Сборки для сбора данных и предварительные сборки» и отключаем телеметрию.

Картинка с сайта: windoro.ru

В меню Компоненты сборки выбираем OneDrive и отключаем его.

Картинка с сайта: windoro.ru

Следом тут же отключаем Защитника Windows. Советую воспользоваться посторонним антивирусом, а не в первоначальный встроенный.

Дальше находим в компонентах Windows – Антивирус программа. Выключаем параметр, выделенный на приведённом скриншоте ниже.

Картинка с сайта: windoro.ru

Один из последних моментов – в реестре нужно отключить телеметрию полностью, чтобы ваш ПК меньше собирал технической информации. Нажимаем уже привычные нам Win+R. Пишем regedit. Откроется окно, где нам нужно будет перейти:

Картинка с сайта: windoro.ru

нажимая каждый раз на значок стрелочки, и под конец кликаем уже на саму папку «DataCollection»:

Картинка с сайта: windoro.ru

Где меняем значение 1 на 0. После нажимаем ОК.

Самое последнее, что мы сделаем, так это проверим нет ли нашего голоса, записанного нашим же ПК. Для этого проследуем по пути:

Там можно обнаружить записанный голос в формате WAV. Если есть – можете смело удалять. Как показала практика, слежкой занималась не сама Windows, а фильтры, установленные в микрофон. Самый действующий вариант – отключение микрофона через панель задач.

Вывод

Итак, мы научились контролировать свои действия, как в интернете, так и за его пределами. Необходимо понимание того, что компании действуют в целях больше рекламных, нежели наблюдательных.

Для лучшего эффекта, советуем также не использовать встроенные программы наподобие GrooveMusic, просмотр фотографий, а использовать посторонний софт.

Читайте также:

• Вам необходимо запустить процесс на 100 linux серверах одновременно ваши действия
• Сертификат pfx как установить linux
• Настройка apache ubuntu 16
• Аналог intel widi для windows 7
• Это программное обеспечение было проверено на совместимость с windows на другой версии windows

Потоки проверки подлинности

Библиотека проверки подлинности Майкрософт (MSAL) поддерживает несколько потоков проверки подлинности для использования в различных сценариях приложений.

Как каждый поток выдает маркеры и коды

В зависимости от того, как выполнена сборка клиентского приложения, оно может использовать один или несколько потоков проверки подлинности, поддерживаемых платформой удостоверений Майкрософт. Эти потоки могут создавать несколько типов маркеров, а также коды авторизации, для работы которых требуются разные маркеры.

Интерактивные и неинтерактивные методы проверки подлинности

Некоторые из этих потоков поддерживают как интерактивное, так и неинтерактивное получение маркера.

Приложение на основе MSAL должно сначала попытаться получить маркер автоматически и только в случае неудачи неинтерактивного способа прибегает к интерактивному. Дополнительные сведения об этом шаблоне см. в разделе Получение и кэширование маркеров с помощью библиотеки проверки подлинности Майкрософт (MSAL).

Код авторизации

Предоставление кода авторизации OAuth 2 может использоваться в приложениях, установленных на устройстве, для получения доступа к защищенным ресурсам, таким как веб-API. Это позволяет вам добавить доступ к мобильным и классическим приложениям с помощью функции входа и API.

При входе пользователей в веб-приложения (веб-сайты) веб-приложение получает код авторизации. Код авторизации активируется для получения маркера для вызова веб-API.

Картинка с сайта: windoro.ru

На предыдущей схеме приложение:

Рекомендации

Код авторизации можно использовать только один раз для активации маркера. Не пытайтесь несколько раз получить маркер с одним и тем же кодом авторизации, так как это явно запрещается спецификацией стандарта протокола. Если вы активируете код несколько раз, преднамеренно или потому, что не знаете, что платформа тоже делает это, возникает следующая ошибка:

AADSTS70002: Error validating credentials. AADSTS54005: OAuth2 Authorization code was already redeemed, please retry with a new valid code or use an existing refresh token.

Учетные данные клиента

Поток учетных данных клиента OAuth 2 позволяет получать доступ к ресурсам, размещенным в Интернете, с помощью удостоверения приложения. Этот тип предоставления разрешения часто используется для взаимодействия между серверами, которое должно выполняться в фоновом режиме без непосредственного взаимодействия с пользователем. Такие типы приложений часто называют управляющими программами или учетными записями служб.

Процесс предоставления учетных данных клиента позволяет веб-службе (конфиденциальный клиент) вместо олицетворения пользователя использовать свои собственные учетные данные для проверки подлинности при вызове другой веб-службы. В этом сценарии клиент обычно является веб-службой среднего уровня, службой управляющей программы или веб-сайтом. Для большей надежности платформа удостоверений Майкрософт также позволяет вызывающей службе использовать в качестве учетных данных сертификат (вместо общего секрета).

Конфиденциальный поток клиента недоступен на мобильных платформах, таких как UWP, Xamarin.iOS и Xamarin.Android, поскольку они поддерживают только общедоступные клиентские приложения. Общедоступные клиентские приложения не знают, как подтвердить удостоверение приложения для поставщика удостоверений. Безопасное подключение может быть достигнуто в веб-приложении или серверной части веб-API путем развертывания сертификата.

Секреты приложений

Картинка с сайта: windoro.ru

На предыдущей схеме приложение:

Сертификаты

Картинка с сайта: windoro.ru

На предыдущей схеме приложение:

Эти учетные данные клиента должны быть:

Код устройства

С помощью потока кода устройства OAuth 2 пользователи могут входить на устройства с ограниченным входом, такие как Smart TV, устройства IoT и принтеры. Для интерактивной проверки подлинности в Azure AD требуется веб-браузер. Если устройство или операционная система не предоставляют веб-браузер, поток кода устройства предоставляет пользователю возможность использовать другое устройство, такое как компьютер или мобильный телефон, для входа в интерактивном режиме.

При использовании потока кода устройства приложение получает маркеры с помощью двухэтапного процесса, специально разработанного для этих устройств и операционных систем. В качестве примеров таких приложений можно указать приложения, работающие на устройствах IoT, и инструменты командной строки (CLI).

Картинка с сайта: windoro.ru

На предыдущей схеме показано следующее.

Ограничения

Неявное разрешение

Поток неявного предоставления OAuth 2 позволяет приложению получать маркеры от платформы удостоверений Microsoft, не выполняя обмен учетными данными на тыловом сервере. Этот поток позволяет приложению авторизовывать пользователей, поддерживать сеансы и получать маркеры для других веб-API — и все это из клиентского кода JavaScript.

Многие современные веб-приложения создаются как одностраничные клиентские приложения, созданные на JavaScript или с использованием платформы SPA, такой как Angular, Vue.js и React.js. Эти приложения работают в веб-браузере и имеют характеристики проверки подлинности, отличные от традиционных серверных веб-приложений. Платформа удостоверений Microsoft позволяет одностраничным приложениям поддерживать вход пользователей, а также получать маркеры для доступа к внутренним службам или веб-API, используя поток неявного предоставления разрешения. Неявный поток позволяет приложению получать маркеры идентификаторов для представления пользователя, прошедшего проверку подлинности, а также маркеры, необходимые для вызова защищенных API.

Этот поток проверки подлинности не включает сценарии приложений, в которых используются межплатформенные фреймворки JavaScript, такие как Electron и React-Native, так как им требуются дополнительные возможности для взаимодействия с собственными платформами.

On-behalf-of

Поток проверки подлинности от имени пользователя OAuth 2 используется, когда приложение вызывает службу или веб-API, который в свою очередь должен вызывать другую службу или веб-API. Идея состоит в том, чтобы передать по цепочке запросов делегированное удостоверение пользователя и соответствующие разрешения. Чтобы служба среднего уровня могла выполнять запросы к службе нижнего уровня с проверкой подлинности, служба среднего уровня должна защитить маркер доступа с платформы удостоверений Microsoft от имени пользователя.

Картинка с сайта: windoro.ru

На предыдущей схеме показано следующее.

Имя пользователя и пароль

Предоставление учетных данных пароля владельца ресурса OAuth 2 (ROPC) позволяет приложению обрабатывать вход пользователя, непосредственно используя его пароль. В классическом приложении можно использовать поток имени пользователя и пароля для автоматического получения маркера. При использовании приложения не нужен пользовательский интерфейс.

Картинка с сайта: windoro.ru

На предыдущей схеме приложение:

Этот поток не рекомендуется. Для этого требуется высокая степень доверия и предоставление учетных данных. Этот поток следует использовать только при невозможности использовать другие, более безопасные потоки. Дополнительные сведения см. в разделе Как решить насущную проблему паролей?.

Предпочтительным потоком для автоматического получения маркера на компьютерах, присоединенных к домену Windows, является встроенная проверка подлинности Windows. В других случаях используйте поток кода устройства.

Хотя поток имени пользователя и пароля может быть удобен в некоторых сценариях, таких как DevOps, старайтесь избегать его, если хотите использовать имя пользователя и пароль в интерактивных сценариях, где предоставляете собственный пользовательский интерфейс.

По имени пользователя и паролю.

Ограничения

Встроенная проверка подлинности Windows

MSAL поддерживает встроенную проверку подлинности Windows (IWA) для классических или мобильных приложений, работающих на компьютере Windows, присоединенном к домену или Azure AD. С помощью IWA эти приложения могут получать маркер автоматически, без взаимодействия с пользователем.

Картинка с сайта: windoro.ru

На предыдущей схеме приложение:

Ограничения

Встроенная проверка подлинности Windows (IWA) поддерживает только федеративных пользователей, то есть пользователей, созданных в Active Directory и поддерживаемых Azure AD. Пользователи, созданные непосредственно в Azure AD без поддержки Active Directory (управляемые пользователи), не могут использовать этот поток проверки подлинности. Это ограничение не влияет на поток имени пользователя и пароля.

IWA не обходит многофакторную проверку подлинности. Если настроена многофакторная проверка подлинности, IWA может завершиться ошибкой, когда требуется запрос многофакторной проверки подлинности. Многофакторная проверка подлинности требует взаимодействия с пользователем.

Вы не контролируете, когда поставщик удостоверений запрашивает двухфакторную проверку подлинности. Этим занимается администратор клиента. Обычно двухфакторная проверка подлинности требуется при входе из другой страны или региона, если вы не подключены через VPN к корпоративной сети, и иногда даже при подключении через VPN. Azure AD использует искусственный интеллект для непрерывного изучения необходимости двухфакторной проверки подлинности. В случае сбоя IWA следует вернуться к интерактивному запросу пользователя.

При создании общедоступного клиентского приложения необходим один из следующих центров.

Так как IWA является автоматическим потоком, необходимо выполнить одно из следующих условий.

Это означает, что выполняется одно из следующих условий.

Дополнительные сведения о согласии см. в разделе разрешения и согласия в версии 2.0.

Дальнейшие действия

Теперь, когда вы проверили потоки проверки подлинности, поддерживаемые библиотекой проверки подлинности Майкрософт (MSAL), узнайте о получении и кэшировании маркеров, используемых в этих потоках:

Источник

Укрощаем Windows 10: как отключить шпионящие службы Microsoft и принудительное обновление

Картинка с сайта: windoro.ru

Реклама на экране блокировки, принудительные обновления и практически полное отсутствие конфиденциальности: последняя система от Microsoft нуждается в строгом контроле. Мы поможем в его установлении.

Агрессивная — именно этот эпитет приходит в голову многим пользователям Windows 10, если им необходимо описать систему одним словом. Такое поведение начинается еще до установки, с раздражающих требований обновиться.

Даже сам руководитель отдела маркетинга Microsoft Крис Капоссела признает, что концерн действовал слишком напористо в своем желании максимально быстро распространить систему среди пользователей. Миллиарды ПК максимум за три года — таким был план. И, разумеется, все лишь во благо потребителей: «Мы хотим, чтобы как можно больше пользователей перешли на Windows 10 из соображений безопасности».

В категорию «Безопасность», однако, не попала конфиденциальность. Капоссела утаил, что Windows 10 проникает в частную сферу глубже, чем любая другая Windows прежде. Многих пользователей просто ставят перед непреложными фактами: данные собираются по умолчанию, обновления устанавливаются автоматически и без спроса, на экране блокировки отображается реклама. Microsoft ставит на то, что большинство людей свыкнутся с Windows 10 из-за отсутствия альтернатив.

Смириться? Хорошо, но, пожалуйста, на пользовательских условиях: мы покажем, как приручить наглую операционную систему, чтобы сохранить свою прайваси даже под Windows 10.

Освобождение от шпионажа служб Microsoft

Внедрение ощутимо ужесточенного наблюдения за своими клиентами Microsoft оправдывает необходимостью, в первую очередь, отслеживать частоту возникновения определенных ошибок. По информации из Online-FAQ, речь не идет о том, чтобы «идентифировать отдельных пользователей, контактировать с ними или отображать целевую рекламу».

Предустановленные настройки по умолчанию, однако, позволяют сотрудникам Microsoft напрямую подключаться к домашнему ПК, чтобы с помощью различных инструментов диагностики определить причины зарегистрированной ошибки. Полученная таким образом информация, однако, не разглашается.

Если вы владелец предварительно сконфигурированного ПК или же не проявили достаточно бдительности при установке Windows 10, стоит заглянуть в параметры конфиденциальности. Такие бесплатные утилиты, как O&O ShutUp10 (oo-software.com/en/shutup10), наглядно отображают большинство настроек приватности для Windows 10.

Картинка с сайта: windoro.ru

Большинство настроек стоит изменить вручную. ShutUp10 отчитается, получилось ли это у вас

Мы рекомендуем вначале изменить основные параметры вручную и лишь затем позволить действовать ShutUp10. Так вы лучше познакомитесь с Windows 10 и будете точно знать, где найти конкретный переключатель.

Отключаем онлайн-аккаунт

Первым шагом к ограничению утечки данных станет переход на локальную учетную запись. Многие пользователи при установке системы бездумно пропускают этот этап, оставляя по умолчанию онлайновый аккаунт. После этого Windows 10 может синхронизировать параметры и пароли на различных устройствах. Обмен возникающей при этом информацией происходит через сервер Microsoft.

Кроме того, онлайн-аккаунт необходим для покупки приложений в магазине Microsoft. Таким образом, речь уже не идет о возможности приобрести ПО, как прежде, напрямую у разработчика или же в альтернативных онлайн-магазинах. Хорошо, что впоследствии вы можете перейти на локальную учетную запись.

Для этого нажмите на значок Windows в нижнем левом углу и откройте «Параметры», а затем «Учетные записи». Щелкните по записи «Войти вместо этого с локальной учетной записью».

Картинка с сайта: windoro.ru

Вернитесь на локальный аккаунт, чтобы Windows 10 больше не могла синхронизировать конфиденциальную информацию через серверы Microsoft

Воспользуйтесь возможностью и измените также конфигурацию синхронизации. Для этого перейдите к строчке «Синхронизация ваших параметров» и переведите первый переключатель в положение «Откл.».

Добраться до пункта контроля за настройками приватности в Windows 10 можно через «Пуск | Параметры | Конфиденциальность». В разделе «Общие» вы найдете опции для блокировки использования идентификатора получения рекламы и передачи информации о вашем поведении в Microsoft. На некоторых системах эта функция уже отключена. В этом разделе стоит оставить включенным лишь фильтр SmartScreen, отвечающий за защиту от зараженных сайтов.

Запрещаем системе «стучать»

В завершение пройдитесь по всем строчкам списка после раздела «Общие» и настройте параметры под себя. Так, в категории «Отзывы и диагностика» установите вариант «Никогда» для функции отправки отзывов, а ниже выберите «Базовые сведения».

Картинка с сайта: windoro.ru

Проверьте все настройки в «Параметрах конфиденциальности» Windows 10

Благодаря этому при возникновении ошибок Windows будет передавать в Microsoft сравнительно немного сведений, например, идентификатор устройства, версию Windows и данные об используемом оборудовании.

В разделе «Местоположение» вы решаете, стоит ли давать Windows 10 разрешение на определение вашего местоположения и на передачу этих сведений другим приложениям. Отключите эту опцию, а также удалите «Историю местоположений» ниже.

Кортана тише– конфиденциальность выше. Запретите голосовой помощнице Кортане отправлять ваши поисковые запросы в Microsoft для анализа

Голосовая ассистентка Кортана доступна лишь для английского и ряда других иностранных языков. Если вы используете в системе английский язык интерфейса, то эта опция, на первый взгляд, может показаться полезной.

Однако ее работа неразрывно связана с передачей пользовательских данных на серверы Microsoft, где производится их анализ. Если вы не собираетесь этого позволять, щелкните по «Start | Cortana». Теперь нажмите на шестеренку и отключите все функции, чтобы заставить помощницу замолчать.

Персонализированную рекламу от корпорации вы отключите из браузера. Для этого откройте страницу http://choice.microsoft.com/ru-RU/opt-out и в блоке «Персонализированная реклама в этом браузере» нажмите на кнопку «Включить». Она поменяет название на «Выключить».

По умолчанию Windows 10 также автоматически подключается к «предлагаемым открытым хот-спотам».

Если вы предпочитаете держать эту сферу под своим контролем, отключите данную опцию. Ее вы найдете через «Пуск | Параметры | Сеть и Интернет | Wi-Fi». Деактивируйте функцию в разделе «Контроль Wi-Fi». На некоторых системах здесь также находится возможность автоматического обмена доступа к сетям с контактами. Ее также желательно выключить из соображений безопасности.

Предотвращаем автоматическую перезагрузку

Windows 10 Домашняя после установки обновлений перезапускается самостоятельно без учета ваших пожеланий. Тем самым Microsoft планирует добиться максимально быстрой раздачи своих пакетов. Если вам не повезло, вы можете из-за этого потерять, к примеру, несохраненные изменения в документе Word.

> Microsoft, впрочем, добавила кнопку, с помощью которой вы можете задать «Период активности», во время которого система не будет перезагружаться автоматически. Интервал, однако, не превышает 12 часов, после чего ваш компьютер безжалостно перезагрузится. Для компьютеров, работающих дольше, этого времени недостаточно.

> RebootBlocker от программиста Ульриха Декера устанавливает службу Windows, которая автоматически сдвигает рамки этого временного окна. Благодаря этому решению нежелательная перезагрузка Windows 10 уходит в прошлое. Вы найдете RebootBlocker бесплатно на сайте udse.de/en/windows-10-reboot-blocker.

Картинка с сайта: windoro.ru

Служба Windows RebootBlocker Service препятствует перезагрузке Windows 10 без вашего разрешения

Приручаем операционную систему

Новый центр уведомлений в Windows 10 собирает сообщения, рекомендации и другие уведомления от приложений с вашего компьютера и постоянно их отображает. Если вам это надоело, вы можете перекрыть этот информационный поток. Щелкните по значку Windows в левом нижнем углу и выберите «Параметры».

Откройте «Систему», а затем «Уведомления и действия». Отсюда вы можете отключить уведомления: либо сразу все через «Получать уведомления от приложений и других отправителей» или же индивидуально для отдельных приложений и отправителей (для этого нужно спустится ниже).

Для обновлений Microsoft в Windows 10 выбрала другую тактику: так, основные настройки вы не найдете в одном месте — некоторые из них очень хорошо запрятаны. Воля корпорации такова, чтобы Windows 10 непрерывно обновлялась самостоятельно. Поэтому у пользователей версии Домашняя отсутствует прямая возможность отказаться от установки новых патчей или же отложить ее.

Картинка с сайта: windoro.ru

Откажитесь от раздачи обновлений другим пользователям

Автоматическое и постоянно нервирующее вас обновление приложений можно отменить через Магазин Windows. Здесь щелкните по своей картинке профиля в верхнем правом углу. Выберите «Настройки» и переключите опцию «Обновлять приложения автоматически» на «Откл.».

Дрессируем системные обновления

Чуть больше времени вам понадобится, чтобы ограничить автоматические обновления операционной системы. В принципе остались три возможности: отложить, ограничить или полностью отключить обновления.

Самым эффективным и при этом самым радикальным решением является деактивация службы, отвечающей за актуализацию Windows. Для этого нажмите на «Win + R» и введите «services.msc». Теперь отсортируйте список по параметру «Имя» и правой кнопкой мыши щелкните по строчке «Центр обновления Windows». В меню выберите «Свойства» и переключите «Тип запуска» на вариант «Отключена». Нажмите на «ОК», чтобы сохранить изменения.

Картинка с сайта: windoro.ru

Полный контроль за обновлениями. Отключите службу Центр обновления, чтобы отложить установку апдейтов.

Теперь Windows 10 перестанет устанавливать какие-либо обновления, в том числе и патчи безопасности. Поэтому периодически следует вспоминать про этот параметр и на время активировать данную службу. Две другие возможности, как отложить или ограничить обновления от Microsoft, мы описываем на странице goo.gl/K4mNzT.

Распределение обновлений забивает полосу пропускания и требует денежных расходов. Часть этой нагрузки Microsoft перевалила на пользователей Windows 10, которые в свою очередь, зачастую сами того не зная, становятся поставщиками обновлений для других пользователей. Это может привести к тому, что их собственное подключение к Сети существенно замедлится на время отдачи обновления.

Перейдите к «Пуск | Параметры | Обновление и безопасность». Здесь нажмите на «Дополнительные параметры», а затем на «Выберите, как и когда получать обновления», чтобы это остановить.

Настраиваем под себя интерфейс и Проводник

Прогноз погоды в виде «живой» плитки, конечно, полюбился многим, однако постоянная смена содержимого других плиток быстро начинает действовать на нервы. Прекратите эту неразбериху правым кликом по любому такому элементу и выбором пункта «Отключить живые плитки».

Картинка с сайта: windoro.ru

Бесплатное ПО Classic Shell предлагает на выбор несколько вариантов меню Пуск, напоминающие, среди прочего, Windows 7

Чтобы полностью удалить ненужные плитки, щелкните по ним правой кнопкой мыши и нажмите на «Удалить». Многим фанатам Windows сложно смириться с новым меню Пуск, и они предпочли бы просто избавится от него. Никаких проблем. Бесплатное приложение устанавливает меню, позволяющее настроить себя индивидуально и напоминающее о старых добрых временах.

Утилиту вы найдете по адресу classicshell.net. Если после установки щелкнуть по кнопке Пуск, появится запрос на выбор шаблона (см. выше).

Новые функции для Проводника

Помимо всего прочего, Classic Shell добавляет в Проводник Windows некоторые полезные значки, благодаря которым вы быстрее откроете опции папок или сможете оправить файлы по электронной почте. К слову о Проводнике Windows: прежде этот файловый менеджер предоставлял обзор подключенных к ПК дисков уже при запуске программы.

Картинка с сайта: windoro.ru

Манипуляции с Проводником. Одно изменение в Проводнике, и вы увидите объем свободного пространства

Под Windows 10 он, напротив, отображает только последние открытые файлы. Откройте «Вид | Параметры», чтобы изменить настройки. На вкладке «Общие» измените вариант для записи «Открыть проводник для» на «Этот компьютер».

Другая характерная особенность Windows 10 вывела многих пользователей на баррикады: эта операционная система периодически демонстрирует на экране блокировки рекламу. Ее вы также можете отключить. Для этого зайдите в «Пуск | Параметры» и нажмите на «Персонализацию».

Теперь перейдите к разделу «Экран блокировки» и для «Фона» установите вариант «Фото». Теперь немного спуститесь вниз и переведите переключатель «Интересные факты, подсказки и другая информация от Windows и Кортаны на экране блокировки» в положение «Откл.».

Переустановка без потери данных

Бывают ситуации, когда вернуть себе контроль Windows невозможно без ее полной переустановки. К счастью, осуществить это в «десятке» гораздо проще, чем в ее предшественницах.

Картинка с сайта: windoro.ru

Refresh Tool от Microsoft начисто переустанавливает Windows 10. Все личные файлы при этом сохраняются

> Свежее начало может потребоваться, если Windows 10 перестала работать так, как вам нужно, или же на новом компьютере обнаружено слишком много предустановленного ПО, которое вам мешает. Microsoft для этих целей разработала бесплатную утилиту Windows 10 Refresh Tool. Она не просто полностью переустанавливает операционную систему, но и сохраняет при этом нетронутыми персональные данные.

Источник

In a previous post I talked about the three ways to setup Windows 10 devices for work with Azure AD. I later covered in detail how Azure AD Join and auto-registration to Azure AD of Windows 10 domain joined devices work, and in an extra post I explained how Windows Hello for Business (a.k.a. Microsoft Passport for Work) works. In this post I will cover how Single Sign-On (SSO) works once devices are registered with Azure AD for domain joined, Azure AD joined or personal registered devices via Add Work or School Account.

SSO in Windows 10 works for the following types of applications:

1. Azure AD connected applications, including Office 365, SaaS apps, applications published through the Azure AD application proxy and LOB custom applications integrating with Azure AD.
2. Windows Integrated authentication apps and services.
3. AD FS applications when using AD FS in Windows Server 2016.

The Primary Refresh Token

SSO relies on special tokens obtained for each of the types of applications above. These are in turn used to obtain access tokens to specific applications. In the traditional Windows Integrated authentication case using Kerberos, this token is a Kerberos TGT (ticket-granting ticket). For Azure AD and AD FS applications we call this a Primary Refresh Token (PRT). This is a JSON Web Token containing claims about both the user and the device.

The PRT is initially obtained during Windows Logon (user sign-in/unlock) in a similar way the Kerberos TGT is obtained. This is true for both Azure AD joined and domain joined devices. In personal devices registered with Azure AD, the PRT is initially obtained upon Add Work or School Account (in a personal device the account to unlock the device is not the work account but a consumer account e.g. hotmail.com, live.com, outlook.com, etc.).

The PRT is needed for SSO. Without it, the user will be prompted for credentials when accessing applications every time. Please also note that the PRT contains information about the device. This means that if you have any device-based conditional access policy set on an application, without the PRT, access will be denied.

PRT validity

The PRT has a validity of 90 days with a 14 day sliding window. If the PRT is constantly used for obtaining tokens to access applications it will be valid for the full 90 days. After 90 days it expires and a new PRT needs to be obtained. If the PRT has not been used in a period of 14 days, the PRT expires and a new one needs to be obtained. Conditions that force expiration of the PRT outside of these conditions include events like user’s password change/reset.

For domain joined and Azure AD joined devices, renewal of the PRT is attempted every 4 hours. This means that the first sign-in/unlock, 4 hours after the PRT was obtained, a new PRT is attempted to be obtained.

Now, there is a caveat for domain joined devices. Attempting to get a new PRT only happens if the device has a line of sight to a DC (for a Kerberos full network logon which triggers also the Azure AD logon). This is a behavior we want to change and hope to make for the next update of Windows. This would mean that even if the user goes off the corporate network, the PRT can be updated. The implication of this behavior today, is that a domain joined device needs to come into the corporate network (either physically or via VPN) at least once every 14 days.

Domain joined/Azure AD joined devices and SSO

The following step-by-step shows how the PRT is obtained and how it is used for SSO. The diagram shows the flow in parallel to the long standing Windows Integrated authentication flow for reference and comparison.

Картинка с сайта: jairocadena.com

(1) User enter credentials in the Window Logon UI

In the Windows Logon UI the user enters credentials to sign-in/unlock the device. The credentials are obtained by a Credential Provider. If using username and password the Credential Provider for username and password is used, if using Windows Hello for Business (PIN or bio-gesture), the Credential Provider for PIN, fingerprint or face recognition is used.

Картинка с сайта: jairocadena.com

(2) Credentials are passed to the Cloud AP Azure AD plug-in for authentication

The Credential Provider gets the credentials to WinLogon which will call LsaLogonUser() API with the user credentials (to learn about the authentication architecture in Windows see Credentials Processes in Windows Authentication). The credentials get to a new component in Windows 10 called the Cloud Authentication Provider (Cloud AP). This is a plug-in based component running inside the LSASS (Local Security Authority Subsystem) process with one plug-in being the Azure AD Cloud AP plug-in. For simplicity in the diagram these two are shown as one Cloud AP box.

The plug-in will authenticate the user against Azure AD and AD FS (if Windows Server 2016) to obtain the PRT. The plug-in will know about the Azure AD tenant and the presence of the AD FS by the information cached during device registration time. I explain this at the end of step #2 in the post Azure AD Join: what happens behind the scenes? when the information from the ID Token is obtained and cached just before performing registration (the explanation applies to both to domain joined devices registered with Azure AD and Azure AD joined devices).

(3) Authentication of user and device to get PRT from Azure AD (and AD FS if federated and version of Windows Server 2016)

Depending on what credentials are used the plug-in will obtain the PRT via distinct calls to Azure AD and AD FS.

PRT based in username and password

To obtain the Azure AD PRT using username and password, the plug-in will send the credentials directly to Azure AD (in a non-federated configuration) or to AD FS (if federated). In the federated case, the plug-in will send the credentials to the following WS-trust end-point in AD FS to obtain a SAML token that is then sent to Azure AD.

adfs/services/trust/13/usernamemixed

Note: This post has been updated to reflect that the end-point used is the usernamemixed and not the windowstransport as it was previously stated.

Azure AD will authenticate the user with the credentials obtained (non-federated) or with verifying the SAML token obtained from AD FS (federated). After authentication Azure AD will build a PRT with both user and device claims and will return it to Windows.

PRT based in the Windows Hello for Business credential

To obtain the Azure AD PRT using the Windows Hello for Business credential, the plug-in will send a message to Azure AD to which it will respond with a nonce. The plug-in will respond with the nonce signed with the Windows Hello for Business credential key.

Azure AD will authenticate the user by checking the signature based on the public key that it registered at credential provisioning as explained in the post Azure AD and Microsoft Passport for Work in Windows 10 (please note that Windows Hello for Business is the new name for Microsoft Passport for Work). The PRT will contain information about the user and the device as well, however a difference with the PRT obtained using username and password is that this one will contain a “strong authentication” claim.

"acr":"2"

Regardless of how the PRT was obtained, a session key is included in the response which is encrypted to the Kstk (one of the keys provisioned during device registration as explained in step #4 in the post Azure AD Join: what happens behind the scenes?).

The session key is decrypted by the plug-in and imported to the TPM using the Kstk. Upon re-authentication the PRT is sent over to Azure AD signed using a derived version of the previously imported session key stored in the TPM which Azure AD can verify. This way we are bounding the PRT to the physical device reducing the risk of PRT theft.

(4) Cache of the PRT for the Web Account Manager to access it during app authentication

Once the PRT is obtained it is cached in the Local Security Authority (LSA). It is accessible by the Web Account Manager which is also a plug-in based component that provides an API for applications to get tokens from a given Identity Provider (IdP). It can access the PRT through the Cloud AP (who has access to the PRT) which checks for a particular application identifier for the Web Account Manager. There is a plug-in for the Web Account Manager that implements the logic to obtain tokens from Azure AD and AD FS (if AD FS in Windows Server 2016).

You can see whether a PRT was obtained after sign-in/unlock by checking the output of the following command.

dsregcmd.exe /status

Under the ‘User State’ section check the value for AzureAdPrt which must be YES.

Картинка с сайта: jairocadena.com

A value of NO will indicate that no PRT was obtained. The user won’t have SSO and will be blocked from accessing service applications that are protected using device-based conditional access policy.

A note on troubleshooting

To troubleshoot why the PRT is not obtained can be a topic for a full post, however one test you can do is to check whether that same user can authenticate to Office 365, say via browser to SharePoint Online, from a domain joined computer without being prompted for credentials. If the UPN suffix of users in Active Directory on-premises don’t route to the verified domain (alternate login ID) please make sure you have the appropriate issuance transform rule(s) in AD FS for the ImmutableID claim.

One other reason that I have seen PRT not being obtained, is when the device has a bad transport key (Kstk). I have seen this in devices that have been registered in a very early version of Windows (which upgraded to 1607 eventually). As the PRT is protected using a key in the TPM this could be a reason why the PRT is not obtained at all. One remediation for this case is to reset the TPM and let the device register again.

(5, 6 and 7) Application requests access token to Web Account Manager for a given application service

When a client application connects to a service application that relies in Azure AD for authentication (for example the Outlook app connecting to Office 365 Exchange Online) the application will request a token to the Web Account Manager using its API.

The Web Account Manager calls the Azure AD plug-in which in turn uses the PRT to obtain an access token for the service application in question (5).

There are two interfaces in particular that are important to note. One that permits an application get a token silently, which will use the PRT to obtain an access token silently if it can. If it can’t, it will return a code to the caller application telling it that UI interaction is required. This could happen for multiple reasons including the PRT has expired or when MFA authentication for the user is required, etc. Once the caller application receives this code, it will be able to call a separate API that will display a web control for the user to interact.

WinRT API

WebAuthenticationCoreManager.GetTokenSilentlyAsync(...) // Silent API
WebAuthenticationCoreManager.RequestTokenAsync(...) // User interaction API

Win32 API

IWebAuthenticationCoreManagerStatics::GetTokenSilentlyAsync(...) // Silent API
IWebAuthenticationCoreManagerInterop::RequestTokenForWindowAsync(...) // UI API

After returning the access token to the application (6), the client application will use the access token to get access to the service application (7).

Browser SSO

When the user accesses a service application via Microsoft Edge or Internet Explorer the application will redirect the browser to the Azure AD authentication URL. At this point, the request is intercepted via URLMON and the PRT gets included in the request. After authentications succeeds, Azure AD sends back a cookie that will contain SSO information for future requests. Please note that support for Google Chrome is available since the Creators update of Windows 10 (version 1703) via the Windows 10 Accounts Google Chrome extension.

Note: This post has been updated to state the support for Google Chrome in Windows 10.

Final thoughts

Remember that registering your domain joined computers with Azure AD (i.e. becoming Hybrid Azure AD joined) will give you instant benefits and it is likely you have everything you need to do it. Also, if you are thinking in deploying Azure AD joined devices you will start enjoying some additional benefits that come with it.

Please let me know you thoughts and stay tuned for other posts related to device-based conditional access and other related topics.

See you soon,

Jairo Cadena (Twitter: @JairoC_AzureAD)

Network Level Authentication (NLA) is a security feature from Microsoft that makes the Remote Desktop Protocol (RDP) safer. NLA checks who you are before connecting to the RDP server. Sometimes, you might need to turn it off if it’s not working correctly with older computers or certain network setups.

In this guide, we’ll show you how to turn off Network Level Authentication in Windows 11 and 10. Before you start, know that turning off NLA can make your computer less safe from unwanted remote access. So, be careful and make sure you have other security steps in place.

Картинка с сайта: www.windowsdigitals.com

What you’ll need

Below is what you need to know before you start:

1. Make sure you have admin rights on the computer. You need these to change settings for Network Level Authentication.
2. Your computer should have at least “Remote Desktop Connection 6.0”.
3. It should also run on Windows 10 or Windows 11 which support the Credential Security Support Provider (CredSSP) protocol.
4. Turning off NLA can make your computer open to unauthorized access.
5. Have another way to get into your system, like a local account, other remote software, or just being able to physically access the computer.

Also see: How to Remote Desktop Over The Internet in Windows 11

What’s so good about Network Level Authentication?

Before you turn off NLA, you should at least know what it does and why it’s sometimes important.

• NLA uses fewer resources when you first connect, instead of starting a full remote desktop connection right away.
• It also helps keep your system safe from attacks by making it hard for unauthorized users to mess with your system.

Linked issue: Windows 11 Remote Desktop “An authentication error has occurred”

How to disable Network Level Authentication

The following are the steps to turn off NLA on your Windows PC.

Step 1: Open System Properties

1. Press “Windows + R” on your keyboard to open the “Run” dialog box.
2. Type “sysdm.cpl” and press Enter to open the “System Properties” window.
   

   Картинка с сайта: www.windowsdigitals.com

3. Go to the “Remote” tab at the top of the window.

Step 2: Disable NLA via Remote Desktop settings

1. In the “Remote” tab, find the section “Remote Desktop”. Check the box that says “Allow remote connections to this computer”.
2. Beneath that, there’s a checkbox labeled “Allow connections only from computers running Remote Desktop with Network Level Authentication”. Uncheck this to turn off NLA.
   

   Картинка с сайта: www.windowsdigitals.com

Useful tip: How to Open an RDP Connection via CMD in Windows 11

Step 3: Apply changes

1. Click the “Apply” button at the bottom of the “System Properties” window.
   

   Картинка с сайта: www.windowsdigitals.com

2. Then click “OK” to confirm the changes and close the window.

Step 4: Restart Remote Desktop Service (optional)

1. Press “Windows + R” again, type “services.msc” into the “Run” dialog, and press Enter.
   

   Картинка с сайта: www.windowsdigitals.com

2. Find “Remote Desktop Services” in the list, right-click on it, and choose “Restart”. Give it a moment to restart.
   

   Картинка с сайта: www.windowsdigitals.com

Now, Network Level Authentication should be off on your Windows 11 or 10 system. Make sure you have other security steps in place when you turn off features like this, especially if your computer can be accessed from far away.

Related resource: How to Open an RDP Connection via CMD in Windows 11

Things to consider after disabling NLA in Windows

After you turn off Network Level Authentication, below are some things to keep an eye on.

Make sure you have good security measures

• Use strong passwords for all accounts, especially those that can be accessed remotely.
• Check your firewall settings to block unwanted connections.
• Keep your software, including Windows, updated to protect against security holes.
  

  Картинка с сайта: www.windowsdigitals.com

Keep an eye on remote access

• Check your Remote Desktop connection logs now and then for any strange activity.
• If you can, limit how many people can access your system from afar.

Картинка с сайта: www.windowsdigitals.com

Maybe think about turning NLA back on later

Even if you need to turn off NLA now, think about turning it back on later. Things change, and what’s a problem today might not be one later.

Чем асинхронная логика (схемотехника) лучше тактируемой, как я думаю, что помимо энергоэффективности — ещё и безопасность.

Hrethgir 14.05.2025

Помимо огромного плюса в энергоэффективности, асинхронная логика — тотальный контроль над каждым совершённым тактом, а значит — безусловная безопасность, где безконтрольно не совершится ни одного. . .

Многопоточные приложения на C++

bytestream 14.05.2025

C++ всегда был языком, тесно работающим с железом, и потому особеннно эффективным для многопоточного программирования. Стандарт C++11 произвёл революцию, добавив в язык нативную поддержку потоков,. . .

Stack, Queue и Hashtable в C#

UnmanagedCoder 14.05.2025

Каждый опытный разработчик наверняка сталкивался с ситуацией, когда невинный на первый взгляд List<T> превращался в узкое горлышко всего приложения. Причина проста: универсальность – это прекрасно,. . .

Как использовать OAuth2 со Spring Security в Java

Javaican 14.05.2025

Протокол OAuth2 часто путают с механизмами аутентификации, хотя по сути это протокол авторизации. Представьте, что вместо передачи ключей от всего дома вашему другу, который пришёл полить цветы, вы. . .

Анализ текста на Python с NLTK и Spacy

AI_Generated 14.05.2025

NLTK, старожил в мире обработки естественного языка на Python, содержит богатейшую коллекцию алгоритмов и готовых моделей. Эта библиотека отлично подходит для образовательных целей и. . .

Реализация DI в PHP

Jason-Webb 13.05.2025

Когда я начинал писать свой первый крупный PHP-проект, моя архитектура напоминала запутаный клубок спагетти. Классы создавали другие классы внутри себя, зависимости жостко прописывались в коде, а о. . .

Обработка изображений в реальном времени на C# с OpenCV

stackOverflow 13.05.2025

Объединение библиотеки компьютерного зрения OpenCV с современным языком программирования C# создаёт симбиоз, который открывает доступ к впечатляющему набору возможностей. Ключевое преимущество этого. . .

POCO, ACE, Loki и другие продвинутые C++ библиотеки

NullReferenced 13.05.2025

В C++ разработки существует такое обилие библиотек, что порой кажется, будто ты заблудился в дремучем лесу. И среди этого многообразия POCO (Portable Components) – как маяк для тех, кто ищет. . .

Паттерны проектирования GoF на C#

UnmanagedCoder 13.05.2025

Вы наверняка сталкивались с ситуациями, когда код разрастается до неприличных размеров, а его поддержка становится настоящим испытанием. Именно в такие моменты на помощь приходят паттерны Gang of. . .

Создаем CLI приложение на Python с Prompt Toolkit

py-thonny 13.05.2025

Современные командные интерфейсы давно перестали быть черно-белыми текстовыми программами, которые многие помнят по старым операционным системам. CLI сегодня – это мощные, интуитивные и даже. . .