Ta kombinacja jest nazywana kluczem bezpiecznej uwagi. Jądro systemu Windows jest „połączone” , aby powiadomić Winlogon i nikogo więcej o tej kombinacji. W ten sposób, naciskając Ctrl + Alt + Del , możesz być pewien, że ^† wpisanie hasła w prawdziwym formularzu logowania, a nie inny fałszywy proces próbujący ukraść hasło. Na przykład aplikacja, która wygląda dokładnie tak, jak logowanie do systemu Windows.

W Linuksie istnieje luźno zdefiniowany odpowiednik, którym jest Ctrl + Alt + Pauza . Jednak nie robi dokładnie tego samego. Zabija wszystko, z wyjątkiem miejsca, w którym próbujesz wprowadzić hasło. Jak dotąd nie ma odpowiednika, który działałby przy uruchomieniu X.

^† Oznacza to zaufanie do integralności samego systemu , nadal można załatać jądro i zastąpić to zachowanie do innych celów (złośliwych lub całkowicie legalnych)

Ctrl-Alt-Del to klucz bezpiecznej uwagi w systemie Windows. System operacyjny wymusza silną politykę braku przechwytywania dla tej kombinacji klawiszy.

Możesz utworzyć aplikację, która przechodzi na pełny ekran, chwyta klawiaturę i wyświetla coś, co wygląda jak normalny ekran logowania, aż do ostatni piksel. Następnie logujesz się na komputerze, uruchamiasz aplikację i odchodzisz, dopóki niczego nie podejrzewająca ofiara nie znajdzie maszyny, spróbuje się zalogować i poda swoją nazwę użytkownika i hasło do aplikacji. Twoja aplikacja musi wtedy po prostu zasymulować niebieski ekran śmierci, a może faktycznie zalogować użytkownika, aby zakończyć iluzję.

Ten atak został pokonany przez SAK. Twoja aplikacja może przechwycić klawiaturę i przekierować wszystkie naciśnięcia klawiszy do siebie, bez konieczności posiadania uprawnień administracyjnych, z wyjątkiem Ctrl-Alt-Del, na które system operacyjny nigdy nie pozwala na przekierowanie. Naciśnięcie Ctrl-Alt-Del zapewnia, że ​​otrzymasz oryginalny ekran logowania, a nie imitację.

Odpowiedź na to pytanie można znaleźć w naszej siostrzanej witrynie, ServerFault. W jaki sposób CTRL-ALT-DEL w celu zalogowania się zwiększa bezpieczeństwo systemu Windows?

Cytując zaakceptowaną odpowiedź Oskara Duveborna,

Windows Jądro (NT) zostało zaprojektowane w celu zarezerwowania powiadomienia o tej kombinacji klawiszy dla pojedynczego procesu: Winlogon. Tak więc, o ile sama instalacja systemu Windows działa tak, jak powinna - żadna aplikacja innej firmy nie może odpowiedzieć na tę kombinację klawiszy (gdyby mogła, mogłaby przedstawić fałszywe okno logowania i keylog) Twoje hasło;)

_{Pojawiły się dodatkowe pytania dotyczące obsługi systemu Windows 8 SAS, a później zostało również usunięte przez właściciela oddzielne pytanie. Ponieważ zacząłem już pisać swoją odpowiedź na to pytanie, aw wątku wspomniano również o Windows 8, zamieszczam to tutaj. Jeśli to usunięte pytanie pojawi się ponownie, przeniosę tam swoją odpowiedź. Miejmy nadzieję, że pomoże to tym, którzy zastanawiali się, dokąd poszedł SAS na telefonach i tabletach z systemem Windows 8.}

Zgodnie z wymaganiami dotyczącymi certyfikacji sprzętu w systemie Windows 8 zgodnie z zaleceniami firmy Microsoft:

W systemie Windows 8 sygnał SAS jest wysyłany po naciśnięciu kombinacji przycisku klawisza Windows i przycisku zasilania.

Nie jest to więc przypadek całkowitego zniknięcia klucza Secure Attention (na urządzeniach bez klawiatury, inni mogą nadal używać SAS, jak poprzednio), oraz kombinacji dwóch standardowych przycisków sprzętowych Win + Pwr zostało po prostu dodane do wciąż istniejącej kombinacji Ctrl + Alt + Del aby lepiej obsługiwać urządzenia bez klawiatury sprzętowej, do czego został również zaprojektowany system Windows 8.

Oczywiście, ponieważ jest to nie tylko system operacyjny dla urządzeń przenośnych bez fizycznej klawiatury, ale także komputery stacjonarne, które nie nie mam tych Win + Pwr fizycznych przycisków (ale mają klawiaturę), zachowano starą metodę SAS. Jeśli z jakiegokolwiek powodu chcesz wyłączyć / ponownie włączyć tę obsługę, ten blog (lub to) wyjaśnia, jak możesz to osiągnąć w kilku prostych krokach .

_{Inne powiązane pytanie (lub więcej z próśb tak naprawdę) zostało poruszone przez @Iszi w dyskusji na blogu Prośby o pytania tygodnia on Meta Bezpieczeństwa IT: „Szczególnie interesujące jest dla mnie odkrycie, że Windows & Linux niekoniecznie używa tego samego klucza Secure Attention Key. Byłoby miło, gdyby ktoś mógł to nieco rozwinąć . ”. Ponieważ jestem już spóźnionym na imprezę w tej kwestii tutaj i nikt nie może mi zarzucić porwania pociągu przedstawicieli ^{[ 1] [ 2]} okazało się - cóż, proszę bardzo:}

Główną różnicą między dwoma implementacjami, które udało mi się znaleźć, jest to, że Linux SAK (tak, to jest akronim używany w Linuksie w przeciwieństwie do SAS (Secure Attention Sequence) używany w systemie Windows) oznacza, że ​​Linux SAK nigdy nie uzyskał oceny bezpieczeństwa C2 przyznanego przez National Computer Security Center (NCSC). Windows NT ma:

Kiedy NT uzyskał ocenę bezpieczeństwa C2, NCSC uznało również, że NT spełnia dwa wymagania bezpieczeństwa na poziomie B: funkcjonalność zaufanej ścieżki i funkcjonalność zarządzania zaufanymi obiektami. Funkcja Trusted Path zapobiega przechwytywaniu przez konie trojańskie nazwy i hasła użytkownika podczas logowania. Funkcjonalność zaufanej ścieżki NT istnieje w postaci sekwencji logowania-uwagi Ctrl + Alt + Del. Ta sekwencja klawiszy, Secure Attention Sequence (SAS), powoduje wyskakujące okno dialogowe logowania NT, które inicjuje proces, który pomaga NT rozpoznać potencjalne konie trojańskie. NT omija każdego konia trojańskiego, który przedstawia fałszywe okno logowania, gdy użytkownik wchodzi w sekwencję uwagi.

NT spełnia wymagania zarządzania zaufanymi obiektami, obsługując oddzielne role kont dla funkcji administracyjnych. Na przykład NT zapewnia oddzielne konta dla administratorów (administratorów), użytkowników konta odpowiedzialne za tworzenie kopii zapasowych komputera (Operatorzy kopii zapasowych) i zwykli użytkownicy (Użytkownicy). Microsoft podobno pracuje nad wersją NT na poziomie B, ale firma nie wydała publicznego oświadczenia, kiedy może wydać tę wersję.

Ale to nadal nie wyjaśnia, dlaczego SAK ! = SAS . OK, poszukajmy głębiej. Z obsługi Linuksa 2.4.2 Secure Attention Key (SAK) autorstwa Andrew Mortona otrzymujemy co następuje:

Z klawiatury komputera, Linux ma dwa podobne, ale różne sposoby dostarczanie SAK. Jednym z nich jest sekwencja Alt + SysRq + K . Nie powinieneś używać tej sekwencji. Jest dostępne tylko wtedy, gdy jądro zostało skompilowane z obsługą sysrq .

Właściwym sposobem generowania SAK jest zdefiniowanie sekwencji klawiszy za pomocą loadkeys '. To zadziała niezależnie od tego, czy obsługa sysrq` jest wkompilowana w jądro.

SAK działa poprawnie, gdy klawiatura jest w trybie surowym. Oznacza to, że po zdefiniowaniu SAK zabije działający X serwer . Jeśli system jest w poziomie działania 5 , X server zostanie uruchomiony ponownie. Właśnie tego chcesz.

Jakiej sekwencji klawiszy powinieneś użyć? Cóż, Ctrl + Alt + Del służy do ponownego uruchomienia komputera. Ctrl + Alt + Backspace działa magicznie na X server .

Dalej wyjaśnia, jak utworzyć niestandardową procedurę obsługi SAK, ale głównym wnioskiem jest to, że implementacja znacznie różni się od tego, co można znaleźć w systemie Windows jako SAS i że mogą nie być zaimplementowane na poziomie jądra, w zależności od tego, czy dla kompilacji została włączona obsługa sysrq .

Czy to wyjaśnia różnice w systemie Windows i Obsługa SAS / SAK w systemie Linux? Powiedziałbym, że tak. Użytkownik tialaramex z LWN.net wyjaśnia to starannie:

Linux ma pewne podstawowe wsparcie niskiego poziomu dla tej możliwości, ale wydaje się, że nigdy nie stał się cechą użytkownika końcowego bez żadnych konsekwencji. Żadna aplikacja nie może przechwycić kombinacji SAK, ponieważ na długo przed uruchomieniem jakiegokolwiek kodu, który pozwala aplikacjom w przestrzeni użytkownika bawić się naciśnięciami klawiszy, jądro zauważyło, że SAK został wciśnięty i zwarty do ścieżki, która obsługuje ten specjalny przypadek.

Zważywszy, że:

W systemie Windows po naciśnięciu SAK wymusza przywołanie oddzielnego pulpitu, o którym można myśleć jak o oddzielnym procesie X serwera. Ten pulpit jest „własnością” użytkownika systemu, w przybliżeniu równoważny z rootem Uniksa, więc każdy, kto ma pozwolenie na manipulowanie nim, mógł po prostu wymienić całe jądro systemu operacyjnego lub cokolwiek chciał.

Czy wyjaśnia, dlaczego wybrano różne sekwencje klawiszy? Nie jestem pewny. Pokazuje, dlaczego w Linuksie jest więcej niż jedna taka sekwencja klawiszy i jakie są między nimi różnice (zobacz wyjaśnienie Andrew Mortona), ale nie mogłem znaleźć jasnej odpowiedzi na pytanie, dlaczego została wybrana druga i dlaczego różne wersje jądra mogą używać różnych kombinacji SAK. Mogę tylko podejrzewać, że sprowadza się to do osobistych preferencji ich szanowanych autorów.

Chodzi o to, że zaufany proces Windows o nazwie Winlogon i tylko Winlogon może odczytać sekwencję klawiszy Ctrl + Alt + Del . Ta sekwencja kluczy jest nazywana bezpieczną sekwencją uwagi (SAS). Wprowadzając tę ​​sekwencję klawiszy, w zasadzie „udowadniasz” sobie, że to Windows akceptuje Twoje dane. To chroni przed złośliwym programem przechwytującym dane logowania, tworząc fałszywą nazwę użytkownika i formularz hasła. Oczywiście zakłada się, że Winlogon nie jest zagrożony i może się zdarzyć, że Winlogon został zmodyfikowany, aby można było ominąć ten środek.

Jeśli pojawi się monit logowania bez konieczności naciśnij Ctrl + Alt + Del w systemie skonfigurowanym do tego, nie wprowadzaj danych logowania , ponieważ oznacza to, że program przechwycił monit logowania. Jeśli jesteś właścicielem komputera, uruchom go ponownie w trybie awaryjnym i usuń znajdujące się na nim złośliwe oprogramowanie. Jeśli Twoja firma jest właścicielem komputera, skontaktuj się z administratorem systemu.

To samo dotyczy systemu Windows 8, tylko że istnieje dodatkowy SAS, Win + Zasilanie kbd >, dla tabletów, które nie mają fizycznej klawiatury (przychodzi mi na myśl Surface).

Ctrl + Alt + Del działał na długo przed logowaniem do systemu Windows, pierwotnie po prostu wykonywał miękki reset systemu. Ta sama kombinacja występuje również w innych systemach / systemach operacyjnych (na myśl przychodzi Atari ST).

Jeśli pytanie brzmi „dlaczego te trzy klawisze”, to powiedziałbym, ponieważ są one trudne do naciśnięcia i dlatego błąd jest taki trudne (jak powiedzieli ludzie).

Jeśli pytanie brzmi "dlaczego Windows (teraz) go używa", to nie wiem, może dlatego, że użytkownik, który go zna, został wybrany. Będziesz musiał zapytać osobę (y), która podjęła tę decyzję, jestem prawie pewien, że faktycznie naciskane klawisze są arbitralne (ale teraz myślę, że może to być przerwanie sprzętowe niskiego poziomu).

Inną część powodu - AFAIK - można znaleźć rozważając wybór kombinacji klawiszy: bardzo trudno jest wcisnąć wszystkie Ctrl, Alt i Del w tym samym czasie jedną ręką; i jest również bardzo mało prawdopodobne, że wszystkie 3 klawisze zostaną wciśnięte w tym samym czasie przez coś uderzającego w klawiaturę lub przez ciebie uderzanie w nią itp. Ponieważ David Bradley wybierz tę kombinację, aby wywołać miękki restart (Wikipedia) ważne było, aby nie został uruchomiony przez pomyłkę. Zaczęło się to od wywoływania monitu o logowanie użytkownika; Chodzi o to, abyś zademonstrował swój zamiar poprzez wyraźną decyzję o naciśnięciu „trudnej” kombinacji klawiszy (np. przed zalogowaniem).

Oczywiście nie chodzi o Windows, ale całe oprogramowanie komputerowe i oprogramowanie sprzętowe, które wykorzystuje Ctrl + Alt + Del.