Token broker windows 10 что это


TokenBroker что это за служба? tokenbroker не удается прочитать описание код ошибки 15100

TokenBroker или в русской версии Windows 10 — Диспетчер учетных веб-записей, это служба которая необходима для работы Windows  Store (магазина приложений) и которая управляет правами доступа приложений из магазина на вашем компьютере. 

Если вы не используете магазин приложений Windows 10, то службу можно безболезненно выключить, так же она отсутствует в корпоративных версиях Windows 10, а именно в редакциях LTSB и LTSC. Я уже писал как в эти редакции Windows 10 добавить магазин приложений, если вы это сделаете, то соответственно и служба появится в списке.

В норме служба TokenBroker, практически не потребляет ресурсов, она занимает несколько мегабайт оперативной памяти и практически не обращается к процессору, в списке процессов и служб видна либо под именем TokenBroker в англоязычной версии Windows 10, либо под названием Диспетчер учетных веб-записей:

В более ранних версиях Windows 10, в поле описание выводилась ошибка службы TokenBroker:  » не удается прочитать описание код ошибки 15100″, если вместо описания вы видите эту ошибку значит вам необходимо обновить Windows:

По сути ошибка «tokenbroker не удается прочитать описание код ошибки 15100», ошибкой не является и на работу службы никак не влияет.

Иногда с службой TokenBroker возникают проблемы — она начинает потреблять много ресурсов, оперативной памяти и времени процессора, в этом случае попробуйте остановить службу и затем запустить опять (если не пользуетесь магазином решением может быть полное отключение службы), используйте встроенное в Windows 10 средство устранения неполадок и проверьте целостность системный файлов. Если этого недостаточно — пишите в комментарии.

 

hostdl.exe что это? Вирус? Как удалить? (Token Broker Cookie Helper)

hostdl.exe — непонятный процесс, предположительно опасный, другими словами — вирус. По отзывам пользователей — рекламный софт. Может появиться без причины и висеть в диспетчере не вызывая нагрузки процессора и используя немного памяти (ОЗУ).

Коротко о главном. Процесс hostdl.exe — скорее всего вирус. Раньше были проблемы с удалением, теперь антивирусные утилиты должны удалять. Можно вручную — но только если не помогут утилиты. Действие вируса — предположительно отправка данных в сеть. Какие именно данные — неизвестно.

Если процесс hostdl.exe загружает процессор просто так без причин, то есть загрузка начинается на ровном месте — тогда возможно в hostdl.exe есть функции майнера. Что такое майнер? Это вирус, который выполняет математические вычисления за счет вашего ПК. Цель майнера — добыча некой криптовалюты.

В диспетчере в колонке описания может быть указано — Token Broker Cookie Helper. Перевод названия примерно такой — помощник cookie брокера токенов. Непонятно. Слово cookie означает куки-файлы (данные, которые принимаются браузером с сайта и используются в некотором роде для идентификации).

hostdl.exe в диспетчере задач:

Возможно что hostdl.exe и TokenBrokerCookies.exe — одна компашка.

Служба Token Broker

Оказывается есть служба в Windows 10 под названием Token Broker. Вроде как службу можно отключить. Имеет отношение к покупкам в Windows Store, отвечает за аутенфикацию в приложениях UWP.

Первый мини-вывод: hostdl.exe, судя по описанию в диспетчере задач, может маскироваться под системный компонент, упоминая Token Broker в описании. Другими словами — если hostdl.exe это вирус, то он может маскироваться, чтобы вы подумали что процесс системный.

При наличии ошибки:

Прекращена работа программы Performance log utility

Если в содержании упоминается hostdl.exe — рекомендуется обновить .NET Framework (скачать с офф сайта Майкрософт). Данная информация подразумевает тот случай, когда указанный hostdl.exe как раз является не вирусом, а системным компонентом.

Расположение hostdl.exe

Файл hostdl.exe может располагаться в разных папках, например:

C:\ProgramData\{30de86-bcf922-1b15-410e6be6dedd}\

C:\WindowsData\

Внутри папки могут быть два файла — asferror.dll и iologmsg.dll:

Но файлов может быть спокойно больше.

На одном форуме стало понятно — hostdl.exe это вирус. Юзер скачал фотки в архиве, смотрел фотки, в конце был файл видео.exe, юзер не заметил расширение — запустил файл и заразился вирусом. Данный комментарий был написан 18 января 2018. Высока вероятность, что на данный момент вирус уже детектируется антивирусными утилитами.

Другой юзер пишет — на диске C или D создается папка WindowsData. При удалении — появляется вновь. Доктор Веб папку удаляет, но она появляется снова. Данное сообщение было написано также давненько — 23 февраля 2018.

Как удалить hostdl.exe (Token Broker Cookie Helper)

Один человек написал способ удаления, который помог некоторым юзерам:

  1. Зажмите Win + R.
  2. В окошко Выполнить напишите команду regedit, нажмите ОК.
  3. Зажимаете Ctrl + F, пишите слово hostdl.exe, нажимаете Найти далее. После того, как что-то нашлось, для продолжения поиска — нажимаем F3.
  4. В результате вы можете найти записи вируса, их нужно удалить.

Да, вы также можете удалить и системные записи. Чтобы исключить данную ситуацию — создайте сперва точку восстановления.

hostdl.exe в базе Доктора Веба

Файл hostdl.exe обнаружен в базе Доктора Веба. Название вируса — Trojan.MulDrop7.64032, видим что это троян (потенциально может отправлять данные в сеть).

Важно. Создает такие файлы:

%WINDIR%Data\wgjcz0ly.1ve
%WINDIR%Data\vlncxc4t.4xs
%APPDATA%\GoogleUpdater.exe
%WINDIR%Data\CpService.exe
%WINDIR%Data\kwyimomv.plo
%WINDIR%Data\yk1xmmmi.ou2
%WINDIR%Data\pffxyfqq.dm4
%WINDIR%Data\tf4k1xg5.0y2
%WINDIR%Data\3vl02xjq.lnb
%APPDATA%\History
%WINDIR%Data\hostdl.exe
%TEMP%\uazver.exe
%TEMP%\Connect Manager.exe
%TEMP%\rnrzy42n.0.cs
%APPDATA%\CSC1.tmp
%TEMP%\RES2.tmp
%TEMP%\rnrzy42n.cmdline
%TEMP%\rnrzy42n.out

Полную информацию смотрите на сайте Доктора Веба:

https://vms.drweb.ru/virus/?i=16460865

При этом процесс attrib.exe может грузить ПК из-за вируса. Дело в том, что attrib.exe — системный компонент по изменению атрибутов файлов. Вирус использует данный компонент в своей работе.

Окончательное удаление hostdl.exe

Исходя из всего предлагаю вам несколько способов удаления вируса:

  1. Для удаления используйте специальные утилиты — Dr.Web CureIt!, Kaspersky Virus Removal Tool. Данные две утилиты с большой вероятностью смогут удалить вирус, так как времени уже прошло много, и вирус скорее всего уже находится в сигнатурных базах. В дополнение также рекомендую проверить ПК утилитами AdwCleaner и HitmanPro, которые направлены на удаления рекламных вирусов.
  2. Также вы можете самостоятельно попробовать удалить через реестр (способ описывался выше). Дополнительно при помощи анализатора автозагрузки AnVir Task Manager проверьте что запускается вместе с Windows. Также проверьте планировщик на наличие странных заданий (их можно отключить, в свойствах задания можно найти полезную информацию). На заметку — в CCleaner есть раздел автозагрузки, тоже можно использовать, однако в этом плане AnVir Task Manager более продвинутый.
  3. При обнаружении подозрительных папок, файлов — рекомендую сперва не удалять, а переименовать. В случае проблем с удалением — используйте утилиту Unlocker (при установке внимательно смотрите, так как хочет установиться левый Дельта Тулбар). Полезно поискать файлы/папки на диске по названию вируса, перед этим убедитесь, что включено отображение скрытых файлов/папок.
  4. При отсутствии антивируса установите бесплатный. Советую Касперского — бесплатная версия не грузит ПК (если не происходит в это время проверка на вирусы). Работает быстро, присутствуют технологии ускорения работы — iChecker и iSwift. Не реклама.

Важно. По поводу планировщика — вот скриншот, который подтверждает, что и правда может быть задание с названием WinlnetDriver, которое и запускает процесс hostdl.exe:

Заключение

Как мы выяснили, hostdl.exe — вирус, который маскируется под системный/безобидный процесс.

Перед удалением, как при помощи утилит, так и вручную — рекомендую создать точку восстановления.

Сам hostdl.exe представляет из себя троян. Возможно обладает функциями майнера.

В самом крайнем случае обратитесь на форум Касперского (forum.kasperskyclub.ru) или Доктора Веба (forum.drweb.com) — реально полезно, чем искать ответы в интернете.

Правда некоторые юзеры даже переустанавливали Windows — но это уже слишком радикальный способ решения…

На главную! 14.12.2018

Отключение ненужных служб в Windows 10. Подробная инструкция.

Привет всем! Когда-то я писал статью, в которой я рассказывал какие службы можно отключить в Win 7, но сейчас уже во всю вышла 10ка и сегодня мы разберемся, какие службы нужно отключить в Windows 10.

Какие службы можно отключить в Windows 10?

Как отключать службы и как в них зайти, я писал тут, по этому не буду повторяться. Для отключения ненужных служб в Windows 10, заходим в службы, читаем что означает служба и отключаем по ненадобности.

BranchCache — Служба кэширует сетевое содержимое. Если не пользуетесь домашней сетью, то вообще можете отключить.

*CDPSvc (Connected Device Platform Service) — эта служба относится из серии сбора данных. Она синхронизирует календарь, контакты, почту и другие пользовательские данные. Я рекомендую отключить эту службу в последнюю очередь, чтобы проверить, нужна она вам или нет. Скорее всего вам она понадобится, если вы пользуетесь учетной записью Майкрософт и вам нужна синхронизация с мобильным устройством.

* CoreMessaging — Осуществляет связь между компонентами. Служба спорная очень, т.к. в сети нет информации по ней. Её отключить можно только через реестр и кто отключал, система могла больше не запуститься. По этому пока оставляем.

* DataCollectionPublishingService — Эту штуку вообще лучше отключить. Это связь операционной системы с удаленным облаком. Служба собирает так скажем статистику ваших действий.

DHCP-клиент — Если пользуетесь интернетом не трогайте ни в коем случае. Именно эта служба присваивает вам ip адрес.

* dmwappushsvc — Опять сбор сведений, её тоже отключаем. Это клавиатурный шпион. Передает действия ваших клавиш в удаленное облако.

DNS-клиент — Так же необходимая служба для использования интернета. Работает с вашими DNS (служит для правильных направлений).

* Enterprise App Management Service — служба для корпоративных приложений. Её можно отключить, но если пользуетесь офисом например или приложениями Майкрософта, то нужно экспериментировать. Отключить и смотреть все ли будет хорошо в приложениях.

KtmRm для координатора распределенных транзакций — системная функция транзакций. Её так же оставляем.

Plug-and-Play — служит для автоматического распознавания изменений в системе. Например когда вы подключаете флешку, просыпается эта служба… Так что оставляем как есть.

Quality Windows Audio Video Experience — передача аудио и видео по сети в режиме реального времени. Не нужна только если нет сети (или интернета) в остальных случаях оставляем.

Microsoft .NET Framework — Все такие службы оставляем как есть. Они служат для нормальной работы большинства приложений.

* SMP дисковых пространств — Опять же новая служба из серии неизвестных. Я отключил бы и посмотрел как будет работать. Эта служба позволяет управлять дисковым пространством, но отключив её, я спокойно мог работать с файлами и делить диски.

Superfetch — Полезная функция, работает с кэшем, ускоряет работу Windows. В этой службе есть 2 стороны, с одной стороны она будет быстрее запускать часто используемые приложения, с другой стороны, оперативки станет меньше. Тут я так же советую протестировать, насколько сильно она повысит быстродействие на вашем компьютере. А пользователям с SSD дисками я посоветую отключить её, т.к. отклик у этих дисков и так сумасшедший.

* WalletService — Опять служба слежки, отключаем.

Windows Audio — Управляет звуком. Если не нужен звук отключаем. В остальных случаях оставляем.

Windows Driver Foundation — User-mode Driver Framework — для нормальной работы драйверов, не трогайте. Пусть остается как есть.

Windows Search — Индексирование файлов для поиска. Если не пользуетесь и есть время подождать пока найдется файл, то отключаем. На ssd обязательно отключаем!

* Автоматическая настройка сетевых устройств — нужна для обнаружения в сети новых устройств. Если не пользуетесь сетью и интернетом, то можно отключить.

Автонастройка WWAN — служба для использования мобильного интернета. Если пользуетесь usb модемом, сим картой в ноуте, то не отключайте.

Автономные файлы — помогает работать, автономно с недоступными файлами, которые загрузились до этого. Ставим вручную.

Агент политики IPsec — Нужна при наличии сети и интернета.

* Адаптер производительности WMI — нужна для служб требующие wmi, ставим вручную. Если каким-то приложениям понадобятся, те сами запустят)

Адаптивная регулировка яркости — Оставляем если есть датчик освещения.

Архивация Windows — Если не пользуетесь отключайте. Но лучше почитайте про архивацию в windows мало ли, будете пользоваться.

Биометрическая служба Windows — нужна лишь при использовании биометрических устройств. В остальных случаях отключаем.

Брандмауэр Windows — Я если честно всегда отключаю, т.к. воровать у меня нечего) А если и зашифруют данные, то восстановлю) Но вам посоветую обзавестись например касперским интернет секьюрити, которого есть и антивирус и брандмауэр. А этот отключите нафиг, т.к. он иногда блокирует что не нужно) Вообщем он следит за безопасностью вашего компьютера и закрывает порты, чтобы ворюги не смогли залезть к вам в компьютер)

Браузер компьютера — В домашней сети не нужна. Вручную.

Брокер времени — Координирует выполнение фоновой работы для приложения WinRT. Отвечает за работу Windows API. По этому если вы не знаете что это, то можете попробовать её отключить, правда отключить её можно только через реестр. Как это сделать есть информация в интернете. У некоторых пользователей эта служба съедает пол ресурсов процессора, но после отключения, обязательно проверьте на стабильность работу компьютера.

* Брокер системных событий — Опять же для приложений WinRT, так же если отключаете проверьте стабильность работы после отключения.

* Брокер фонового обнаружения DevQuery — Следит за приложениями в фоне, лучше оставить.

* Быстрая проверка — При необходимости проверяет повреждение файловой системы. Тоже спорная служба, но лучше оставить.

Веб-клиент — Нудна если нет интернета. Служит для работы с файлами в интернете. Оставляем.

Виртуальный диск — Служба для работы с запоминающими устройствами. Ставим вручную.

Вспомогательная служба IP — Работает с протоколом версии 6. Я всегда отключаю его самого, так что и службу можно вообще отключить.

Вторичный вход в систему — Ставьте вручную, т.к. некоторые игры или программы включат её по необходимости.

* Готовность приложений — Служба подготавливает приложения к первому входу или же при установке новых. Лучше оставить вручную, когда нужно будет, она сама запустится.

Группировка сетевых участников — Нужна для домашней группы. Ставьте вручную, мало ли понадобится…

Диспетчер автоматических подключений удаленного доступа — Ставим вручную. Нужна для удаленных подключений.

* Диспетчер локальных сеансов — Управляет сеансом пользователя. Если отключить, система может не загрузится, по этому оставляем.

* Диспетчер настройки устройств — Настраивает и устанавливает новые устройства. Если отключить, то установка новых устройств может происходить неправильно. Служба работает вручную и запускается когда появляется новое устройство. Поэтому оставляем как есть.

Диспетчер печати — Нужна если есть с чего печатать. В остальных случаях отключаем.

Диспетчер подключений удаленного доступа — вручную. Один раз вообще отключил и не смог создать подключение. Так что лучше вручную.

* Диспетчер пользователей — Управляет несколькими пользователями. Если у вас один пользователь, ставьте вручную.

* Диспетчер проверки подлинности Xbox Live — если нет Xbox, то отключаем.

* Диспетчер скачанных карт — Отключайте если не используете приложение «Карты».

* Диспетчер удостоверения сетевых участников — Оставляем вручную, по необходимости запуститься сама.

Диспетчер сеансов диспетчера окон рабочего стола — Если не используете прозрачность от Aero, то можно отключить, даст большой прирост.

Диспетчер удостоверения сетевых участников — Нужна для сети. Ставим лучше вручную.

Диспетчер учетных данных — Лучше вручную. Хранит ваши данные, например логины и пароли.

* Диспетчер учетных записей безопасности — Лучше оставить как есть. Если отключить данную службу, то все изменения в локально политике безопасности пропадут.

Доступ к HID-устройствам — Доступ к быстрым клавишам. Отключите, если какие-то комбинации перестанут работать, то поставьте обратно.

Журнал событий Windows — записывает все события. Полезный инструмент для опытного пользователя. Отключить невозможно.

Журналы и оповещения производительности — системная служба, оставляем как есть.

Защита программного обеспечения — так же системная служба, оставляем как есть.

Изоляция ключей CNG — Вручную.

Инструментарий управления Windows — Системная служба, без неё, некоторые приложения могут работать некорректно, так что лучше оставить.

* Интерфейс гостевой службы Hyper-V — Если не знаете что такое Hyper-V, то отключаем.

Клиент групповой политики — Оставляем. Отвечает за настройками политики безопасности.

Клиент отслеживания изменившихся связей — Отслеживание файлов ntfs, не нужно. Отключаем.

* Контейнер службы Microsoft Passport — Если нет виртуальной смарт-карты TPM, то отключайте.

Координатор распределенных транзакций — Ставим вручную.

Ловушка SNMP — Некоторые программы будут собирать о вас информацию. Так что отключайте.

Локатор удаленного вызова процедур (RPC) — Вручную, при необходимости приложения её запустят.

Маршрутизация и удаленный доступ — Не нужна. Отключаем.

Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности — Не нужна, но лучше вручную.

* Модуль запуска процессов DCOM-сервера — Системная служба, оставляем как есть.

Модуль поддержки NetBIOS через TCP/IP — Если нет других компьютеров в сети, то вручную.

Настройка сервера удаленных рабочих столов — Если вы не создаете сервер удаленных рабочих столов, то отключайте.

Немедленные подключения Windows — регистратор настройки — Вручную.

Обнаружение SSDP — Необходима для новых устройств, но не всегда такие устройства можно встретить. По этому поставьте вручную, а если не понадобится, то отключите.

Обнаружение интерактивных служб — Вручную.

Обновление службы оркестратора — Решение по управлению рабочими процессами в центре обработки данных. Orchestrator позволяет автоматизировать создание, мониторинг и развертывание ресурсов в среде. Вообщем поставьте вручную.

Общий доступ к подключению к Интернету (ICS) — Не нужна, если вы не расшариваете ваш интернет в сетевых подключениях.

Определение оборудования оболочки — необходима для диалогового окна автозапуска диска или флешки. Кому как удобно, большинству это нужно. Я оставил.

* Оптимизация дисков — Это теперь по новому называется дефрагментация дисков, на деюсь знаете что это. Оставляем как есть, а если у нас установлен SSD диск, то отключаем.

* Оптимизация доставки — Это что-то типа торрента. Например качаете обновления или приложения с магазина, то скачивание происходит с найденных источников. Тем самым скорость загрузки возрастает. Лучше оставить вручную, когда будет происходить какая-нибудь закачка, она включится автоматически.

Перенаправитель портов пользовательского режима служб удаленных рабочих столов — Если не используете удаленные соединения, то не нужно. Лучше поставьте вручную.

Питание — Не отключается. Оставляем.

Планировщик заданий — Желательно оставить как есть, т.к. сейчас много программ его использует.

Поддержка элемента панели управления «Отчеты о проблемах и их решениях» — Вручную.

Политика удаления смарт-карт — для пользователей смарт-карт, лучше вручную.

* Помощник по входу в учетную запись Майкрософт — Помогает в создании и входе в четную запись Майкрософт. Лучше оставить вручную.

Помощник по подключению к сети — Уведомления о DirectAccess не нужны, отключаем.

* Посредник подключений к сети — Если не нужны уведомления о программах в магазине, то отключайте.

Поставщик домашней группы — Для использования домашних групп. Лучше вручную.

Проводная автонастройка — Вручную.

* Программа архивации данных — Если пользуетесь архивацией и восстановлением, то оставляем как есть. Если нет, то отключаем.

Программный поставщик теневого копирования (Microsoft) — Вручную.

Прослушиватель домашней группы — Вручную.

Протокол PNRP — Тоже оставляем вручную. Некоторые приложения могут использовать службу.

Публикация ресурсов обнаружения функции — Нужна если вы хотите показывать свои файлы другим компьютерам по сети. Если не хотите, то вручную или отключить.

Рабочая станция — лучше оставить, т.к. некоторые приложения задействуют данную службу.

* Рабочие папки — Если используете рабочие папки (обычно их используют в организациях), то оставьте как есть, если нет отключите.

Распространение сертификата — Лучше вручную.

* Расширения и уведомления для принтеров — Если используете принтер, то оставьте, если нет, то отключите.

Расширяемый протокол проверки подлинности (EAP) — Вручную.

Сборщик событий Windows — Вручную.

Сведения о приложении — Вручную.

Сервер — Если компьютер не используется как сервер или не использует общий доступ к файлам и принтерам, то отключайте.

* Сервер моделей данных плиток — Если используете интерфейс метро, то оставляйте, если нет, то отключаем.

* Сетевая служба Xbox Live — опять же если не используете Xbox, то отключайте.

Сетевой вход в систему — Вручную.

Сетевые подключения — Оставьте как есть. Если нет сети или интернета, то можете отключить.

Система событий COM+ — ставим вручную. Приложения зависящие от это службы сами её запустят при необходимости.

Системное приложение COM+ — Так же вручную.

* Служба Microsoft Passport — Если нет виртуальной смарт-карты TPM, то отключайте.

Служба push-уведомлений Windows — Если вам не нужны уведомления от приложений, то отключайте. Если нужны, то оставляйте.

Служба SSTP — Оставляем как есть, нужна служба если есть интернет на компьютере.

Служба Windows License Manager — Служба нужна для управления лицензиями приложений скачанных в магазине. Если от туда ничего не качаете, то отключайте.

Служба Windows Mobile Hotspot — Служба нужна для организации точки доступа Wi-Fi, т.е. раздавать беспроводной интернет другим устройствам. Если не раздаете, то отключите.

Служба автоматического обнаружения веб-прокси WinHTTP — Если нужен интернет, то оставьте как есть.

Служба автонастройки WLAN — служба для беспроводных сетей. Соответственно если их нет, она не нужна.

Служба базовой фильтрации — с одной стороны, она не нужна (если не нужна безопасность), но с другой, некоторые программы, могут выдавать ошибки. Так что оставляем.

* Служба беспроводной связи Bluetooth — Нужна если пользуетесь гарнитурами Bluetooth.

Служба виртуализации удаленных рабочий столов Hyper-V — Опять же, если не знаете что такое Hyper-V, то отключайте.

Служба времени Windows — нужна для синхронизации времени с интернетом.

* Служба географического положения — Отключаем. Она нужна только для телефонов. Интернет и так найдет где вы находитесь)

* Служба данных датчиков — Если вы не подключали никаких датчиков, то отключайте. На телефонах и планшетах оставьте.

* Служба датчиков — Тоже самое. Нужно для телефонов и планшетов.

* Служба демонстрации магазина — Отключаем, не нужно ничего демонстрировать)

Служба диагностического отслеживания — Служба из серии слежки, по этому отключаем.

* Служба завершения работы в качестве гостя (Hyper-V) — Опять же если не знаете что такое Hyper-V, то отключаем.

Служба загрузки изображений Windows (WIA) — Нужна служба, только если есть сканер. Она отвечает за получение изображений со сканеров и камер.

Служба запросов на теневое копирование томов Hyper-V — Опять же если не знаете что такое Hyper-V, то отключаем.

* Служба защитника Windows — С хорошим антивирусом, это ненужная служба, но просто так её не отключить тут.

Служба инициатора Майкрософт iSCSI — Ставим вручную, если программам понадобится, они сами её запустят.

Служба интерфейса сохранения сети — Нужна для нормальной работы сети.

Служба инфраструктуры фоновых задач — Для нормальной работы фоновых операций, оставьте.

* Служба истории файлов — Новый способ защиты файлов, при любых изменениях файлы дублируются. Отключать или нет дело каждого. Я наверно отключил бы, т.к. раньше не было и не нужно было)

Служба кэша шрифтов Windows — служит для повышения производительности, кэширует шрифты и не тратит время на загрузку.

* Служба лицензий клиента (ClipSVC) — нужна для приложений скачанных из магазина. Если ничего от туда не качаете, то можно отключить.

Служба Магазина Windows (WSService) — Если пользуетесь магазином, то оставляем, если нет, отключаем.

Служба маршрутизатора AllJoyn — Если не знаете что это такое, то отключайте.

Служба маршрутизатора SMS Microsoft Windows — На компьютере эта служба точно не нужна!

Служба модуля архивации на уровне блоков — Ставим вручную. Если понадобится архивация или восстановление, то служба сама запуститься.

* Служба наблюдения за датчиками — Если на компьютере нет датчиков, то не нужна.

* Служба настройки сети — Лучше оставить вручную.

Служба обмена данными (Hyper-V) — Опять же если не пользуетесь Hyper-V отключайте.

Служба общего доступа к портам Net.Tcp — По умолчанию выключена. Нужна если только понадобится протокол Net.Tcp.

Служба общих сетевых ресурсов проигрывателя Windows Media — Вручную. Понадобится, включится.

Служба перечисления устройств чтения смарт-карт — Если не пользуетесь смарт-картами, то отключайте.

Служба перечислителя переносных устройств — Служит для синхронизации музыки, видео и т.д. со съемными носителями. Я бы поставил вручную. Не всегда это нужно.

Служба поддержки Bluetooth — Нужна если есть Bluetooth.

Служба политики диагностики — Нужна для диагностики неполадок… Она если честно помогает редко. По этому можете по-экспериментировать, отключив её. Если понадобится — включите.

Служба помощника по совместимости программ — служба нужна для запуска программ, несовместимый с вашей ОС. Если нет таковых поставьте вручную.

Служба проверки сети Защитника Windows — Опять же лучше хороший антивирус, чем эта служба, но просто так не отключите.

Служба профилей пользователей — Лучше оставить. Она работает с профилями пользователей компьютера.

Служба публикации имен компьютеров PNRP — Нужна для домашних групп.

Служба пульса (Hyper-V) — Следит за состояние виртуальной машины. Если не пользуетесь виртуальными машинами Hyper-V, то отключайте.

* Служба развертывания AppX (AppXSVC) — Если не используете магазин, то отключайте.

Служба регистрации ошибок Windows — Регистрирует ошибки. Лучше поставить вручную.

Служба регистрации управления устройством — Лучше оставить вручную.

Служба репозитория состояний — лучше оставить так же вручную.

Служба сборщика ETW Internet Explorer — Ещё один сборщик, отключаем.

Служба сведений о подключенных сетях — Лучше оставить как есть, для нормальной работы сети.

* Служба сеансов виртуальных машин (Hyper-V) — если нет виртуальных машин Hyper-V отключаем.

* Служба сенсорной клавиатуры и панели рукописного ввода — нужна для планшетов. Если нет на компьютере сенсорной клавиатуры или графического планшета, то отключаем.

* Служба синхронизации времени (Hyper-V) — если нет виртуальных машин Hyper-V отключаем.

* Служба совместного доступа к данным — оставьте вручную.

* Служба сопоставления устройств — Если компьютер не контактирует с другими устройствами по проводу или по беспроводным соединениям, то можно отключить.

Служба списка сетей — Так же лучше оставить.

Служба уведомления о системных событиях — Если не собираетесь смотреть сообщения Windows, то она вам не нужна.

Служба удаленного управления Windows (WS-Management) — Поставьте вручную.

Служба узла поставщика шифрования Windows — Отключаем.

Служба установки устройств — Лучше оставить как есть, служба для правильной установки устройств.

* Служба хранилища — лучше оставить вручную.

Служба шифрования дисков BitLocker — Шифрует диски. Если не пользуетесь, то лучше отключите.

Служба шлюза уровня приложения — Служба нужна только для работы с брандмауэром. Вручную.

Службы криптографии — Для установки новых программ, лучше оставьте как есть.

Службы удаленных рабочих столов — Если не пользуетесь удаленными рабочими столами, то отключайте.

Смарт-карта — Если ими не пользуетесь, то она вам не нужна.

* События получения неподвижных изображений — нужна для сканирования изображений. По этому если нет сканера, то отключаем.

Сопоставитель конечных точек RPC — Служба нужна для входящего трафика. С ней ничего нельзя сделать. По этому оставляем.

Сохранение игр на Xbox Live — Если нет Xbox, то отключаем.

Средство построения конечных точек Windows Audio — Если нужен звук, оставьте.

Стандартная служба сборщика центра диагностики Microsoft (R) — Опять сборщик, отключаем.

Телефония — Оставьте вручную. Если понадобится, запустится.

Темы — Едят много ресурсов памяти. Если не нужны, отключайте.

Теневое копирование тома — Создает точки восстановления, архивация в фоновом режиме. Поставьте вручную. Если нужно будет запустится.

Тополог канального уровня — Тоже вручную. Если понадобится, запустится.

Удаленный вызов процедур (RPC) — Системная служба. Оставьте как есть.

Удаленный реестр — Позволяет удаленным пользователям, манипулировать вашим реестром. Отключайте.

Удостоверение приложения — Вручную.

Узел системы диагностики — Диагностика проблем. Поставьте вручную.

Узел службы диагностики — Так же вручную.

Узел универсальных PNP-устройств — Ставьте вручную. Не все устройства PnP.

Управление приложениями — Ставьте вручную. Служба позволяет настроить политики для приложений.

Установщик ActiveX — Так же вручную. Понадобится установить такой объект, она сама запустится.

Установщик Windows — Установка программ .msi. Вручную.

Установщик модулей Windows — Устанавливает и удаляет компоненты и обновления. Вручную.

Факс — Нужна если только есть факс.

Фоновая интеллектуальная служба передачи (BITS) — Оставляем вручную. Служба полезная.

Хост библиотеки счетчика производительности — Передает счетчики производительности другим пользователям. Отключаем.

Хост поставщика функции обнаружения — Оставляем вручную. Нужно будет запустится.

Цветовая система Windows (WCS) — Вручную. Нужна будет устройствам, запустят.

Центр обеспечения безопасности — Следит за безопасностью Windows. Меня она бесит со своими уведомлениями. Так что отключать или нет, выбирать вам.

Центр обновления Windows — С одной стороны полезная функция. Заделывает дыры в системе, обновляет драйвера, но с другой стороны, активно использует интернет, ресурсы памяти и если при обновлении выключить компьютер, может рухнуть ОС. Так что так же вам выбирать что важнее, безопасность или быстродействие.

Шифрованная файловая система (EFS) — Для безопасности файлов. Лучше оставьте как есть вручную.

На это все. В данной статье я описал службы которые можно отключить в windows 10, а так же что лучше оставить, для нормальной работы системы. Проверил на себе, у меня все работает. Если у вас есть ещё какая-то информация, пишите, дополню, это поможет многим людям.

Что такое Runtime Broker в Windows 10

&nbsp windows | для начинающих

В Windows 10 в диспетчере задач вы можете увидеть процесс Runtime Broker (RuntimeBroker.exe), впервые появившийся еще в 8-й версии системы. Это системный процесс (обычно не является вирусом), но иногда может вызывать высокую нагрузку на процессор или оперативную память.

Сразу о том, что такое Runtime Broker, точнее за что отвечает этот процесс: он управляет разрешениями современных UWP приложений Windows 10 из магазина и обычно не занимает значительного объема памяти и не использует заметного количества других ресурсов компьютера. Однако, в некоторых случаях (часто из-за неправильно работающего приложения), это может оказаться не так.

Исправление высокой нагрузки на процессор и память, вызываемой Runtime Broker

Если вы столкнулись с высоким использованием ресурсов процессом runtimebroker.exe, есть несколько способов исправить ситуацию.

Снятие задачи и перезагрузка

Первый такой способ (для случая, когда процесс использует много памяти, но может использоваться и в других случаях) предлагается на официальном сайте Майкрософт и очень прост.

  1. Откройте диспетчер задач Windows 10 (клавиши Ctrl+Shift+Esc, или правый клик по кнопке Пуск — Диспетчер задач).
  2. Если в диспетчере задач отображаются только активные программы, нажмите кнопку «Подробнее» внизу слева.
  3. Найдите в списке Runtime Broker, выберите этот процесс и нажмите кнопку «Снять задачу». 
  4. Перезагрузите компьютер (выполните именно перезагрузку, а не завершение работы и повторное включение).

Удаление вызывающего проблему приложения

Как уже было отмечено выше, процесс имеет отношение к приложениям из магазина Windows 10 и, если проблема с ним появилась после установки каких-то новых приложений, попробуйте удалить их, если они не являются необходимыми.

Удалить приложение можно используя контекстное меню плитки приложения в меню Пуск или в Параметры — Приложения (для версий до Windows 10 1703 — Параметры — Система — Приложения и возможности).

Отключение функций приложений магазина Windows 10

Следующий возможный вариант, способный помочь в исправлении высокой нагрузки, вызываемой Runtime Broker — отключить некоторые функции, имеющие отношение к приложениям магазина:

  1. Зайдите в Параметры (клавиши Win+I) — Конфиденциальность — Фоновые приложения и отключите работу приложений в фоновом режиме. Если это сработало, в дальнейшем можно включать разрешение работать в фоновом режиме для приложений по одному, пока не будет выявлено проблемное. 
  2. Зайдите в Параметры — Система — Уведомления и действия. Отключите пункт «Показывать советы, подсказки и рекомендации при использовании Windows». Также может сработать отключение уведомлений на этой же странице настроек. 
  3. Перезагрузите компьютер.

Если ничто из этого не помогло, можно попробовать проверить, а действительно ли это системный Runtime Broker или (что в теории может быть) — сторонний файл.

Проверка runtimebroker.exe на вирусы

Чтобы узнать, является ли запущенный runtimebroker.exe вирусом, вы можете выполнить следующие простые действия:

  1. Откройте диспетчер задач Windows 10, найдите в списке Runtime Broker (или runtimebroker.exe на вкладке «Подробности», нажмите по нему правой кнопкой мыши и выберите «Открыть расположение файла».
  2. По умолчанию файл должен располагаться в папке Windows\System32 и, если нажать по нему правой кнопкой мыши и открыть «Свойства», то на вкладке «Цифровые подписи» вы увидите, что он подписан «Microsoft Windows». 

Если расположение файла иное или нет цифровой подписи, выполните его проверку на вирусы онлайн с помощью VirusTotal.

А вдруг и это будет интересно:

Скриншоты сборки Windows 10 Build 10108 » MSPortal


Сайту Neowin удалось получить в своё распоряжение сборку Windows 10 Build 10108. Данный билд представлен из ветки Winmain_prs. Пока остаётся непонятным и номер следующей публичной сборки для инсайдеров.

Если вы посмотрите на скриншот ниже, то заметите, что переключатели заполнены цветом самой темы. А в выключенном положении они чёрного и белого цвета. Многие хотят вернуть вариант, который присутствует в Windows 8.


Контекстное меню также было обновлено в этой сборке. Теперь такой стиль представлен по всей ОС.
Microsoft также включила в данную сборку приложение под названием 3D Builder, которое не является новым для Windows 10. Ранее оно уже было доступно для Windows 8.
Есть два других «новых» приложения, показанных в списке приложений. Они называются AD Token Broker Plugin и Administrative Tools.
Приложение «Get started» включает в себя больше видео. Также оно получило тёмную тему.
При открытии приложения Музыка, появляется журнал с изменениями. Было бы здорово, если такая функциональность появилась для всех приложений.
Теперь тёмная тема появилась в меню системного трея. Можно видеть, что панель сети имеет тёмную тему.
Во время окончательный установки происходила смена разных цветов, а в этой сборке экран остается синим все время.

SgrmBroker.exe — что это за процесс в Windows 10?

Приветствую друзья! Разбираемся с непонятными процессами, которые есть в Windows, а иногда могут появиться новые. Откуда? Например вы устанавливали софт, либо Windows решила обновиться.. часто неизвестный процесс принадлежит нормальному софту либо операционке. Но иногда — это вирус. Спешу успокоить вас, сегодняшний процесс SgrmBroker.exe — не вирус.

SgrmBroker.exe — что это такое?

Служба брокера мониторинга среды выполнения System Guard. Отслеживает и подтверждает целостность платформы Windows. Это официальное описание от Microsoft, верить можно, правда понятного все равно мало.

После обновления винды может начать кушать прилично оперативы и грузить ПК.

Давайте посмотрим, вот сам процесс в диспетчере:

Работает от имени СИСТЕМА, как и положено системным процессам. Если нажать по процессу правой кнопкой и выбрать пункт Открыть расположение, то попадем в эту папку:

C:\Windows\System32

Папка системная, все сходится. Если посмотреть свойства файла, то так и написано — мол это служба брокера:

Кстати, по поводу размера файла SgrmBroker.exe. Он у вас может быть другой, может зависит от билда виндовса. Потому что у меня версия — 1909:

SgrmBroker.exe — как отключить?

Можно ли отключать? Я видел сообщения в интернете, что люди отключают SgrmBroker.exe и все норм. То есть проблем вроде как нет. Да, конечно можно заранее создать точку восстановления, лишним точно не будет. Как создать точку восстановления: зажимаем Win + R > команда control > значок Система > вкладка Защита системы > выбираем системный диск и нажимаем Создать.

Отключаем через реестр:

  1. Зажмите Win + R, появится окошко Выполнить.
  2. Напишите команду regedit, нажмите ОК.
  3. Откроется редактор реестра. Слева — разделы, справа — параметры (или ключи).
  4. Вам нужно попасть в такой раздел: Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SgrmBroker
  5. В разделе находим параметр Start, два раза по нему и выставляем 4.
  6. Делаем перезагрузку и проверяем.

Вот окошко свойств:

Кстати, судя по описанию.. то может отключение службы приведет к каким-то проблемам безопасности, не знаю, но может и нет. В любом случае если что — можно потом включить обратно.

Заключение

  • SgrmBroker.exe — системный процесс, отвечающий за что-то системное, без чего скорее всего жить можно.

Удачи!

Ошибка 0xCAA5001C Операция посредника токена завершилась неудачно - клиент Windows

  • 2 минуты на чтение

В этой статье

В этой статье содержится помощь в устранении ошибки 0xCAA5001C, которая возникает при доступе к Microsoft Store для бизнеса на компьютере под управлением Windows 10.

Исходная версия продукта: Windows 10, версия 1903, Windows 10, версия 1809, Windows 10, версия 1709
Оригинальный номер базы знаний: 3196528

Симптомы

После входа в компьютер под управлением Windows 10 вы пытаетесь получить доступ к Microsoft Store для бизнеса. Однако аутентификация Azure Active Directory не выполняется, и некоторые события регистрируются в журнале Microsoft-Windows-AAD / Operational.

Помимо Microsoft Store для бизнеса, эта проблема может повлиять на корпоративный государственный роуминг.

Причина

Эта проблема возникает, если для одного или обоих следующих разделов реестра отсутствуют разрешения или атрибуты владения:

  • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ CurrentVersion \ AppModel \ SystemAppData \ Microsoft.AAD.BrokerPlugin_cw5n1h3txyewy \ PSR

  • HKEY_USERS \ S-1-5-21-299502267-1950408961-849522115-1818 \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ CurrentVersion \ AppModel \ SystemAppData \ Microsoft.AAD.BrokerPlugin_cw5n1h3txyewy \ PSR

Примечание

Сопоставьте SID, указанный для пользователя в событии с идентификатором 1098, с путем в HKEY_USERS. В этом примере это S-1-5-21-299502267-1950408961-849522115-1818.

Разрешение

Чтобы решить эту проблему, выполните следующие действия:

  1. При необходимости возьмите ключ в собственность (Владелец = СИСТЕМА).
  2. Исправьте разрешения для этих разделов реестра, включив наследование (исправление одного должно исправить оба, если несколько пользователей не входят в систему на одном устройстве):
    • HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ CurrentVersion \ AppModel \ SystemAppData \ Microsoft.AAD.BrokerPlugin_cw5n1h3txyewy \ PSR
    • HKEY_USERS \ S-1-5-21-299502267-1950408961-849522115-1818 \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ CurrentVersion \ AppModel \ SystemAppData \ Microsoft.AAD.BrokerPlugin_cw5n1h3txyewy \ PSR
Учетная запись пользователя домена
Тип Принципал Доступ Унаследовано от Относится к
Разрешить С-1-15-2-1910091885-1573563583-1104941280-2418270861-3411158377-2822700936-2990310272 Значение запроса Нет Только этот ключ
Разрешить СИСТЕМА Полный доступ CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ CurrentVersion \ AppModel \ SystemAppData Этот ключ и подключи
Разрешить ( user @ contoso.com ) Полный доступ CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ CurrentVersion \ AppModel \ SystemAppData Этот ключ и подключи
Разрешить Администраторы (КОМПЬЮТЕР \ Администраторы) Полный доступ CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ CurrentVersion \ AppModel \ SystemAppData Этот ключ и подключи
Разрешить СОЗДАТЕЛЬ ВЛАДЕЛЬЦА Полный доступ CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ CurrentVersion \ AppModel \ SystemAppData Только подключи

Примечание

Если вы просмотрите разрешения раздела реестра ~ \ PSR в HKEY_USERS {SID}, поле Inherited from покажет наследование от пути HKEY_USERS {SID}.

Если это не решит проблему, рассмотрите возможность запуска Process Monitor при выполнении метода проверки подлинности, чтобы найти ЗАПРЕЩЕННЫЙ ДОСТУП в других областях реестра или файловой системы, которые могут вызвать сбой проверки подлинности. Если вы обнаружите такие, добавьте их в эту статью.

.

Web Account Manager (TokenBroker) по умолчанию для службы в Windows 10

Web Account Manager (TokenBroker) по умолчанию для службы в Windows 10

Эта служба используется Web Account Manager для обеспечения единого входа в приложения и службы.

Настройки по умолчанию

Тип запуска: Вручную
Отображаемое имя: Web Account Manager
Название службы: TokenBroker
Тип службы: share
Контроль ошибок: нормальный
Объект: LocalSystem
Путь: % SystemRoot% \ system32 \ svchost.exe -k netsvcs -p
Файл: % SystemRoot% \ System32 \ TokenBroker.dll
Ключ реестра: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ TokenBroker
  • SeTcbPrivilege
  • SeAssignPrimaryTokenPrivilege
  • SeTakeOwnershipPrivilege
  • SeDebugPrivilege

Поведение по умолчанию

Web Account Manager - это служба Win32.В Windows 10 он запускается, только если его запускает пользователь, приложение или другая служба. Когда служба Web Account Manager запущена, она работает как LocalSystem в общем процессе svchost.exe вместе с другими службами. Если Web Account Manager не запускается, подробности сбоя записываются в журнал событий. Затем запустится Windows 10 и уведомит пользователя о том, что служба TokenBroker не запустилась из-за ошибки.

Зависимости

Web Account Manager не может быть запущен ни при каких условиях, если служба User Manager отключена.

Восстановить конфигурацию запуска по умолчанию для Web Account Manager

Прежде чем вы начнете это делать, убедитесь, что все службы, от которых зависит Web Account Manager, настроены по умолчанию и работают правильно. См. Список зависимостей выше.

1. Запустите командную строку от имени администратора.

2. Скопируйте команду ниже, вставьте ее в командное окно и нажмите ENTER:

sc config Запуск TokenBroker = спрос

3. Закройте командное окно и перезагрузите компьютер.

Служба TokenBroker использует файл TokenBroker.dll , который находится в папке % WinDir% \ System32 . Если файл был изменен, поврежден или удален, вы можете восстановить его исходную версию с установочного носителя Windows 10.

.

Первичный токен обновления (PRT) и Azure AD - Azure Active Directory

  • 21 минута на чтение

В этой статье

Первичный токен обновления (PRT) - это ключевой артефакт аутентификации Azure AD в Windows 10, Windows Server 2016 и более поздних версиях, устройствах iOS и Android. Это веб-токен JSON (JWT), специально выпущенный для основных брокеров токенов Microsoft, чтобы включить единый вход (SSO) в приложениях, используемых на этих устройствах.В этой статье мы подробно расскажем о том, как создается, используется и защищается PRT на устройствах с Windows 10.

В этой статье предполагается, что вы уже знакомы с различными состояниями устройств, доступными в Azure AD, и с принципами работы единого входа в Windows 10. Дополнительные сведения об устройствах в Azure AD см. В статье Что такое управление устройствами в Azure Active Directory?

Основная терминология и компоненты

Следующие компоненты Windows играют ключевую роль в запросе и использовании PRT:

  • Поставщик облачной аутентификации (CloudAP): CloudAP - это современный провайдер аутентификации для входа в Windows, который проверяет пользователей, выполняющих вход на устройство Windows 10.CloudAP предоставляет платформу плагинов, которую поставщики удостоверений могут использовать для аутентификации в Windows с использованием учетных данных этого поставщика удостоверений.
  • Web Account Manager (WAM): WAM является брокером токенов по умолчанию на устройствах с Windows 10. WAM также предоставляет платформу подключаемых модулей, на которой поставщики удостоверений могут создавать и включать SSO для своих приложений, полагающихся на этого поставщика удостоверений.
  • Подключаемый модуль Azure AD CloudAP : специальный подключаемый модуль для Azure AD, созданный на платформе CloudAP, который проверяет учетные данные пользователя с помощью Azure AD во время входа в Windows.
  • Подключаемый модуль WAM для Azure AD : Подключаемый модуль для Azure AD, основанный на платформе WAM, который обеспечивает единый вход для приложений, использующих Azure AD для проверки подлинности.
  • Dsreg : специальный компонент Azure AD в Windows 10, который обрабатывает процесс регистрации устройства для всех состояний устройства.
  • Trusted Platform Module (TPM): TPM - это аппаратный компонент, встроенный в устройство, который обеспечивает аппаратные функции безопасности для секретов пользователей и устройств.Более подробную информацию можно найти в статье Обзор технологии доверенных платформенных модулей.

Что содержит PRT?

PRT содержит утверждения, обычно содержащиеся в любом токене обновления Azure AD. Кроме того, в PRT есть претензии, относящиеся к конкретным устройствам. Они следующие:

  • ID устройства : PRT выдается пользователю на определенном устройстве. Заявление об идентификаторе устройства deviceID определяет устройство, на котором PRT был выдан пользователю.Это требование позже выдается токенам, полученным через PRT. Утверждение идентификатора устройства используется для определения авторизации для условного доступа на основе состояния устройства или соответствия.
  • Ключ сеанса : ключ сеанса - это зашифрованный симметричный ключ, созданный службой проверки подлинности Azure AD и выданный как часть PRT. Сеансовый ключ действует как доказательство владения, когда PRT используется для получения токенов для других приложений.

Могу я увидеть, что находится в PRT?

PRT - это непрозрачный большой двоичный объект, отправляемый из Azure AD, содержимое которого не известно ни одному клиентскому компоненту.Вы не можете увидеть, что внутри PRT.

Как выдается PRT?

Регистрация устройства является обязательным условием для проверки подлинности на основе устройства в Azure AD. PRT выдается пользователям только на зарегистрированных устройствах. Более подробные сведения о регистрации устройства см. В статье Windows Hello для бизнеса и Регистрация устройства. Во время регистрации устройства компонент dsreg генерирует два набора пар криптографических ключей:

  • Ключ устройства (dkpub / dkpriv)
  • Транспортный ключ (ткпуб / ткприв)

Закрытые ключи привязываются к TPM устройства, если на устройстве есть действующий и работающий TPM, а открытые ключи отправляются в Azure AD во время процесса регистрации устройства.Эти ключи используются для проверки состояния устройства во время запросов PRT.

PRT выдается во время аутентификации пользователя на устройстве Windows 10 в двух сценариях:

  • Присоединение к Azure AD или Присоединение к гибридному Azure AD : PRT выдается во время входа в Windows, когда пользователь входит в систему с учетными данными своей организации. PRT выдается со всеми поддерживаемыми Windows 10 учетными данными, например паролем и Windows Hello для бизнеса. В этом сценарии подключаемый модуль Azure AD CloudAP является основным органом власти для PRT.
  • Устройство, зарегистрированное в Azure AD. : PRT выдается, когда пользователь добавляет дополнительную рабочую учетную запись на свое устройство Windows 10. Пользователи могут добавить учетную запись в Windows 10 двумя разными способами:
    • Добавление учетной записи через Используйте эту учетную запись везде на этом устройстве запрос после входа в приложение (например, Outlook)
    • Добавление учетной записи из Настройки > Учетные записи > Доступ к работе или учебе > Connect

В сценариях с зарегистрированным устройством в Azure AD подключаемый модуль Azure AD WAM является основным органом власти для PRT, поскольку вход в Windows не выполняется с этой учетной записью Azure AD.

Примечание

Сторонние поставщики удостоверений должны поддерживать протокол WS-Trust, чтобы разрешить выпуск PRT на устройствах с Windows 10. Без WS-Trust PRT не может быть выдан пользователям на гибридных устройствах, подключенных к Azure AD или подключенных к Azure AD. В ADFS требуются только конечные точки с смешанными именами пользователей. Оба adfs / services / trust / 2005 / windowstransport и adfs / services / trust / 13 / windowstransport должны быть включены только как конечные точки, обращенные к интрасети, а НЕ ДОЛЖЕН быть открыт как конечные точки, обращенные к экстрасети, через прокси веб-приложения

Каков срок службы PRT?

После выпуска PRT действителен в течение 14 дней и постоянно обновляется, пока пользователь активно использует устройство.

Как используется PRT?

PRT используется двумя ключевыми компонентами в Windows:

  • Подключаемый модуль Azure AD CloudAP : во время входа в Windows подключаемый модуль Azure AD CloudAP запрашивает PRT из Azure AD с использованием учетных данных, предоставленных пользователем. Он также кэширует PRT, чтобы включить кэшированный вход в систему, когда у пользователя нет доступа к Интернет-соединению.
  • Подключаемый модуль Azure AD WAM : когда пользователи пытаются получить доступ к приложениям, подключаемый модуль Azure AD WAM использует PRT для включения единого входа в Windows 10.Подключаемый модуль Azure AD WAM использует PRT для запроса обновления и токенов доступа для приложений, которые полагаются на WAM для запросов токенов. Он также включает SSO в браузерах, вставляя PRT в запросы браузера. Система единого входа в браузере в Windows 10 поддерживается в Microsoft Edge (изначально) и Chrome (через учетные записи Windows 10 или расширения Office Online).

Как продлить PRT?

PRT обновляется двумя разными способами:

  • Подключаемый модуль Azure AD CloudAP каждые 4 часа : подключаемый модуль CloudAP обновляет PRT каждые 4 часа во время входа в Windows.Если в это время у пользователя нет подключения к Интернету, плагин CloudAP обновит PRT после того, как устройство подключится к Интернету.
  • Подключаемый модуль Azure AD WAM во время запросов маркеров приложения : Подключаемый модуль WAM включает единый вход на устройствах с Windows 10, разрешая автоматические запросы маркеров для приложений. Плагин WAM может обновлять PRT во время этих запросов токенов двумя разными способами:
    • Приложение автоматически запрашивает у WAM токен доступа, но для этого приложения нет доступного токена обновления.В этом случае WAM использует PRT для запроса токена для приложения и возвращает новый PRT в ответ.
    • Приложение запрашивает WAM для токена доступа, но PRT недействителен или для Azure AD требуется дополнительная авторизация (например, Многофакторная аутентификация Azure AD). В этом сценарии WAM инициирует интерактивный вход в систему, требуя от пользователя повторной аутентификации или предоставления дополнительной проверки, и при успешной аутентификации выдается новый PRT.

В среде ADFS прямая видимость контроллера домена не требуется для обновления PRT.Для продления PRT требуется только / adfs / services / trust / 2005 / usernamemixed и / adfs / services / trust / 13 / usernamemixed endpoints включены на прокси-сервере с помощью протокола WS-Trust.

Конечные точки транспорта Windows требуются для аутентификации по паролю только при изменении пароля, а не для обновления PRT.

Основные соображения

  • PRT выдается и обновляется только во время собственной аутентификации приложения. PRT не обновляется и не выдается во время сеанса браузера.
  • В устройствах, присоединенных к Azure AD и гибридных присоединенных к Azure AD, подключаемый модуль CloudAP является основным органом власти для PRT.Если PRT обновляется во время запроса токена на основе WAM, PRT отправляется обратно в подключаемый модуль CloudAP, который проверяет действительность PRT с помощью Azure AD перед его принятием.

Как защищен PRT?

PRT защищен путем привязки его к устройству, на котором пользователь вошел в систему. Azure AD и Windows 10 включают защиту PRT следующими способами:

  • Во время первого входа в систему : Во время первого входа в систему выдается PRT путем подписания запросов с использованием ключа устройства, криптографически сгенерированного во время регистрации устройства.На устройстве с действующим и работающим TPM ключ устройства защищен TPM, предотвращающим любой злонамеренный доступ. PRT не выдается, если подпись ключа соответствующего устройства не может быть проверена.
  • Во время запросов токенов и обновления : при выдаче PRT Azure AD также выдает устройству зашифрованный ключ сеанса. Он зашифровывается с помощью открытого транспортного ключа (tkpub), который создается и отправляется в Azure AD как часть регистрации устройства. Этот сеансовый ключ может быть расшифрован только с помощью закрытого транспортного ключа (tkpriv), защищенного TPM.Ключ сеанса - это ключ подтверждения владения (POP) для любых запросов, отправляемых в Azure AD. Ключ сеанса также защищен TPM, и никакой другой компонент ОС не может получить к нему доступ. Запросы токенов или запросы обновления PRT надежно подписываются этим сеансовым ключом через TPM и, следовательно, не могут быть изменены. Azure AD аннулирует любые запросы от устройства, не подписанные соответствующим ключом сеанса.

Защищая эти ключи с помощью TPM, злоумышленники не могут украсть ключи или воспроизвести PRT где-либо еще, поскольку TPM недоступен, даже если злоумышленник физически владеет устройством.Таким образом, использование TPM значительно повышает безопасность присоединенных к Azure AD, гибридных присоединенных к Azure AD и зарегистрированных в Azure AD устройств от кражи учетных данных. Для обеспечения производительности и надежности TPM 2.0 является рекомендуемой версией для всех сценариев регистрации устройств Azure AD в Windows 10.

Как защищены токены приложений и файлы cookie браузера?

Токены приложений : когда приложение запрашивает токен через WAM, Azure AD выдает токен обновления и токен доступа. Однако WAM только возвращает токен доступа приложению и защищает токен обновления в своем кэше, шифруя его с помощью ключа пользовательского интерфейса программирования защиты данных (DPAPI).WAM безопасно использует токен обновления, подписывая запросы ключом сеанса для выдачи дополнительных токенов доступа. Ключ DPAPI защищен симметричным ключом на основе Azure AD в самом Azure AD. Когда устройству необходимо расшифровать профиль пользователя с помощью ключа DPAPI, Azure AD предоставляет ключ DPAPI, зашифрованный с помощью сеансового ключа, который подключаемый модуль CloudAP запрашивает расшифровку TPM. Эта функция обеспечивает согласованность в защите токенов обновления и позволяет избежать приложений, реализующих собственные механизмы защиты.

Файлы cookie браузера : в Windows 10 Azure AD поддерживает единый вход в браузере в Internet Explorer и Microsoft Edge изначально или в Google Chrome через расширение учетных записей Windows 10. Безопасность построена не только для защиты файлов cookie, но и для конечных точек, на которые отправляются файлы cookie. Файлы cookie браузера защищены так же, как и PRT, за счет использования сеансового ключа для подписи и защиты файлов cookie.

Когда пользователь инициирует взаимодействие с браузером, браузер (или расширение) вызывает собственный клиентский хост COM.Собственный клиентский хост гарантирует, что страница находится в одном из разрешенных доменов. Браузер может отправлять на собственный клиентский хост другие параметры, включая одноразовый номер, однако собственный клиентский хост гарантирует проверку имени хоста. Собственный клиентский хост запрашивает PRT-cookie у плагина CloudAP, который создает и подписывает его с помощью сеансового ключа, защищенного TPM. Поскольку PRT-cookie подписан сеансовым ключом, его нельзя изменить. Этот файл cookie PRT включен в заголовок запроса для Azure AD для проверки устройства, с которого он исходит.При использовании браузера Chrome только расширение, явно определенное в манифесте собственного клиентского хоста, может вызывать его, предотвращая выполнение этих запросов произвольными расширениями. После того как Azure AD проверяет файл cookie PRT, он отправляет в браузер файл cookie сеанса. Этот файл cookie сеанса также содержит тот же ключ сеанса, что и PRT. Во время последующих запросов ключ сеанса проверяется, эффективно привязывая файл cookie к устройству и предотвращая повторы из других источников.

Когда PRT получает заявку MFA?

PRT может получить требование многофакторной аутентификации (MFA) в определенных сценариях.Когда PRT на основе MFA используется для запроса токенов для приложений, утверждение MFA передается этим токенам приложений. Эта функция обеспечивает удобство работы пользователей, предотвращая вызов MFA для каждого приложения, которое в ней нуждается. PRT может получить требование MFA следующими способами:

  • Войдите в систему с помощью Windows Hello для бизнеса : Windows Hello для бизнеса заменяет пароли и использует криптографические ключи для обеспечения надежной двухфакторной аутентификации. Windows Hello для бизнеса специфична для пользователя на устройстве и сама требует MFA для подготовки.Когда пользователь входит в систему с помощью Windows Hello для бизнеса, PRT пользователя получает заявку MFA. Этот сценарий также применяется к пользователям, входящим в систему с помощью смарт-карт, если проверка подлинности смарт-карты вызывает утверждение MFA от ADFS.
    • Поскольку Windows Hello для бизнеса считается многофакторной аутентификацией, утверждение MFA обновляется при обновлении самого PRT, поэтому продолжительность MFA будет постоянно увеличиваться, когда пользователи входят в систему с помощью WIndows Hello for Business
  • MFA во время интерактивного входа в WAM. : во время запроса токена через WAM, если пользователю требуется выполнить MFA для доступа к приложению, PRT, который обновляется во время этого взаимодействия, отпечатывается с утверждением MFA.
    • В этом случае утверждение MFA не обновляется постоянно, поэтому продолжительность MFA зависит от времени жизни, установленного для каталога.
    • Когда предыдущие существующие PRT и RT используются для доступа к приложению, PRT и RT будут рассматриваться как первое доказательство аутентификации. Потребуется новый AT со вторым доказательством и отпечатанным заявлением MFA. Это также выдаст новый PRT и RT.
  • MFA во время регистрации устройства : если администратор настроил параметры своего устройства в Azure AD таким образом, чтобы MFA регистрировала устройства, пользователю необходимо выполнить MFA для завершения регистрации.Во время этого процесса PRT, который выдается пользователю, имеет утверждение MFA, полученное во время регистрации. Эта возможность применяется только к пользователю, выполнившему операцию присоединения, а не к другим пользователям, которые входят в систему на этом устройстве.
    • Как и при интерактивном входе в WAM, утверждение MFA не обновляется постоянно, поэтому продолжительность MFA зависит от времени жизни, установленного для каталога.

Windows 10 поддерживает разделенный список PRT для каждой учетной записи. Итак, существует PRT для каждого из Windows Hello для бизнеса, пароля или смарт-карты.Такое разделение гарантирует, что утверждения MFA изолированы на основе используемых учетных данных и не смешиваются во время запросов токенов.

Как сделать PRT недействительным?

PRT становится недействительным в следующих случаях:

  • Недействительный пользователь : если пользователь удален или отключен в Azure AD, его PRT становится недействительным и не может использоваться для получения токенов для приложений. Если удаленный или отключенный пользователь уже выполнил вход на устройство ранее, кэшированный вход будет выполнять его вход до тех пор, пока CloudAP не узнает об их недопустимом состоянии.Как только CloudAP определяет, что пользователь недействителен, он блокирует последующие входы в систему. Недействительный пользователь автоматически блокируется от входа на новые устройства, учетные данные которых не кэшированы.
  • Недопустимое устройство : если устройство удалено или отключено в Azure AD, PRT, полученный на этом устройстве, становится недействительным и не может использоваться для получения токенов для других приложений. Если пользователь уже вошел в систему на недопустимом устройстве, он может продолжить это делать. Но все токены на устройстве недействительны, и у пользователя нет единого входа для каких-либо ресурсов с этого устройства.
  • Изменение пароля : после изменения пароля пользователем PRT, полученный с помощью предыдущего пароля, становится недействительным в Azure AD. Смена пароля приводит к тому, что пользователь получает новый PRT. Аннулирование может происходить двумя разными способами:
    • Если пользователь входит в Windows с новым паролем, CloudAP отбрасывает старый PRT и запрашивает Azure AD выдать новый PRT с новым паролем. Если у пользователя нет подключения к Интернету, новый пароль не может быть подтвержден, Windows может потребовать от пользователя ввести старый пароль.
    • Если пользователь вошел в систему со своим старым паролем или изменил свой пароль после входа в Windows, старый PRT используется для любых запросов токенов на основе WAM. В этом сценарии пользователю предлагается повторно пройти аутентификацию во время запроса токена WAM, и выдается новый PRT.
  • Проблемы TPM : Иногда TPM устройства может давать сбой или сбой, что приводит к недоступности ключей, защищенных TPM. В этом случае устройство не может получить PRT или запросить токены с использованием существующего PRT, поскольку оно не может доказать владение криптографическими ключами.В результате любой существующий PRT становится недействительным в Azure AD. Когда Windows 10 обнаруживает сбой, она инициирует процесс восстановления для повторной регистрации устройства с новыми криптографическими ключами. При гибридном присоединении к Azure Ad, как и при первоначальной регистрации, восстановление происходит автоматически, без ввода данных пользователем. Для устройств, подключенных к Azure AD или зарегистрированных в Azure AD, восстановление должно выполняться пользователем, имеющим права администратора на устройстве. В этом сценарии процесс восстановления инициируется приглашением Windows, которое помогает пользователю успешно восстановить устройство.

Детализированные потоки

На следующих схемах показаны основные детали выпуска, обновления и использования PRT для запроса маркера доступа для приложения. Кроме того, эти шаги также описывают, как вышеупомянутые механизмы безопасности применяются во время этих взаимодействий.

Выдача PRT при первом входе в

Примечание

В устройствах, присоединенных к Azure AD, этот обмен происходит синхронно для выдачи PRT перед тем, как пользователь сможет войти в Windows.В гибридных устройствах, подключенных к Azure AD, локальная служба Active Directory является основным центром управления. Таким образом, пользователь только ждет, пока он сможет получить TGT для входа в систему, в то время как выдача PRT происходит асинхронно. Этот сценарий не применяется к зарегистрированным устройствам Azure AD, поскольку для входа в систему не используются учетные данные Azure AD.

Плагин Плагин Плагин
Шаг Описание
A Пользователь вводит свой пароль в пользовательском интерфейсе входа. LogonUI передает учетные данные в буфере аутентификации в LSA, который, в свою очередь, передает их внутри CloudAP.CloudAP пересылает этот запрос плагину CloudAP.
B CloudAP инициирует запрос на обнаружение области для идентификации поставщика удостоверений для пользователя. Если у клиента пользователя настроен поставщик федерации, Azure AD возвращает конечную точку обмена метаданными (MEX) поставщика федерации. Если нет, Azure AD возвращает информацию о том, что пользователь находится под управлением, что указывает на то, что пользователь может пройти проверку подлинности с помощью Azure AD.
С Если пользователь находится под управлением, CloudAP получит одноразовый номер от Azure AD.Если пользователь является федеративным, плагин CloudAP запрашивает у поставщика федерации токен SAML с учетными данными пользователя. Получив токен SAML, он запрашивает одноразовый номер из Azure AD.
D CloudAP создает запрос аутентификации с учетными данными пользователя, одноразовым номером и областью брокера, подписывает запрос с помощью ключа устройства (dkpriv) и отправляет его в Azure AD. В федеративной среде плагин CloudAP использует токен SAML, возвращенный поставщиком федерации, вместо учетных данных пользователя.
E Azure AD проверяет учетные данные пользователя, одноразовый номер и подпись устройства, проверяет допустимость устройства в клиенте и выдает зашифрованный PRT. Наряду с PRT, Azure AD также выдает симметричный ключ, называемый сеансовым ключом, зашифрованным Azure AD с помощью транспортного ключа (tkpub). Кроме того, сеансовый ключ также встроен в PRT. Этот сеансовый ключ действует как ключ подтверждения владения (PoP) для последующих запросов к PRT.
Ф CloudAP передает зашифрованный PRT и ключ сеанса в CloudAP.CloudAP запрашивает TPM для расшифровки сеансового ключа с помощью транспортного ключа (tkpriv) и повторного шифрования с использованием собственного ключа TPM. CloudAP хранит зашифрованный сеансовый ключ в своем кэше вместе с PRT.

Продление PRT при последующих входах в систему

Плагин Подключаемый модуль Плагин
Шаг Описание
A Пользователь вводит свой пароль в пользовательском интерфейсе входа. LogonUI передает учетные данные в буфере аутентификации в LSA, который, в свою очередь, передает их внутри CloudAP.CloudAP пересылает этот запрос плагину CloudAP.
B Если пользователь ранее входил в систему, Windows инициирует кэшированный вход и проверяет учетные данные для входа пользователя. Каждые 4 часа подключаемый модуль CloudAP запускает обновление PRT асинхронно.
С CloudAP инициирует запрос на обнаружение области для идентификации поставщика удостоверений для пользователя. Если у клиента пользователя настроен поставщик федерации, Azure AD возвращает конечную точку обмена метаданными (MEX) поставщика федерации.Если нет, Azure AD возвращает информацию о том, что пользователь находится под управлением, что указывает на то, что пользователь может пройти проверку подлинности с помощью Azure AD.
D Если пользователь является федеративным, подключаемый модуль CloudAP запрашивает у поставщика федерации токен SAML с учетными данными пользователя. Получив токен SAML, он запрашивает одноразовый номер из Azure AD. Если пользователь находится под управлением, CloudAP получит одноразовый номер напрямую из Azure AD.
E CloudAP создает запрос аутентификации с учетными данными пользователя, одноразовым номером и существующим PRT, подписывает запрос с помощью сеансового ключа и отправляет его в Azure AD.В федеративной среде плагин CloudAP использует токен SAML, возвращенный поставщиком федерации, вместо учетных данных пользователя.
Ф Azure AD проверяет подпись сеансового ключа, сравнивая его с сеансовым ключом, встроенным в PRT, проверяет одноразовый номер и проверяет, допустимо ли устройство в клиенте, и выдает новый PRT. Как было замечено ранее, PRT снова сопровождается сеансовым ключом, зашифрованным транспортным ключом (tkpub).
G CloudAP передает зашифрованный PRT и ключ сеанса в CloudAP.CloudAP запрашивает TPM расшифровать сеансовый ключ с помощью транспортного ключа (tkpriv) и повторно зашифровать его, используя собственный ключ TPM. CloudAP хранит зашифрованный сеансовый ключ в своем кэше вместе с PRT.

Примечание

PRT может быть обновлен извне без необходимости подключения VPN, когда конечные точки с смешанным именем пользователя включены извне.

Использование PRT при запросах токенов приложения

Плагин
Шаг Описание
A Приложение (например, Outlook, OneNote и т. Д.) инициирует запрос токена к WAM. WAM, в свою очередь, запрашивает подключаемый модуль Azure AD WAM для обслуживания запроса токена.
B Если токен обновления для приложения уже доступен, подключаемый модуль Azure AD WAM использует его для запроса токена доступа. Чтобы предоставить подтверждение привязки устройства, плагин WAM подписывает запрос с помощью сеансового ключа. Azure AD проверяет ключ сеанса и выдает токен доступа и новый токен обновления для приложения, зашифрованный с помощью ключа сеанса. Плагин WAM запрашивает плагин Cloud AP для расшифровки токенов, который, в свою очередь, запрашивает TPM для расшифровки с использованием ключа сеанса, в результате чего плагин WAM получает оба токена.Затем плагин WAM предоставляет приложению только токен доступа, при этом он повторно шифрует токен обновления с помощью DPAPI и сохраняет его в своем собственном кэше
С Если токен обновления для приложения недоступен, подключаемый модуль Azure AD WAM использует PRT для запроса токена доступа. Чтобы предоставить подтверждение владения, плагин WAM подписывает запрос, содержащий PRT, сеансовым ключом. Azure AD проверяет подпись ключа сеанса, сравнивая его с ключом сеанса, встроенным в PRT, проверяет, является ли устройство допустимым, и выдает токен доступа и токен обновления для приложения.кроме того, Azure AD может выдать новый PRT (на основе цикла обновления), все они зашифрованы с помощью сеансового ключа.
D WAM запрашивает плагин Cloud AP для расшифровки токенов, который, в свою очередь, запрашивает TPM для дешифрования с помощью сеансового ключа, в результате чего плагин WAM получает оба токена. Затем плагин WAM предоставляет приложению только токен доступа, при этом он повторно шифрует токен обновления с помощью DPAPI и сохраняет его в собственном кэше. Плагин WAM будет использовать токен обновления для этого приложения.Плагин WAM также возвращает новый плагин PRT to Cloud AP, который проверяет PRT с помощью Azure AD перед обновлением его в собственном кэше. Плагин Cloud AP будет использовать новый PRT в будущем.
E WAM предоставляет недавно выпущенный маркер доступа для WAM, который, в свою очередь, возвращает его вызывающему приложению.

Система единого входа в браузере с использованием PRT

Шаг Описание
A Пользователь входит в Windows со своими учетными данными, чтобы получить PRT.Когда пользователь открывает браузер, браузер (или расширение) загружает URL-адреса из реестра.
B Когда пользователь открывает URL-адрес для входа в Azure AD, браузер или расширение проверяет URL-адрес с теми, которые получены из реестра. Если они совпадают, браузер вызывает собственный клиентский хост для получения токена.
С Собственный клиентский хост проверяет принадлежность URL-адресов поставщикам удостоверений Microsoft (учетной записи Microsoft или Azure AD), извлекает одноразовый идентификатор, отправленный из URL-адреса, и вызывает подключаемый модуль CloudAP для получения файла cookie PRT.
D Плагин CloudAP создаст файл cookie PRT, войдет в систему с привязанным к TPM ключом сеанса и отправит его обратно на собственный клиентский хост. Поскольку файл cookie подписан сеансовым ключом, его нельзя изменить.
E Собственный клиентский узел вернет этот файл cookie PRT в браузер, который включит его как часть заголовка запроса с именем x-ms-RefreshTokenCredential и токенов запроса из Azure AD.
Ф Azure AD проверяет подпись сеансового ключа в файле cookie PRT, проверяет одноразовый номер, проверяет допустимость устройства в клиенте и выдает маркер идентификатора для веб-страницы и зашифрованный файл cookie сеанса для браузера.

Примечание

Процесс единого входа в браузере, описанный выше, не применяется для сеансов в частных режимах, таких как InPrivate в Microsoft Edge или Incognito в Google Chrome (при использовании расширения учетных записей Microsoft).

Следующие шаги

Дополнительные сведения об устранении проблем, связанных с PRT, см. В статье Устранение неполадок гибридных устройств Azure Active Directory, подключенных к Windows 10 и Windows Server 2016.

.

Повышение производительности VPN в Microsoft

Современные сотрудники становятся все более мобильными, и им требуется гибкость, чтобы выполнять работу вне офиса. Каждый будний день в среднем от 45 000 до 55 000 сотрудников Microsoft используют подключение к виртуальной частной сети (VPN) для удаленного подключения к корпоративной сети. По выходным и в непиковые часы это число лишь незначительно снижается до 25–35 000. Microsoft Core Services Engineering and Operations (CSEO) в рамках нашей общей стратегии нулевого доверия модернизировал инфраструктуру VPN в Microsoft, упростив проектирование и консолидировав точки доступа.Мы увеличили емкость и надежность, а также снизили зависимость от VPN, переместив сервисы и приложения в облако.

Обеспечение беспрепятственного удаленного доступа

Удаленный доступ в Microsoft зависит от клиента VPN, нашей инфраструктуры VPN и общедоступных облачных сервисов. У нас было несколько итеративных проектов службы VPN внутри Microsoft. В прошлом региональные погодные явления требовали значительного увеличения числа сотрудников, работающих из дома, сильно нагружали инфраструктуру VPN и требовали совершенно нового дизайна.Три года назад мы создали совершенно новую инфраструктуру VPN, гибридную конструкцию, с использованием служб балансировки нагрузки и идентификации Microsoft Azure Active Directory (Azure AD) с устройствами шлюза на наших глобальных сайтах.

Ключом к нашему успеху в области удаленного доступа стало наше решение развернуть конфигурацию с раздельным туннелем для большинства сотрудников. Мы перенесли почти 100% ранее локальных ресурсов в Azure и Office 365. Наши постоянные усилия по модернизации приложений сокращают трафик в наших частных корпоративных сетях, поскольку облачные архитектуры допускают прямые подключения к Интернету.Переход к приложениям с доступом в Интернет и дизайну VPN с раздельным туннелированием резко снизил нагрузку на серверы VPN в большинстве регионов мира.

Использование профилей VPN для улучшения взаимодействия с пользователем

Мы используем Microsoft Endpoint Manager для управления нашими подключенными к домену и Azure AD компьютерами и мобильными устройствами, которые зарегистрированы в службе. В нашей конфигурации профили VPN реплицируются через Microsoft Intune и применяются к зарегистрированным устройствам; к ним относится выдача сертификатов, которые мы создаем в Configuration Manager для устройств с Windows 10.Мы поддерживаем VPN-подключение устройств Mac и Linux со сторонним клиентом с использованием аутентификации на основе SAML.

Мы используем аутентификацию на основе сертификатов (инфраструктура открытого ключа или PKI) и решения для многофакторной аутентификации. Когда сотрудники впервые используют профиль подключения Auto-On VPN, им предлагается пройти строгую аутентификацию. Наша инфраструктура VPN поддерживает Windows Hello для бизнеса и многофакторную аутентификацию. После успешной аутентификации он хранит криптографически защищенный сертификат, который позволяет установить постоянное или автоматическое соединение.

Для получения дополнительных сведений о том, как мы используем Microsoft Intune и Endpoint Manager в рамках нашей стратегии управления устройствами, см. Управление устройствами Windows 10 с помощью Microsoft Intune.

Настройка и установка профилей VPN-подключения

Мы создали профили VPN, которые содержат всю информацию, необходимую устройству для подключения к корпоративной сети, включая поддерживаемые методы аутентификации и шлюзы VPN, к которым должно подключаться устройство. Мы создали профили подключения для присоединенных к домену и управляемых Microsoft Intune устройств с помощью Microsoft Endpoint Manager.

Дополнительные сведения о создании профилей VPN см. В разделах Профили VPN в Configuration Manager и Создание профилей VPN в Configuration Manager.

Пользовательский профиль Microsoft Intune для устройств под управлением Intune использует параметры универсального идентификатора ресурса Open Mobile Alliance (OMA-URI) с типом данных XML, как показано на рисунке 1.

Рис. 1. Создание XML профиля и редактирование параметров OMA-URI для создания профиля подключения в System Center Configuration Manager

Установка профиля VPN-подключения

Профиль VPN-подключения устанавливается с помощью сценария на подключенных к домену компьютерах под управлением Windows 10 с помощью политики в диспетчере конечных точек.

Дополнительные сведения о том, как мы используем Microsoft Intune в рамках нашей стратегии управления мобильными устройствами, см. В разделе «Управление мобильными устройствами в Microsoft».

Условный доступ

Мы используем дополнительную функцию, которая проверяет работоспособность устройства и корпоративные политики, прежде чем разрешить ему подключение. Условный доступ поддерживается профилями подключения, и мы начали использовать эту функцию в нашей среде.

Вместо того, чтобы просто полагаться на сертификат управляемого устройства для «прохождения» или «отказа» для VPN-соединения, условный доступ помещает машины в состояние карантина при проверке последних требований безопасности до

.

токенов доступа - приложения Win32

  • 3 минуты на чтение

В этой статье

Маркер доступа - это объект, который описывает контекст безопасности процесса или потока . Информация в токене включает идентификатор и привилегии учетной записи пользователя, связанной с процессом или потоком.Когда пользователь входит в систему, система проверяет пароль пользователя, сравнивая его с информацией, хранящейся в базе данных безопасности. Если пароль аутентифицирован , система выдает маркер доступа. Каждый процесс, выполняемый от имени этого пользователя, имеет копию этого токена доступа.

Система использует маркер доступа для идентификации пользователя, когда поток взаимодействует с защищаемым объектом или пытается выполнить системную задачу, требующую привилегий. Жетоны доступа содержат следующую информацию:

  • Идентификатор безопасности (SID) учетной записи пользователя
  • SID групп, членом которых является пользователь
  • Идентификатор безопасности входа в систему , который идентифицирует текущий сеанс входа в систему
  • Список привилегий, которыми обладает пользователь или группы пользователей.
  • Собственник SID
  • SID для основной группы
  • DACL по умолчанию, который система использует, когда пользователь создает защищаемый объект без указания дескриптора безопасности
  • Источник токена доступа
  • Является ли токен первичным или токеном олицетворения
  • Необязательный список ограничивающих SID
  • Текущие уровни олицетворения
  • Прочая статистика

Каждый процесс имеет первичный токен , который описывает контекст безопасности учетной записи пользователя, связанной с процессом.По умолчанию система использует первичный токен, когда поток процесса взаимодействует с защищаемым объектом. Более того, поток может выдавать себя за учетную запись клиента. Олицетворение позволяет потоку взаимодействовать с защищаемыми объектами, используя контекст безопасности клиента. Поток, который олицетворяет клиента, имеет как первичный токен, так и токен олицетворения .

Используйте функцию OpenProcessToken , чтобы получить дескриптор первичного токена процесса. Используйте функцию OpenThreadToken , чтобы получить дескриптор токена олицетворения потока.Для получения дополнительной информации см. Выдача себя за другое лицо.

Для управления токенами доступа можно использовать следующие функции.

Функция Описание
AdjustTokenGroups Изменяет информацию о группе в маркере доступа.
AdjustTokenPrivileges Включает или отключает привилегии в токене доступа. Он не предоставляет новые привилегии и не отменяет существующие.
CheckTokenЧленство Определяет, включен ли указанный SID в указанном токене доступа.
CreateRestrictedToken Создает новый токен, который является ограниченной версией существующего токена. Ограниченный маркер может иметь отключенные идентификаторы безопасности, удаленные привилегии и список ограниченных идентификаторов безопасности.
DuplicateToken Создает новый токен олицетворения, который дублирует существующий токен.
DuplicateTokenEx Создает новый первичный токен или токен олицетворения, который дублирует существующий токен.
GetTokenInformation Получает информацию о токене.
IsTokenRestricted Определяет, есть ли у токена список ограничивающих SID.
OpenProcessToken Извлекает дескриптор первичного токена доступа для процесса.
OpenThreadToken Извлекает дескриптор маркера доступа олицетворения для потока.
SetThreadToken Назначает или удаляет токен олицетворения для потока.
SetTokenInformation Изменяет владельца токена, основную группу или DACL по умолчанию.

Функции токена доступа используют следующие структуры для описания частей токена доступа.

Конструкция Описание
TOKEN_CONTROL Информация, идентифицирующая маркер доступа.
TOKEN_DEFAULT_DACL DACL по умолчанию, который система использует в дескрипторах безопасности новых объектов, созданных потоком.
TOKEN_GROUPS Задает идентификаторы безопасности и атрибуты групповых идентификаторов безопасности в маркере доступа.
TOKEN_OWNER Идентификатор безопасности владельца по умолчанию для дескрипторов безопасности новых объектов.
TOKEN_PRIMARY_GROUP Идентификатор безопасности основной группы по умолчанию для дескрипторов безопасности новых объектов.
ПРИВИЛЕГИИ ТОКЕНОВ Привилегии, связанные с маркером доступа. Также определяет, включены ли привилегии.
ТОКЕН_ИСТОЧНИК Источник токена доступа.
TOKEN_STATISTICS Статистика, связанная с токеном доступа.
TOKEN_USER SID пользователя, связанного с маркером доступа.

Функции токена доступа используют следующие типы перечисления.

Тип перечисления Указывает
TOKEN_INFORMATION_CLASS Определяет тип информации, которая устанавливается или извлекается из токена доступа.
TOKEN_TYPE Определяет токен доступа как основной токен или токен олицетворения.

.

Что такое Runtime Broker и исправление его высокой ошибки ЦП в Windows 10 [решено]



Runtime Broker
- это процесс Windows в диспетчере задач. Он помогает управлять разрешениями для приложений из Магазина Windows в Windows 10. Обычно он должен использовать совсем немного памяти и очень низкую загрузку ЦП. Но по некоторым причинам Runtime Broker точно поддерживает высокую загрузку ЦП, чтобы ваша Windows 10 работала медленно. Если вы столкнулись с такой ошибкой в ​​своей Windows 10, не беспокойтесь.Вот ответ для вас.

Поскольку он используется для управления приложениями из Магазина Windows, Runtime Broker необходим для защиты вашей безопасности и конфиденциальности Windows 10 при запуске этих приложений. В таком случае мы рекомендуем вам не пытаться отключить его в диспетчере задач, чтобы исправить ошибку.

Здесь мы представляем 2 проверенных исправлений для него.

Исправление 1. Отключите параметр «Получать советы, рекомендации и предложения при использовании Windows».

Исправление 2.Отключить фоновые приложения

Исправление 1. Отключите параметр «Получайте советы, рекомендации и предложения при использовании Windows».

Многие пользователи Windows 10 сообщили, что отключение подсказок Windows немедленно снижает использование ЦП. Так что обязательно попробуйте.

Как:

1)
Нажмите кнопку Settings в меню Start .



2)
Щелкните System .



3)
Щелкните Уведомления и действия на левой панели.
Затем прокрутите вниз, чтобы снять флажок. Получать советы, рекомендации и предложения при использовании Windows на правой панели.



Вы избавитесь от ошибки с помощью этой ошибки. Если проблема все еще возникает, попробуйте следующее исправление.


Fix 2.Отключить фоновые приложения

1)
Перейдите к Settings как шаг 1) показано в Fix 1 .

2)
Нажмите Конфиденциальность .



3)
Прокрутите вниз на левой панели, чтобы выбрать Фоновые приложения .
И снимите флажки с запущенных приложений.




Вот и все.


Если у вас есть какие-либо вопросы, пожалуйста, оставьте комментарий ниже.


.

Смотрите также