Registry, Sam, Lsass.exe, Uac, Service, Driver

מבוא

מערכת ההפעלה ‪Windows‬ מציעה מגוון רכיבים ותהליכים שנועדו לאפשר ניהול ואבטחה של המערכת.
במהלך השימוש היומיומי, אנו מסתמכים על מאגר ההגדרות המכונה ‪Registry‬, על מנגנוני אבטחה כמו ‪SAM‬ ו‪LSASS‬, וכן על כלי בקרת משתמש כגון ‪UAC‬.
בנוסף, שירותי מערכת ודרייברים ממלאים תפקיד חיוני בכדי להבטיח הפעלה תקינה של רכיבי החומרה והתוכנה.
המדריך שלפניכם יסביר בהרחבה כיצד כל אחד מהמרכיבים פועל.
מומלץ להכיר את התכנים לעומק, כיוון שחלק מהנושאים עשויים להופיע גם במהלך הכנה למיונים גאמא סייבר.

היכרות מעמיקה עם מרכיבים אלו נדרשת לעתים קרובות במסגרות שונות בתחום הטכנולוגיה.
העקרונות המפורטים כאן עשויים לסייע למי שמתעתד להתקבל ליחידה 8200 או לעסוק בתחומי אבטחת מידע.
הבנת התפקיד של ‪Registry‬ והקשר שלו ל‪SAM‬ ו‪LSASS‬ חשובה להבטחת יציבות המערכת ולמניעת גישה בלתי מורשית לנתונים.

היכרות עם ‪Registry‬ והמבנה שלו

ה‪Registry‬ הוא מאגר מרכזי שמאחסן את הגדרות מערכת ההפעלה, תוכנות צד שלישי ומידע הכרחי נוסף.
ניתן לדמות אותו למעין בסיס נתונים פנימי המכיל הגדרות שונות.
הוא מחולק למספר יחידות לוגיות הנקראות ‪Hives‬, ובתוכן קיימים אובייקטים המכונים ‪Keys‬ ו‪Values‬.
כל ‪Hive‬ מרכז קבוצה מסוימת של הגדרות, למשל הגדרות משתמש מקומי או הגדרות מערכת כלליות.
שינוי ב‪Registry‬ משפיע מיידית על התנהגות מערכת ההפעלה ועלול להשפיע גם על תוכנות מותקנות.

על אף שה‪Registry‬ הוא מרכיב חיוני ליציבות המערכת, ניתן לערוך אותו באמצעות כלים שונים.
כלי גרפי לדוגמה הוא ‪regedit‬, המאפשר למצוא מפתחות מבוקשים ולשנות ערכים שונים.
רצוי מאוד לנקוט זהירות בעת ביצוע שינויים, מכיוון שטעות קטנה בערך או במסלול עלולה לגרום לתקלות קשות ולעתים אף למנוע עליית המערכת.
במקרים מורכבים, מומלץ לגבות את ה‪Registry‬ לפני ביצוע שינויים מרחיקי לכת.

מהו ‪Hive‬ ב‪Registry‬

כל ‪Hive‬ ב‪Registry‬ מתפקד כיחידה עצמאית המכילה מבנים של ‪Keys‬ ו‪Values‬.
למעשה, זהו קובץ או קבוצת קבצים בדיסק המכילים הגדרות מסוימות של מערכת ההפעלה או הגדרות של משתמשים.
למשל, אחד המיקומים המפורסמים הוא ‪HKEY_LOCAL_MACHINE‬, שם מאוחסנות הגדרות כלליות של המערכת עצמה, בעוד ‪HKEY_CURRENT_USER‬ מכיל נתונים עבור המשתמש הנוכחי.
ארגון המידע בתוך ‪Hives‬ נועד להקל על תחזוקת המערכת ולאפשר העלאה ופריקה מהירה של הגדרות בעת הצורך.

חשוב להבין שמידע שנשמר בכל ‪Hive‬ משפיע על הפעולה היומיומית של המערכת ועל האופן שבו תוכנות שונות פועלות.
בעזרת חלוקה זו אפשר גם להגן על חלקים שונים של ה‪Registry‬ ולייצר התנהגות מבודלת בין משתמשים שונים.

ניהול חשבונות משתמש באמצעות ‪SAM‬

ה‪SAM‬ או בשמו המלא Security Account Manager הוא רכיב המספק ניהול ושמירה של חשבונות משתמשים ב‪Windows‬.
פרטי הסיסמה אינם שמורים בטקסט גלוי אלא במבנים מוצפנים שנמצאים ב‪Registry‬.
כך גם משתמש בעל הרשאות גבוהות אינו יכול פשוט לפתוח את הקובץ ולקרוא את הסיסמה.
זהו אמצעי הגנה קריטי מפני גישה לא מורשית, שכן הדלפת הסיסמאות יכולה לגרום לתוקפים לחדור למערכת כמשתמשים רשמיים.

כאשר מתבצע תהליך כניסה למערכת, ה‪SAM‬ בודק אם שם המשתמש והסיסמה הנמסרים תואמים לערכים המוצפנים.
במקרה של פגיעה ב‪SAM‬, ייתכן שתתרחש השבתה של יכולת אימות המשתמשים.
זו אחת הסיבות שבגללן גיבוי ושמירה על תקינות ה‪Registry‬ הם שלבים חשובים בתחזוקת אבטחת המידע במערכת.

מנגנון ‪LSASS‬ ותהליך ‪lsass.exe‬

ה‪LSASS‬ הוא קיצור של Local Security Authority Subsystem Service.
זהו תהליך קריטי ב‪Windows‬ האחראי על אימות זהויות משתמשים, הפקת אסימוני גישה וניהול מנגנוני האבטחה הכלליים.
כאשר משתמש מבצע כניסה, ה‪LSASS‬ הוא זה שבודק את האישורים, ויוצר את ההרשאות המתאימות לגישה למשאבי המערכת.
התהליך מופעל תחת השם ‪lsass.exe‬ וחשוב שלא להפריע לו או לסגור אותו ללא סיבה.

אם ה‪LSASS‬ מפסיק לפעול, לא ניתן לאמת משתמשים או לבדוק הרשאות.
מצב כזה עלול להביא לבעיות אבטחה חמורות או לאי יכולת להיכנס למערכת כלל.
תוכנות אבטחה מתקדמות עוקבות אחר התהליך, משום שמתקפות מסוימות מנסות להשתלט עליו כדי לדלות סיסמאות מהזיכרון או לשבש את פעילותו.

חשיבות מנגנון ‪UAC‬

‪UAC‬ הוא קיצור של User Account Control.
זהו מנגנון שנועד להגביר את האבטחה ולמנוע הפעלת פעולות קריטיות ללא הסכמה מפורשת של המשתמש.
כאשר תוכנה מסוימת מנסה לבצע שינוי ברמת מערכת, ה‪UAC‬ מציג התראה ומבקש אישור להעלאת ההרשאות.
תכונה זו מפחיתה את הסיכון שהמשתמש, או תוכנה זדונית הפועלת ברקע, יגרמו נזק למערכת.

באופן ברירת מחדל, משתמשים בעלי הרשאות מנהל לא פועלים בכל עת כמשתמשי-על.
רק לאחר אישור מפורש באמצעות חלונית ה‪UAC‬ הם מקבלים הרשאות מנהל מלאות לביצוע הפעולה הנדרשת.
בכך מצטמצם טווח הפעולה של תוכנות לא מהימנות, והמערכת הופכת בטוחה יותר מפני התקפות שאינן דורשות אינטראקציה רבה מצד המשתמש.

מהו שירות ‪Windows‬ וכיצד הוא פועל

שירות הוא תוכנה שפועלת ללא ממשק משתמש.
ב‪Windows‬, שירותים מתוחזקים בטיפול אוטומטי או ידני ופועלים בדרך כלל ברקע.
למשל, שירות הדפסה, שירות עדכונים או שירות ניהול רשת.
ניתן לנהל שירותים דרך הכלי הגרפי ‪Services.msc‬ או בעזרת פקודות בשורת הפקודה כמו ‪sc‬.

ברגע שהמערכת עולה, חלק מהשירותים מתחילים לפעול באופן אוטומטי ומספקים מגוון פונקציות לליבה של מערכת ההפעלה.
חלק מהשירותים דורשים הפעלה ידנית במקרה הצורך.
שירותים רבים רגישים לאבטחה, כך שחשוב לוודא שאיננו מפעילים שירותים שאינם נחוצים.

תפקידם של דרייברים והצורך בעדכונם

‪Driver‬ הוא רכיב תוכנה המתווך בין מערכת ההפעלה לרכיבי החומרה השונים.
למשל, דרייבר של כרטיס קול, כרטיס רשת או מדפסת.
ללא דרייבר מתאים, המערכת לא תוכל לתקשר עם החומרה, דבר שעלול להביא לתקלות או להגבלת תפקוד המכשיר.

עדכון דרייברים יכול לשפר ביצועים, לאפשר תמיכה בפעולות חדשות ולפתור בעיות תאימות.
רצוי להוריד עדכונים מאתר היצרן הרשמי של החומרה, כדי למנוע סיכון של התקנת דרייבר מזויף או פגום.
כך ניתן גם לחזק את האבטחה מאחר שדרייברים פגיעים עלולים לחשוף את המערכת למתקפות.

עבודה עם פקודת ‪reg‬ ב‪Command Prompt‬

מערכת ‪Windows‬ מאפשרת עבודה עם ה‪Registry‬ גם משורת הפקודה, בעזרת כלי בשם ‪reg‬.
כך ניתן לנהל או לסרוק את מבנה ההגדרות באופן סקריפטי.
פקודה מרכזית היא ‪reg add‬, המאפשרת להוסיף או לערוך מפתח וערך מסוים בתוך ה‪Registry‬.
דוגמה קצרה יכולה להיות:
reg add HKCU\Software\Example /v DemoValue /t REG_SZ /d "SomeData"
בשימוש לא זהיר, שינוי הערכים עלול לגרום לנזק רב.

בנוסף ל‪reg add‬, קיימות פקודות נוספות כגון ‪reg delete‬, ‪reg query‬ ו‪reg export‬.
כל אחת מהן מעניקה אפשרות שונה לניהול ועיבוד המידע ב‪Registry‬.
לפני כל פעולת עריכה מקיפה, מומלץ בחום לבצע גיבוי או להשתמש בכלי מובנה כמו נקודות שחזור המערכת.

שליטה בשירותים דרך הפקודה ‪sc‬

הפקודה ‪sc‬ מספקת גישה לשירותים באופן טקסטואלי.
למשל, sc start WSearch יפעיל את השירות ששמו WSearch אם הוא אינו פועל.
אפשר גם לעצור שירות באמצעות sc stop.
פקודת sc config מאפשרת להגדיר את סוג ההפעלה של השירות, לדוגמה אוטומטי או ידני.

הרצה של פקודות אלו דורשת הרשאות מתאימות, מכיוון שניהול שירותים הוא חלק רגיש ממערכת ההפעלה.
שימוש ב‪sc‬ מתאים לרוב למנהלי מערכת שרוצים לבצע תהליכי אוטומציה, או למשתמשים מתקדמים הזקוקים לשליטה מפורטת על השירותים הפועלים.

הזהירות הדרושה בעת עריכת ‪Registry‬

על אף הפוטנציאל הרב להתאמה אישית, ה‪Registry‬ הוא המקום האחרון שבו כדאי לבצע שינויים ללא ידע מקדים.
במקרה של טעות קטנה באחד הערכים, מערכת ההפעלה עלולה לסבול מקריסות חוזרות או לא לעלות בכלל.
גם בעת ניסיון שגרתי לתקן בעיה קטנה, כדאי לדעת בדיוק מה המשמעות של כל מפתח וערך לפני שמשנים אותו.

דרך מומלצת להגן על המערכת היא לגבות את ה‪Registry‬ לפני ביצוע עריכה גדולה.
ניתן לעשות זאת בעזרת כלי מובנה, או באמצעות פקודת reg export לשמירה של ענפים ספציפיים.
אם עריכה שגויה מובילה לתקלות, אפשר לשחזר את הקובץ המגובה ולהחזיר את המצב לקדמותו.

סיכום

במדריך זה הוסברו הרכיבים המרכזיים של מערכת ‪Windows‬ הנוגעים להגדרות ואבטחה.
החל מה‪Registry‬ והמבנה הפנימי שלו שכולל ‪Hives‬, ‪Keys‬ ו‪Values‬, דרך ה‪SAM‬ השומר מידע מוצפן על חשבונות משתמשים ועד ל‪LSASS‬ המאמת משתמשים בפועל.
הערך שב‪UAC‬ הודגש כנדבך אבטחתי המונע שינוי לא רצוי במערכת, ואילו שירותים ודרייברים הוצגו כגורם המאפשר תקשורת רציפה בין מערכת ההפעלה לחומרה ולמשימות רקע אחרות.
לבסוף דובר על פקודות ‪reg‬ ו‪sc‬ המאפשרות שליטה חכמה על ה‪Registry‬ ושירותים.

הבנת נושאים אלו חשובה לכל מי שעוסק בטיפול בתחנות עבודה, בשרתים ארגוניים או בכלי אבטחה.
אדם המעוניין להתקבל לתפקידי סייבר מיוחדים או ליחידה 8200 עשוי להרוויח מאוד מהיכרות מעמיקה עם רכיבי המערכת.

לסיכום, שליטה בהיבטי ה‪Registry‬, אבטחת חשבונות, מנגנון ה‪LSASS‬ ותרומתו של ה‪UAC‬ יעזרו לכל מי שנדרש לשמור על סביבת עבודה יציבה ומאובטחת.
חשוב לזכור תמיד לפעול בזהירות: לערוך גיבויים, לבדוק מקורות מהימנים ולהתנסות בסביבות בדיקה לפני שמיישמים שינויים במערכות קריטיות.

תהליך הכנה למיונים גאמא סייבר הוא דוגמה למקום שבו הידע הזה יכול להפוך ליתרון ממשי.
שמירה על בטיחות המערכת קשורה ישירות להבנתך את ‪Registry‬, ה‪SAM‬ והשירותים הפועלים ברקע.