Увійти та вийти знову, коли різні користувачі розблокують раніше заблокований ПК - як це працює?

Я спостерігав досить цікаву поведінку Windows 7 на деяких наших офісних ПК:

Користувач A входить у свій обліковий запис як завжди.
Користувач A блокує ПК (через Win + L або подібне).
Користувач B (не важливо, хто, просто це повинен бути хтось з іншим обліковим записом користувача), потім увійде в той же ПК зі своїми обліковими даними (безпосередньо на ПК або на віддаленому сервері).
Користувач B знову виходить із системи.
Безпосередньо після того, як представлений екран "виходу з системи", сеанс користувача A розблоковується, не вимагаючи пароля користувача A.

Ця точна схема працює так, як представлена на всіх комп’ютерах, що постраждали, з довільними комбінаціями облікових записів користувачів. Я чув, як наш адміністратор згадував, що це навіть працює для розблокування облікових записів адміністраторів, якщо вони коли-небудь залишатимуться ввійти в потрібний ПК. Однак це не працює над партією нових ПК, які ми нещодавно отримали для нашої команди.

Чи відомо це "явище"? Мені не вдалося знайти повідомлення про подібну поведінку через Google, тому я припускаю, що це має бути щось специфічне для нашого офісного середовища. Який недолік у конфігурації Windows 7 може призвести до такої поведінки?

Деякі відомості:

Наші ПК працюють під керуванням Windows 7 Professional, 64 біт. SP1 встановлений. Очевидно, що оновлення безпеки застосовуються регулярно.
Усі облікові записи користувачів - це облікові записи домену.
Я повідомив одного з наших адміністраторів про цю особливість кілька місяців тому, але оскільки поведінка зберігається, я спробую представити цю проблему більш наполегливим чином (і обов'язково включіть того, хто відповідає за безпеку ІТ).
Я знаю, що це має певні наслідки щодо інформаційної безпеки. (Це дозволяє видавати себе за себе, отримувати доступ до обмежених мережевих накопичувачів тощо.) Але, принаймні, на моєму ПК це серйозно псується з моїми віконними домовленостями, тому, швидше за все, хтось не експлуатує його, не пізніше мене це помітять. Я впевнений, що єдиною причиною його ще не було вирішено - це те, що не було жодного (відомого) випадку зловживань. Крім того, він вимагає фізичного доступу до відповідного ПК, щоб бути корисним.
Я просто користувач без підвищених привілеїв. Я спробую надати будь-яку інформацію, яка буде потрібна (якщо така є), але, швидше за все, рано чи пізно потрапить на якесь обмеження.
Також я хочу вибачитися, якщо моя термінологія щодо адміністрування системи вимкнена - я не професіонал. Будь ласка, дайте мені знати, чи можу я вдосконалити формулювання в будь-якому місці.

Вкладка "Вхід авторів" (записи Microsoft приховані): затемнений розділ - це сценарій, який відображає мережеві диски залежно від того, хто входить. Вкладка "Авторизація Winlogon" (є лише записи Windows):

windows-7

— Інаріон
джерело

Я дійсно підозрюю, що це викликано локальною модифікацією, що ваша нова партія ПК ще не постраждала. (Я не пам’ятаю жодної статті новин, що б'є Microsoft у цій конкретній проблемі ...)

— user1686

Найбільш точно це спричинено програмою третьої сторони. Це трапляється з локальними обліковими записами користувачів? У безпечному режимі? Використовуйте Autoruns, щоб вимкнути всі програми запуску, які не належать Microsoft, і перевірити їх поведінку (будьте обережні з драйверами та службами, хоча, швидше за все, це може викликати це).

— Я кажу, відновіть Моніку

Також 1) в Autoruns, що на Winlogonвкладці? Будь ласка, опублікуйте знімок екрана цієї вкладки, якщо це можливо. 2) Після виникнення проблеми, які дані значення LastLoggedOnProvider у ключі HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData\#? (Де #номер сеансу, якого може бути більше одного.)

— Я кажу, відновіть Моніку

@TwistyImpersonator Autoruns здається, що я хочу використовувати це і на моєму приватному ПК - досить чудово! 1) На вкладці входу є купа записів, жодна з них не виглядає на мене підозріло. Додамо скріншот до мого питання. 2) Усі клавіші показують однакове значення для LastLoggedOnProvider , однак лише перший ключ показує моє ім’я користувача в LoggedOnUsername, тоді як усі інші мають ім’я мого колеги (той, з ким я проводив тести).

— Інаріон

@TwistyImpersonator Щодо місцевих облікових записів: мені все одно потрібно це перевірити. Я не можу відключити нічого, крім записів у HKCU, оскільки мені не вистачає привілеїв для цього. Для цього доведеться змусити наших хлопців з інформаційних технологій.

— Інаріон

Відповіді:

Це розроблено.

Зверніться до Інтерактивного входу: Потрібна автентифікація контролера домену для розблокування робочої станції

Це налаштування безпеки, яке по суті, якщо не ввімкнено, дозволяє користувачеві входити без перевірки на контролер домену.

У вашому випадку користувач перевірив його та кешировано. Користувач B був підтверджений, і коли Користувач A повернувся, він використав кешований. Якщо це налаштування встановлено, воно повинно вимагати повторної автентифікації назад до контролера домену, щоб повернутись назад. Якщо у вас є скажімо про ноутбук і ви втратили з’єднання з мережею, як підключитися назад до контролера домену, щоб розблокувати. Отже, це може бути «небезпечна» обстановка.

— todd_placher
джерело

Дякую, посилання було корисним для мого загального розуміння. Однак ні ваше посилання, ні пов’язані з цим результати Google не вказують, що кешовані облікові дані будуть використовуватися для автоматичної автентифікації користувача (не потрібно вводити пароль). Наскільки я розумію, навіть локально кешовані облікові дані слугують лише порівнянням того, що користувач входить під час входу в систему. Тож теоретично не повинно існувати сценарію, коли користувач B може входити як користувач A, незалежно від того, користувач A мав свої облікові дані кешований. І все-таки це все одно.

— Інаріон

Досить цікавий ваш коментар викликав питання про те, що відрізняється в різних методологіях входу, використовуваних Windows, для Windows 10 він був замінений на інтеграцію постачальників

— сервісів

Зауваження: Починаючи з Windows 10, сценарії користувачів CPUS_LOGON та CPUS_UNLOCK_WORKSTATION були об'єднані. Це дозволяє системі підтримувати декілька користувачів, які входять у машину без створення та перемикання сеансів без необхідності. Будь-який користувач машини може увійти до нього, як тільки він заблокований, не потребуючи відступу від поточного сеансу та створення нового. Через це CPUS_LOGON можна використовувати як для входу в систему, так і при розблокуванні робочої станції.

— todd_placher

Це неправильно. ОП переживає випадок, коли раніше зареєстрований, але заблокований акаунт стає розблокованим, без того, щоб користувач надав свої дані . Налаштування GPO, на яке ви посилаєтесь, керує поведінкою Windows, коли надаються облікові дані ... але ці облікові дані все одно повинні бути надані для розблокування сеансу входу.

— Я кажу: Відновіть Моніку

Тож, здається, наші ІТ-хлопці знайшли проблему. На всіх наших ПК, будь то Dell чи HP, встановлений HP Remote Graphics Sender (версія 6.0.3 для мого ПК). Вимкнення відповідної послуги негайно зупиняє поведінку, що порушує правопорушення.

Що стосується того, чому саме ця спеціальна послуга ввімкнула таку нечувану поведінку в Windows: Ми не знаємо. Ми абсолютно незрозумілі.
Ми, швидше за все, не будемо виділяти більше ресурсів на цю проблему, оскільки нам не потрібна послуга відправника (лише за допомогою приймача). Тож я можу лише припускати, що ця проблема може бути викликана якоюсь несумісністю між програмним забезпеченням HP та нашими персональними комп'ютерами марки Dell. (Більшість постраждалих ПК були від Dell, хоча пара - старше? - Комп'ютери HP також погано поводилися, так що це не може бути повною історією.)

Все, що розглядається в цілій справі, залишається незадовільно загадковою, але, на жаль, я не в змозі далі розслідувати цю справу - як з точки зору фінансування, так і з точки зору привілеїв.

— Інаріон
джерело