Ponowne logowanie i wylogowanie, gdy inny użytkownik odblokowuje wcześniej zablokowany komputer - jak to działa?

11

Zauważyłem dość dziwne zachowanie systemu Windows 7 na niektórych komputerach biurowych:

  1. Użytkownik A loguje się na swoje konto jak zwykle.
  2. Użytkownik A blokuje komputer (przez Win + L lub podobny).
  3. Użytkownik B (nie ma znaczenia, kto to musi być ktoś z innym kontem użytkownika), następnie loguje się na tym samym komputerze przy użyciu swoich poświadczeń (bezpośrednio na komputerze lub zdalnie).
  4. Użytkownik B ponownie się wylogowuje.
  5. Bezpośrednio po wyświetleniu ekranu „wylogowania” sesja użytkownika A jest odblokowana bez konieczności podawania hasła użytkownika A.

Ten dokładny wzór działa tak, jak przedstawiono na wszystkich komputerach, których dotyczy problem, z dowolnymi kombinacjami kont użytkowników. Słyszałem, jak nasz administrator wspominał, że nawet odblokowanie kont adminów działa, jeśli zdarzy się, że pozostaną zalogowane na odpowiednim komputerze. Nie działa to jednak na nowszych komputerach, które niedawno dostaliśmy dla naszego zespołu.

Czy to „zjawisko” jest znane? Nie mogłem znaleźć raportów o podobnym zachowaniu za pośrednictwem Google, więc zakładam, że musi to być coś specyficznego dla naszego środowiska biurowego. Jaka wada konfiguracji systemu Windows 7 może prowadzić do takiego zachowania?

Niektóre tło:

  • Nasze komputery PC obsługują system Windows 7 Professional, 64-bitowy. SP1 jest zainstalowany. Wydaje się, że aktualizacje zabezpieczeń są regularnie stosowane.
  • Wszystkie konta użytkowników są kontami domenowymi.
  • Kilka miesięcy temu poinformowałem jednego z naszych administratorów o tej szczególnej osobliwości, ale ponieważ zachowanie się utrzymuje, postaram się przedstawić problem w bardziej naglący sposób (i tym razem upewnij się, że jest to również osoba odpowiedzialna za bezpieczeństwo IT).
  • Wiem, że ma to wpływ na bezpieczeństwo informacji. (Pozwala to na podszywanie się, dostęp do ograniczonych napędów sieciowych itp.) Ale przynajmniej na moim komputerze poważnie psuje moje ustawienia okien, więc nie jest prawdopodobne, że ktoś je wykorzysta bez mojej uwagi. Jestem pewien, że jedynym powodem, dla którego nie zostało to jeszcze rozwiązane, jest to, że nie było (znanego) przypadku nadużycia. Wymaga to także fizycznego dostępu do odpowiedniego komputera, aby można go było wykorzystać.
  • Jestem tylko użytkownikiem bez podwyższonych uprawnień. Postaram się podać wszelkie informacje, które będą potrzebne (jeśli w ogóle), ale prawdopodobnie napotkam jakieś ograniczenie wcześniej czy później.
  • Chciałbym również przeprosić, jeśli moja terminologia dotycząca administrowania systemem jest wyłączona - nie jestem profesjonalistą. Daj mi znać, jeśli mogę poprawić swoje brzmienie w dowolnym miejscu.

Karta Logowanie Autoruns (wpisy Microsoft są ukryte): Karta logowania Autoruns (wpisy Microsoft są ukryte) Zaciemniona sekcja to skrypt mapujący dyski sieciowe w zależności od tego, kto się zaloguje. Karta Winlogon Autoruns (są tylko wpisy Windows): Karta Winlogon Autoruns (są tylko wpisy Windows)

windows-7 Inarion
źródło
Naprawdę podejrzewam, że jest to spowodowane lokalną modyfikacją, której jeszcze nie ucierpiała twoja nowa seria komputerów. (Nie pamiętam żadnych artykułów prasowych dotyczących Microsoft w związku z tym konkretnym problemem ...)
user1686,
1
Jest to z pewnością spowodowane przez program innej firmy. Czy dzieje się tak z lokalnymi kontami użytkowników? W trybie awaryjnym? Użyj Autoruns, aby wyłączyć wszystkie aplikacje startowe firm innych niż Microsoft i przetestuj zachowanie (bądź ostrożny ze sterownikami i usługami, choć najprawdopodobniej to właśnie to może powodować).
Mówię: Przywróć Monikę
Ponadto, 1) w Autoruns, co jest na Winlogonkarcie? Jeśli to możliwe, opublikuj zrzut ekranu tej karty. 2) Po wystąpieniu problemu, jakie są dane wartości LastLoggedOnProvider w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData\#? (Gdzie #jest numer sesji, których może być więcej niż jeden.)
Mówię Przywróć Monikę
@TwistyImpersonator Autoruns wydaje się, że będę chciał użyć go również na moim prywatnym komputerze - całkiem sprytnie! 1) Na karcie logowania jest kilka wpisów, żaden z nich nie wydaje mi się podejrzany. Dodam zrzut ekranu do mojego pytania. 2) Wszystkie klucze mają tę samą wartość dla LastLoggedOnProvider , jednak tylko pierwszy klucz pokazuje moją nazwę użytkownika w LoggedOnUsername, podczas gdy wszystkie inne mają w sobie imię mojego kolegi (tego, z którym przeprowadzałem testy).
Inarion
@TwistyImpersonator Jeśli chodzi o konta lokalne: wciąż muszę to przetestować. Nie mogę wyłączyć niczego poza wpisami w HKCU, ponieważ nie mam do tego uprawnień. Będą musieli to zrobić nasi informatycy.
Inarion

Odpowiedzi:

0

To jest zaprojektowane.

Zobacz Logowanie interakcyjne: Wymagaj uwierzytelnienia kontrolera domeny, aby odblokować stację roboczą

Jest to ustawienie bezpieczeństwa, które zasadniczo jeśli nie jest włączone, pozwala użytkownikowi zalogować się bez sprawdzania poprawności na kontrolerze domeny.

W twoim przypadku Użytkownik A został zatwierdzony i został buforowany. Użytkownik B został zweryfikowany, a gdy użytkownik A wrócił, użył pamięci podręcznej. Jeśli to ustawienie jest ustawione, powinno ono wymagać ponownego uwierzytelnienia z powrotem do kontrolera domeny, aby można było wycofać. Jeśli masz coś do powiedzenia na temat laptopa i utraciłeś połączenie sieciowe, jak połączyć się ponownie z kontrolerem domeny, aby odblokować. Dlatego może to być „niebezpieczne” ustawienie.

todd_placher
źródło
Dziękuję, link był pomocny dla mojego ogólnego zrozumienia. Jednak ani Twój link, ani powiązane wyniki Google nie wskazują, że dane uwierzytelnione w pamięci podręcznej byłyby używane do automatycznego uwierzytelnienia użytkownika (nie trzeba wprowadzać hasła). O ile rozumiem, nawet lokalnie buforowane dane logowania służą jedynie jako porównanie tego, co użytkownik wprowadza podczas logowania. Teoretycznie nie powinien istnieć scenariusz, w którym użytkownik B może zalogować się jako użytkownik A, niezależnie od tego, czy użytkownik A miał swoje poświadczenia, czy nie. buforowane. A jednak wciąż tak się dzieje.
Inarion
Interesujące jest to, że twój komentarz wywołał zastanowienie nad tym, co różni się w różnych metodologiach logowania używanych przez system Windows, w systemie Windows 10 został zastąpiony integracją dostawcy poświadczeń systemu Microsoft Windows, wykonując głębsze zanurzenie, znajdziesz wyliczenie CREDENTIAL_PROVIDER_USAGE_SCENARIO Zobacz sekcję uwag
todd_placher
Uwagi: Począwszy od systemu Windows 10, scenariusze użytkownika CPUS_LOGON i CPUS_UNLOCK_WORKSTATION zostały połączone. Umożliwia to systemowi obsługę wielu użytkowników logujących się do komputera bez niepotrzebnego tworzenia i przełączania sesji. Każdy użytkownik na komputerze może zalogować się do niego po jego zablokowaniu bez potrzeby wycofywania się z bieżącej sesji i tworzenia nowej. Z tego powodu CPUS_LOGON może być używany zarówno do logowania do systemu, jak i po odblokowaniu stacji roboczej.
todd_placher
To jest źle. W PO występuje przypadek, w którym wcześniej zalogowane, ale zablokowane konto zostaje odblokowane bez podania przez użytkownika danych uwierzytelniających . Ustawienie GPO, do którego się odwołujesz, kontroluje zachowanie systemu Windows po podaniu poświadczeń ... ale poświadczenia te muszą być nadal podane, aby sesja logowania mogła zostać odblokowana.
Mówię: Przywróć Monikę
0

Wygląda na to, że nasi informatycy znaleźli problem. Wszystkie nasze komputery, zarówno marki Dell, jak i HP, mają zainstalowany program HP Remote Graphics Sender (wersja 6.0.3 w przypadku mojego komputera). Wyłączenie odpowiedniej usługi natychmiast zatrzymuje zachowanie naruszające prawo.

Co do tego, dlaczego ta konkretna usługa umożliwiła takie niespotykane zachowanie w systemie Windows: nie wiemy. Jesteśmy całkowicie nieświadomi.
Najprawdopodobniej nie będziemy przeznaczać więcej zasobów na ten problem, ponieważ nie potrzebujemy usługi Sender (tylko przy użyciu Odbiornika). Mogę tylko spekulować, że problem może być spowodowany jakąś niezgodnością między oprogramowaniem HP a naszymi komputerami marki Dell. (Większość komputerów, których dotyczy problem, pochodziła z firmy Dell, chociaż kilka - starszych? - komputerów HP również źle się zachowywało, więc nie może to być cała historia).

Wszystko, co uważane jest za cały romans, pozostaje niezadowalająco tajemnicze, ale niestety nie jestem w stanie dalej badać tej sprawy - zarówno z punktu widzenia finansowania, jak i przywilejów.

Inarion
źródło