Masuk dan keluar lagi karena pengguna yang berbeda membuka kunci PC yang sebelumnya terkunci - bagaimana cara kerjanya?

11

Saya mengamati perilaku Windows 7 yang agak aneh di beberapa PC kantor kami:

  1. Pengguna A masuk ke akunnya seperti biasa.
  2. Pengguna A mengunci PC (via Win + L atau serupa).
  3. Pengguna B (tidak masalah siapa, hanya harus seseorang dengan akun pengguna yang berbeda) kemudian masuk ke PC yang sama dengan kredensial (baik langsung di PC atau jarak jauh).
  4. Pengguna B keluar lagi.
  5. Langsung setelah disajikan dengan layar "log off", sesi Pengguna A dibuka, tanpa memerlukan kata sandi Pengguna A.

Pola persis ini berfungsi seperti yang disajikan pada semua PC yang terpengaruh dengan kombinasi akun pengguna yang sewenang-wenang. Saya pernah mendengar admin kami menyebutkan bahwa itu bahkan berfungsi untuk membuka kunci akun admin, seandainya mereka tetap masuk ke PC yang tepat. Namun, itu tidak bekerja pada batch PC baru yang baru-baru ini kami dapatkan untuk tim kami.

Apakah "fenomena" ini diketahui? Saya tidak dapat menemukan laporan perilaku serupa melalui google, jadi saya menganggap itu harus menjadi sesuatu yang spesifik untuk lingkungan kantor kami. Apa kesalahan dalam konfigurasi Windows 7 yang dapat menyebabkan perilaku seperti itu?

Beberapa latar belakang:

  • PC kami menjalankan Windows 7 Professional, 64bit. SP1 diinstal. Pembaruan keamanan tampaknya diterapkan secara teratur.
  • Semua akun pengguna adalah akun domain.
  • Saya memberi tahu salah satu admin kami tentang kekhasan ini beberapa bulan yang lalu, tetapi karena perilaku ini tetap ada, saya akan mencoba menyajikan masalah ini dengan cara yang lebih mendesak (dan pastikan untuk memasukkan yang bertanggung jawab atas keamanan TI juga saat ini).
  • Saya sadar ini memiliki beberapa implikasi mengenai keamanan informasi. (Ini memungkinkan peniruan, akses ke drive jaringan terbatas dll ...) Tapi setidaknya pada PC saya, itu benar-benar mengacaukan pengaturan jendela saya, jadi tidak mungkin seseorang mengeksploitasinya tanpa saya sadari sesudahnya. Saya yakin satu-satunya alasan belum ditangani adalah karena belum ada (yang diketahui) kasus pelecehan. Juga membutuhkan akses fisik ke PC masing-masing agar dapat dieksploitasi.
  • Saya hanya pengguna tanpa hak yang lebih tinggi. Saya akan mencoba memberikan informasi apa pun yang diperlukan (jika ada) tetapi kemungkinan akan mencapai batasan cepat atau lambat.
  • Saya juga ingin meminta maaf jika terminologi saya mengenai administrasi sistem tidak aktif - Saya bukan profesional. Tolong beri tahu saya jika saya dapat meningkatkan kata-kata saya di mana saja.

Tab Logor Autoruns '(entri Microsoft disembunyikan): Tab Logor Autoruns '(entri Microsoft disembunyikan) Bagian blacked-out adalah skrip yang memetakan drive jaringan tergantung pada siapa yang login. Tab Winlogon Autoruns' (hanya ada entri Windows): Tab Winlogon Autoruns (hanya ada entri Windows)

windows-7 Inarion
sumber
Saya benar-benar curiga ini disebabkan oleh modifikasi lokal yang belum pernah dialami oleh PC Anda yang baru. (Saya tidak ingat ada artikel berita yang menampar Microsoft untuk masalah khusus ini ...)
user1686
1
Ini pasti disebabkan oleh program pihak ketiga. Apakah ini terjadi dengan akun pengguna lokal? Dalam Mode Aman? Gunakan Autoruns untuk menonaktifkan semua aplikasi startup non-Microsoft dan menguji perilaku tersebut (hati-hati dengan driver & layanan, meskipun kemungkinan besar itulah yang menyebabkannya).
Saya katakan Reinstate Monica
Juga, 1) di Autoruns, apa yang ada di Winlogontab? Silakan kirim tangkapan layar tab itu jika memungkinkan. 2) Setelah masalah terjadi, apa data nilai LastLoggedOnProvider di kunci HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData\#? (Di mana #nomor sesi yang mungkin ada lebih dari satu.)
Saya katakan Reinstate Monica
@TwistyImpersonator Autoruns sepertinya saya ingin menggunakannya pada PC pribadi saya juga - cukup bagus! 1) Ada banyak entri pada tab masuk, tidak ada yang tampak mencurigakan bagi saya. Akan menambahkan tangkapan layar ke pertanyaan saya. 2) Semua kunci menunjukkan nilai yang sama untuk LastLoggedOnProvider , namun hanya kunci pertama yang menunjukkan nama pengguna saya di LoggedOnUsername sedangkan semua yang lain memiliki nama kolega saya di dalamnya (orang yang saya ikuti pengujiannya).
Inarion
@TwistyImpersonator Mengenai akun lokal: Saya masih perlu mengujinya. Saya tidak dapat menonaktifkan apa pun di luar entri di HKCU karena saya tidak memiliki hak untuk melakukan itu. Harus membuat orang-orang IT kita melakukan itu.
Inarion

Jawaban:

0

Ini telah dirancang.

Rujuk ke Log masuk interaktif: Memerlukan otentikasi Pengontrol Domain untuk membuka kunci workstation

Ini adalah pengaturan keamanan yang pada dasarnya jika tidak diaktifkan memungkinkan pengguna untuk masuk tanpa memvalidasi ke pengontrol domain.

Dalam kasus Anda, Pengguna A divalidasi dan di-cache. Pengguna B divalidasi dan ketika Pengguna A kembali, ia menggunakan cache. Jika pengaturan itu diatur, itu harus meminta otentikasi kembali ke pengontrol domain sehingga ada yang menarik. Jika Anda mengatakan laptop dan kehilangan koneksi jaringan Anda, bagaimana Anda terhubung kembali ke pengontrol domain untuk membuka kunci. Karena itu bisa menjadi pengaturan 'berbahaya'.

todd_placher
sumber
Terima kasih, tautannya membantu pemahaman umum saya. Namun, tautan Anda atau hasil Google terkait tidak menunjukkan bahwa kredensial yang di-cache akan digunakan untuk mengotentikasi pengguna secara otomatis (tidak perlu memasukkan kata sandi). Sejauh yang saya mengerti, bahkan kredensial yang di-cache secara lokal hanya berfungsi sebagai perbandingan untuk apa yang dimasukkan pengguna saat masuk. Jadi secara teoritis seharusnya tidak ada skenario di mana Pengguna B dapat login sebagai Pengguna A, apakah Pengguna A memiliki kredensial atau tidak. di-cache Namun itu masih terjadi.
Inarion
Cukup menarik komentar Anda memicu keajaiban pada apa yang berbeda dalam berbagai metodologi logon yang digunakan oleh Windows, untuk Windows 10 itu diganti dengan Microsoft Windows Credential Provider Integration, melakukan penyelaman yang lebih dalam Anda akan menemukan enumerasi CREDENTIAL_PROVIDER_USAGE_SCENARIO Lihat bagian keterangan
todd_placher
Keterangan: Mulai dari Windows 10, skenario pengguna CPUS_LOGON dan CPUS_UNLOCK_WORKSTATION telah digabungkan. Ini memungkinkan sistem untuk mendukung banyak pengguna masuk ke mesin tanpa membuat dan mengganti sesi secara tidak perlu. Setiap pengguna pada mesin dapat masuk ke dalamnya setelah terkunci tanpa perlu mundur dari sesi saat ini dan membuat yang baru. Karena itu, CPUS_LOGON dapat digunakan baik untuk masuk ke sistem atau ketika workstation tidak dikunci.
todd_placher
Ini salah. OP mengalami kasus di mana akun yang sebelumnya masuk tetapi terkunci menjadi tidak terkunci tanpa pengguna memberikan kredensial mereka . Pengaturan GPO yang Anda referensi mengontrol perilaku Windows ketika kredensial disediakan ... tetapi kredensial tersebut masih harus disediakan agar sesi masuk tidak terkunci.
Saya katakan Reinstate Monica
0

Jadi sepertinya orang-orang IT kita menemukan masalahnya. Semua PC kami, baik Dell atau merek HP, telah menginstal Pengirim Grafik Jarak Jauh HP (Versi 6.0.3 untuk PC saya). Menonaktifkan layanan terkait segera menghentikan perilaku menyinggung itu.

Adapun mengapa layanan khusus ini mengaktifkan perilaku yang tidak pernah terdengar di Windows: Kami tidak tahu. Kami benar-benar tidak mengerti.
Kami kemungkinan besar tidak akan mengalokasikan sumber daya lagi untuk masalah ini, karena kami tidak memerlukan layanan Pengirim (hanya menggunakan Penerima). Jadi saya hanya dapat berspekulasi bahwa masalah ini mungkin disebabkan oleh semacam ketidakcocokan antara perangkat lunak HP dan PC merek Dell kami. (Sebagian besar PC yang terkena dampak berasal dari Dell, meskipun beberapa - yang lebih tua? - Komputer HP juga mengalami kesalahan, sehingga tidak mungkin cerita lengkapnya.)

Semua hal yang dianggap sebagai urusan keseluruhan tetap tidak memuaskan secara misterius, tetapi sayangnya saya tidak dalam posisi untuk menyelidiki lebih lanjut masalah ini - baik dari segi pendanaan maupun dari sudut pandang hak istimewa.

Inarion
sumber