Farklı kullanıcı önceden kilitli PC'nin kilidini açarken tekrar giriş ve çıkış yapmak - nasıl çalışır?

Bazı ofis bilgisayarlarımızda oldukça ilginç bir Windows 7 davranışı gözlemledim:

A Kullanıcısı her zamanki gibi hesabında oturum açar.
A Kullanıcısı PC'yi kilitler (Win + L veya benzeri yoluyla).
Kullanıcı B (kim olduğu önemli değil, sadece farklı bir kullanıcı hesabına sahip biri olmalıdır) daha sonra aynı PC'de kimlik bilgileriyle (doğrudan PC'de veya uzaktan kumandada) oturum açar.
B kullanıcısı oturumu tekrar kapatır.
"Oturum kapatılıyor" ekranıyla birlikte sunulduktan hemen sonra, Kullanıcı A'nın şifresine gerek kalmadan Kullanıcı A'nın oturumu açılır.

Bu tam kalıp, keyfi olarak kullanıcı hesabı kombinasyonlarına sahip, etkilenen tüm PC'lerde sunulduğu gibi çalışır. Yöneticimizin, doğru PC'ye giriş yapmış olmaları durumunda yönetici hesaplarının kilidini açmanın bile işe yaradığını belirttiğini duydum. Ancak, ekibimiz için yakın zamanda aldığımız bir dizi yeni PC üzerinde çalışmıyor.

Bu "fenomen" biliniyor mu? Google üzerinden benzer davranış raporları bulamadım, bu yüzden ofis ortamımıza özgü bir şey olması gerektiğini varsayıyorum. Windows 7 yapılandırmasındaki hangi kusur bu tür davranışlara yol açabilir?

Bazı bilgiler:

Bilgisayarlarımız 64bit Windows 7 Professional çalıştırıyor. SP1 yüklü. Güvenlik güncelleştirmeleri düzenli olarak uygulanıyor gibi görünüyor.
Tüm kullanıcının hesapları alan adı hesaplarıdır.
Birkaç ay önce yöneticilerimizden birini bu özellik hakkında bilgilendirdim, ancak davranış devam ettiğinden, konuyu daha acil bir şekilde sunmaya çalışacağım (ve bu sefer BT güvenliğinden sorumlu olanı da eklediğinizden emin olun).
Bunun bilgi güvenliği ile ilgili bazı etkileri olduğunu biliyorum. (Bu, kimliğe bürünme, kısıtlı ağ sürücülerine erişim vb. Olanak tanır.) Ama en azından bilgisayarımda, pencere düzenlemelerimle ciddi bir şekilde karışıyor, bu yüzden daha sonra fark etmeden birisi onu kullanmaz. Eminim, zaten ele alınmamış olmasının tek nedeni, (bilinen) herhangi bir istismar vakası olmamasıdır. Ayrıca, ilgili PC'ye yararlanılabilmesi için fiziksel erişim gerektirir.
Ben sadece yükseltilmiş yetkileri olmayan bir kullanıcıyım. (Gerekirse) gerekli bilgileri sağlamaya çalışacağım, ancak er ya da geç bazı kısıtlamalara neden olacak.
Ayrıca sistem yönetimi ile ilgili terminolojim kapalıysa özür dilerim - profesyonel değilim. İfademi herhangi bir yerde geliştirip geliştiremeyeceğimi lütfen bize bildirin.

Otomatik Çalıştırma Oturum Açma sekmesi (Microsoft girişleri gizlidir): Karartılmış bölüm, ağ sürücülerini kimin oturum açtığına bağlı olarak eşleyen bir komut dosyasıdır. Otomatik Çalıştırmaların Winlogon sekmesi (yalnızca Windows girişleri vardır):

windows-7

— Inarion
kaynak

Yeni PC grubunuzun henüz acı çekmediği yerel bir değişiklikten gerçekten şüpheleniyorum. (Bu sorun için Microsoft'a

— dayandıran

Bu kesinlikle bir üçüncü taraf programından kaynaklanır. Bu, yerel kullanıcı hesaplarında olur mu? Güvenli Modda mı? Microsoft dışındaki tüm başlangıç uygulamalarını devre dışı bırakmak ve davranışı test etmek için Otomatik Çalıştırmaları kullanın (büyük olasılıkla buna neden olabilecek olsa da, sürücülere ve hizmetlere dikkat edin).

— Reinstate Monica

Ayrıca, 1) Autoruns'ta, Winlogonsekmede ne var ? Lütfen mümkünse bu sekmenin ekran resmini gönderin. 2) Sorun ortaya çıktıktan sonra, anahtardaki LastLoggedOnProvider değerinin verileri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData\#nedir? ( #Birden fazla sayıda oturum numarası nerede olabilir.)

— Ben Reinstate Monica

@TwistyImpersonator Autoruns bunu özel bilgisayarımda da kullanmak isteyeceğim gibi görünüyor - oldukça şık! 1) Oturum açma sekmesinde bir sürü giriş var, bunların hiçbiri bana şüpheli görünmüyor. Soruma bir ekran görüntüsü ekleyeceğim. 2) Tüm anahtarlar LastLoggedOnProvider için aynı değeri gösterir , ancak LoggedOnUsername içinde yalnızca ilk anahtar kullanıcı adımı gösterirken, diğerlerinin hepsinde meslektaşımın adı vardır (testleri yaptığım kişi).

— Inarion

@TwistyImpersonator Yerel hesaplarla ilgili olarak: Bunu hala test etmem gerekiyor. Bunu yapmak için ayrıcalıklardan yoksun olduğum için HKCU girişlerinin ötesinde bir şey devre dışı bırakamıyorum. BT adamlarımızı bunu yapmaları gerekecek.

— Inarion

Yanıtlar:

Bu tasarlanmıştır.

Bakınız Etkileşimli oturum açma: Kilit açma iş istasyonuna alanı denetleyicisi kimlik gerektir

Esasen etkinleştirilmezse, kullanıcının bir etki alanı denetleyicisine doğrulama yapmadan oturum açmasına izin veren bir güvenlik ayarıdır.

Sizin durumunuzda A Kullanıcısı doğrulandı ve önbelleğe alındı. B kullanıcısı doğrulandı ve A kullanıcısı geri geldiğinde önbelleğe alınan dosyayı kullandı. Bu ayar ayarlanırsa, geri alma işlemi için yeniden etki alanı denetleyicisine yeniden kimlik doğrulaması yapılması gerekir. Bir dizüstü bilgisayarınız varsa ve ağ bağlantınızı kaybettiyseniz, kilidini açmak için etki alanı denetleyicisine nasıl yeniden bağlanırsınız. Bu nedenle 'tehlikeli' bir ortam olabilir.

— todd_placher
kaynak

Teşekkürler, bağlantı genel anlayışım için yardımcı oldu. Ancak, bağlantınız veya ilgili Google sonuçları, önbelleğe alınmış kimlik bilgilerinin bir kullanıcının otomatik olarak kimliğini doğrulamak için kullanılacağını göstermez (şifre girmeye gerek yoktur). Anladığım kadarıyla, yerel olarak önbelleğe alınmış kimlik bilgileri bile yalnızca kullanıcının oturum açarken girdiği verilerle karşılaştırma işlevi görür. Bu nedenle teorik olarak, Kullanıcı A'nın Kullanıcı A'nın kimlik bilgilerine sahip olup olmadığına bakılmaksızın Kullanıcı A olarak oturum açabileceği bir senaryo olmamalıdır. önbelleğe. Yine de hala oluyor.

— Inarion

Yorumunuz ilginç bir şekilde Windows tarafından kullanılan çeşitli oturum açma yöntemlerinde neyin farklı olduğunu merak etti, Windows 10 yerine Microsoft Windows Kimlik Bilgisi Sağlayıcı Entegrasyonu ile değiştirildi, daha derin bir dalış yaparak

— CREDENTIAL_PROVIDER_USAGE_SCENARIO

Açıklamalar: Windows 10'dan başlayarak CPUS_LOGON ve CPUS_UNLOCK_WORKSTATION kullanıcı senaryoları birleştirildi. Bu, sistemin gereksiz yere oturum oluşturmadan ve geçiş yapmadan bir makineye giriş yapan birden fazla kullanıcıyı desteklemesini sağlar. Makinedeki herhangi bir kullanıcı, geçerli oturumdan çıkıp yeni bir oturum oluşturmaya gerek kalmadan kilitlendikten sonra oturum açabilir. Bu nedenle, CPUS_LOGON hem bir sisteme giriş yapmak için hem de bir iş istasyonunun kilidi açıldığında kullanılabilir.

— todd_placher

Bu yanlış. OP, daha önce oturum açmış ancak kilitli bir hesabın kullanıcı kimlik bilgilerini vermeden kilidinin açıldığı bir durumla karşılaşıyor . Başvurduğunuz GPO ayarı , kimlik bilgileri sağlandığında Windows davranışını denetler ... ancak oturum açma oturumunun kilidinin açılması için bu kimlik bilgileri yine de sağlanmalıdır.

— Reinstate Monica'yı söylüyorum

Görünüşe göre BT adamlarımız sorunu buldu. Dell veya HP markası olsun tüm bilgisayarlarımızda HP Remote Graphics Sender yüklüdür (bilgisayarımın durumunda 6.0.3 sürümü). İlgili hizmeti devre dışı bırakmak, rahatsız edici davranışı derhal durdurur.

Bu özel hizmetin neden Windows'ta bu tür duyulmamış davranışları etkinleştirdiğine gelince: Bilmiyoruz. Biz tamamen cluelessız.
Gönderen hizmetine ihtiyacımız olmadığından (yalnızca Alıcıyı kullanarak) büyük olasılıkla bu konuya daha fazla kaynak ayırmayacağız. Bu nedenle, sorunun yalnızca HP yazılımı ile Dell markalı bilgisayarlarımız arasındaki bir tür uyumsuzluktan kaynaklanabileceğini tahmin edebilirim. (Etkilenen bilgisayarların çoğu Dell'den geliyordu, ancak birkaç - daha eski? - HP bilgisayarlar da yanlış davranıyordu, bu yüzden tam hikaye olamaz.)

Tüm mesele olarak kabul edilen her şey tatmin edici olmayan bir şekilde gizemli kalıyor, ancak ne yazık ki bu konuyu hem bir fondan hem de bir ayrıcalıklar açısından araştıracak bir konumda değilim.

— Inarion
kaynak