การเข้าและออกอีกครั้งเนื่องจากผู้ใช้คนอื่นปลดล็อคพีซีที่ล็อคไว้ก่อนหน้านี้มันทำงานอย่างไร

11

ฉันสังเกตเห็นพฤติกรรมที่ค่อนข้างอยากรู้อยากเห็นของ Windows 7 ที่พีซีในสำนักงานของเรา:

  1. ผู้ใช้ A เข้าสู่บัญชีของเขาตามปกติ
  2. ผู้ใช้ A ล็อคพีซี (ผ่าน Win + L หรือคล้ายกัน)
  3. ผู้ใช้ B (ไม่สำคัญว่าจะต้องเป็นใครบางคนที่มีบัญชีผู้ใช้ที่แตกต่างกัน) จากนั้นลงชื่อเข้าใช้พีซีเครื่องเดียวกันด้วยข้อมูลประจำตัวของเขา (ไม่ว่าจะโดยตรงบนพีซีหรือระยะไกล)
  4. ผู้ใช้ B ออกจากระบบอีกครั้ง
  5. หลังจากถูกนำเสนอด้วยหน้าจอ "การออกจากระบบ" เซสชันของผู้ใช้ A จะถูกปลดล็อคโดยไม่ต้องใช้รหัสผ่านของผู้ใช้ A

รูปแบบที่แน่นอนนี้ใช้งานได้ตามที่แสดงในพีซีที่ได้รับผลกระทบทั้งหมดพร้อมการรวมบัญชีผู้ใช้โดยพลการ ฉันได้ยินผู้ดูแลระบบของเราพูดถึงว่ามันใช้งานได้เพื่อปลดล็อกบัญชีผู้ดูแลระบบหากพวกเขาเคยเข้าสู่ระบบในพีซีที่เหมาะสม อย่างไรก็ตามมันใช้ไม่ได้กับพีซีรุ่นใหม่กว่าที่เราเพิ่งได้รับสำหรับทีมของเรา

นี่เป็น "ปรากฏการณ์" หรือไม่ ฉันไม่สามารถค้นหารายงานพฤติกรรมที่คล้ายกันผ่านทาง Google ดังนั้นฉันคิดว่ามันต้องเป็นสิ่งที่เฉพาะกับสภาพแวดล้อมในสำนักงานของเรา ข้อบกพร่องในการกำหนดค่าของ Windows 7 อาจนำไปสู่พฤติกรรมดังกล่าวได้อย่างไร

พื้นหลังบางส่วน:

  • พีซีของเราใช้ Windows 7 Professional, 64 บิต ติดตั้ง SP1 แล้ว ดูเหมือนว่าจะมีการใช้การปรับปรุงความปลอดภัยเป็นประจำ
  • บัญชีผู้ใช้ทั้งหมดเป็นบัญชีโดเมน
  • ฉันแจ้งผู้ดูแลระบบคนหนึ่งเกี่ยวกับความผิดปกตินี้เมื่อหลายเดือนก่อน แต่เนื่องจากพฤติกรรมยังคงมีอยู่ฉันจะพยายามนำเสนอปัญหาในลักษณะเร่งด่วนยิ่งขึ้น (และตรวจสอบให้แน่ใจว่าได้รวมผู้รับผิดชอบด้านความปลอดภัยด้านไอทีด้วยในครั้งนี้)
  • ฉันรู้ว่านี่มีความหมายบางอย่างเกี่ยวกับความปลอดภัยของข้อมูล (สิ่งนี้อนุญาตให้มีการแอบอ้างเป็นบุคคลเข้าถึงไดรฟ์เครือข่ายที่ จำกัด ฯลฯ ) แต่อย่างน้อยในพีซีของฉันมันก็ยุ่งกับการจัดเรียงหน้าต่างของฉันอย่างจริงจังดังนั้นจึงไม่มีโอกาสที่จะมีคนเอาเปรียบมันโดยที่ฉันไม่สังเกตเห็นภายหลัง ฉันแน่ใจว่าเหตุผลเดียวที่ยังไม่ได้รับการจัดการคือเพราะไม่มีกรณีการละเมิด นอกจากนี้ยังต้องการการเข้าถึงทางกายภาพไปยังพีซีที่เกี่ยวข้องเพื่อที่จะถูกเอาเปรียบ
  • ฉันแค่ผู้ใช้ที่ไม่มีสิทธิ์ระดับสูง ฉันจะพยายามให้ข้อมูลอะไรก็ตามที่จำเป็น (ถ้ามี) แต่มีแนวโน้มว่าจะมีข้อ จำกัด บางอย่างไม่ช้าก็เร็ว
  • นอกจากนี้ฉันต้องขออภัยถ้าคำศัพท์ของฉันเกี่ยวกับการดูแลระบบปิด - ฉันไม่มีมืออาชีพ โปรดแจ้งให้เราทราบหากฉันสามารถปรับปรุงถ้อยคำของฉันได้ทุกที่

แท็บเข้าสู่ระบบของ Autoruns (รายการ Microsoft ถูกซ่อนอยู่): แท็บการเข้าสู่ระบบอัตโนมัติของรายการ (รายการ Microsoft ถูกซ่อนอยู่) ส่วน blacked-out เป็นสคริปต์ที่แมปไดรฟ์เครือข่ายโดยขึ้นอยู่กับผู้ที่เข้าสู่ระบบแท็บ Winlogon ของ Autoruns (มีเฉพาะรายการ Windows): แท็บ Winlogon ของการทำงานอัตโนมัติ (มีเฉพาะรายการ Windows)

windows-7 
Inarion
แหล่งที่มา
ฉันสงสัยจริงๆว่ามันเกิดจากการดัดแปลงในเครื่องที่พีซีรุ่นใหม่ของคุณยังไม่ประสบ (ฉันไม่จำบทความข่าวใด ๆ ที่ทุบตี Microsoft สำหรับปัญหานี้โดยเฉพาะ ... )
user1686
1
นี่เป็นสาเหตุที่แน่นอนที่สุดจากโปรแกรมบุคคลที่สาม สิ่งนี้เกิดขึ้นกับบัญชีผู้ใช้ภายในหรือไม่ ในเซฟโหมดหรือไม่ ใช้Autorunsปิดการใช้งานแอพพลิเคทั้งหมดไม่ใช่ไมโครซอฟท์เริ่มต้นและการทดสอบพฤติกรรม (ระวังกับคนขับรถและบริการแม้ว่ามันจะเป็นส่วนใหญ่มีแนวโน้มว่าสิ่งที่อาจจะก่อให้เกิดความมัน)
ฉันพูดว่า Reinstate Monica
นอกจากนี้1)ในการทำงานอัตโนมัติมีWinlogonแท็บอะไรบ้าง โปรดโพสต์ภาพหน้าจอของแท็บนั้นถ้าเป็นไปได้ 2)หลังจากปัญหาเกิดขึ้นข้อมูลของค่าLastLoggedOnProviderในคีย์HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData\#คืออะไร ( #หมายเลขเซสชันซึ่งอาจมีมากกว่าหนึ่งอยู่ที่ไหน)
ฉันพูดว่า Reinstate Monica
@ Autoruns TwistyImpersonator ดูเหมือนว่าฉันจะต้องการใช้มันบนพีซีส่วนตัวของฉันเช่นกัน - สวยดี! 1) มีรายการจำนวนมากบนแท็บการเข้าสู่ระบบไม่มีใครดูน่าสงสัยสำหรับฉัน จะเพิ่มภาพหน้าจอในคำถามของฉัน 2) ปุ่มทั้งหมดแสดงค่าเดียวกันกับLastLoggedOnProviderแต่มีเพียงปุ่มแรกเท่านั้นที่แสดงชื่อผู้ใช้ของฉันในLoggedOnUsernameในขณะที่คนอื่น ๆ ทั้งหมดมีชื่อเพื่อนร่วมงานของฉันอยู่ในนั้น (คนที่ฉันกำลังทำการทดสอบด้วย)
Inarion
@TwistyImpersonator เกี่ยวกับบัญชีท้องถิ่น: ฉันยังต้องทดสอบด้วย ฉันไม่สามารถปิดการใช้งานนอกเหนือจากรายการใน HKCU เนื่องจากฉันไม่มีสิทธิ์ดำเนินการดังกล่าว จะต้องทำให้คนไอทีของเราทำเช่นนั้น
Inarion

คำตอบ:

0

นี่คือการออกแบบ

อ้างถึงการเข้าสู่ระบบแบบโต้ตอบ: ต้องการการรับรองความถูกต้องของตัวควบคุมโดเมนเพื่อปลดล็อกเวิร์กสเตชัน

เป็นการตั้งค่าความปลอดภัยที่สำคัญหากไม่ได้เปิดใช้งานจะอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้โดยไม่มีการตรวจสอบความถูกต้องกับตัวควบคุมโดเมน

ในกรณีของคุณผู้ใช้ A ตรวจสอบแล้วและถูกแคช ตรวจสอบผู้ใช้ B และเมื่อผู้ใช้กกลับมามันใช้แคช หากการตั้งค่านั้นถูกตั้งค่าไว้มันต้องมีการรับรองความถูกต้องอีกครั้งกลับไปที่ตัวควบคุมโดเมนเพื่อให้มีการดึงกลับมา หากคุณมีแล็ปท็อปบอกว่าและขาดการเชื่อมต่อเครือข่ายคุณจะเชื่อมต่อกลับไปยังตัวควบคุมโดเมนเพื่อปลดล็อกได้อย่างไร ดังนั้นจึงอาจเป็นการตั้งค่า 'อันตราย'

todd_placher
แหล่งที่มา
ขอบคุณลิงค์นี้มีประโยชน์สำหรับความเข้าใจทั่วไปของฉัน อย่างไรก็ตามลิงก์ของคุณหรือผลลัพธ์ของ Google ที่เกี่ยวข้องไม่ได้ระบุว่าจะใช้ข้อมูลประจำตัวที่แคชเพื่อตรวจสอบสิทธิ์ผู้ใช้โดยอัตโนมัติ (ไม่จำเป็นต้องป้อนรหัสผ่าน) เท่าที่ฉันเข้าใจแม้กระทั่งข้อมูลประจำตัวที่แคชในเครื่องยังทำหน้าที่เป็นเพียงการเปรียบเทียบสิ่งที่ผู้ใช้ป้อนในการเข้าสู่ระบบดังนั้นในทางทฤษฎีจึงไม่มีสถานการณ์จำลองที่ผู้ใช้ B สามารถเข้าสู่ระบบในฐานะผู้ใช้ A หรือไม่ว่าผู้ใช้ A เก็บไว้ชั่วคราว แต่มันก็ยังคงเกิดขึ้น
Inarion
พอที่น่าสนใจความคิดเห็นของคุณจุดประกายความสงสัยในสิ่งที่แตกต่างกันในวิธีการเข้าสู่ระบบต่างๆที่ใช้โดย Windows, Windows 10 มันถูกแทนที่ด้วยผู้ให้บริการ Microsoft Windows Credential บูรณาการ, การทำการดำน้ำลึกที่คุณจะพบ CREDENTIAL_PROVIDER_USAGE_SCENARIO แจงนับดูส่วนหมายเหตุ
todd_placher
ข้อสังเกต: การเริ่มต้นใน Windows 10 สถานการณ์จำลองผู้ใช้ CPUS_LOGON และ CPUS_UNLOCK_WORKSTATION ได้ถูกรวมเข้าด้วยกัน สิ่งนี้ทำให้ระบบสามารถรองรับผู้ใช้หลายคนที่ล็อกอินเข้าสู่เครื่องโดยไม่ต้องสร้างและสลับเซสชันโดยไม่จำเป็น ผู้ใช้ใด ๆ บนเครื่องสามารถเข้าสู่ระบบได้เมื่อถูกล็อคโดยไม่จำเป็นต้องถอยออกจากเซสชันปัจจุบันและสร้างใหม่ ด้วยเหตุนี้ CPUS_LOGON จึงสามารถใช้ทั้งการเข้าสู่ระบบหรือเมื่อเวิร์กสเตชันถูกปลดล็อก
todd_placher
นี่เป็นสิ่งที่ผิด สหกรณ์กำลังประสบกับกรณีที่บันทึกไว้ก่อนหน้านี้ แต่บัญชีล็อกกลายเป็นปลดล็อคโดยที่ผู้ใช้ให้ข้อมูลประจำตัวของพวกเขา การตั้งค่า GPO ที่คุณอ้างอิงจะควบคุมพฤติกรรมของ Windows เมื่อมีการให้ข้อมูลรับรอง ... แต่จะต้องระบุข้อมูลรับรองเหล่านั้นเพื่อให้ปลดล็อคเซสชันการเข้าสู่ระบบ
ฉันพูดว่า Reinstate Monica
0

ดังนั้นดูเหมือนว่าฝ่ายไอทีของเราจะพบปัญหา พีซีทั้งหมดของเราไม่ว่าจะเป็นแบรนด์ Dell หรือ HP มีการติดตั้งHP Remote Graphics Sender (เวอร์ชั่น 6.0.3 ในกรณีพีซีของฉัน) การปิดใช้งานบริการที่เกี่ยวข้องจะหยุดพฤติกรรมที่ละเมิดทันที

เหตุใดบริการเฉพาะนี้จึงเปิดใช้งานพฤติกรรมที่ไม่เคยได้ยินมาก่อนใน Windows: เราไม่รู้ เราไร้เดียงสาอย่างสมบูรณ์
เรามักจะไม่จัดสรรทรัพยากรอีกต่อไปสำหรับปัญหานี้เนื่องจากเราไม่ต้องการบริการผู้ส่ง (ใช้เฉพาะผู้รับ) ดังนั้นฉันสามารถคาดเดาได้ว่าปัญหาอาจเกิดจากความไม่ลงรอยกันระหว่างซอฟต์แวร์ HP และพีซีของแบรนด์ Dell (พีซีที่ได้รับผลกระทบส่วนใหญ่มาจาก Dell ถึงแม้ว่าจะมีอายุมากกว่าสองปีหรือไม่ก็ตาม - คอมพิวเตอร์ HP นั้นทำงานผิดปกติเช่นกัน

ทุกสิ่งถือว่าเรื่องทั้งหมดยังคงลึกลับที่น่าพอใจ แต่น่าเสียดายที่ฉันไม่อยู่ในฐานะที่จะตรวจสอบเรื่องนี้ต่อไป - ทั้งจากการระดมทุนและมุมมองของสิทธิ์

Inarion
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.