लॉग इन और फिर से अलग-अलग उपयोगकर्ता के रूप में पहले से बंद पीसी को अनलॉक करता है - यह कैसे काम करता है?

मैंने हमारे कार्यालय के कुछ पीसी पर विंडोज 7 के बजाय उत्सुक व्यवहार का अवलोकन किया:

उपयोगकर्ता A हमेशा की तरह अपने खाते में लॉग इन करता है।
उपयोगकर्ता ए पीसी को जीतता है (विन + एल या इसी तरह के माध्यम से)।
उपयोगकर्ता बी (कोई फर्क नहीं पड़ता कि कौन है, यह सिर्फ एक अलग उपयोगकर्ता खाते के साथ किसी का होना है) फिर उसी पीसी में अपने क्रेडेंशियल्स (पीसी या रिमोट पर सीधे) के साथ लॉग इन करता है।
उपयोगकर्ता B फिर से लॉग इन करता है।
सीधे "लॉगिंग ऑफ़" स्क्रीन के साथ प्रस्तुत किए जाने के बाद, उपयोगकर्ता ए के पासवर्ड की आवश्यकता के बिना, उपयोगकर्ता ए के सत्र को अनलॉक किया जाता है।

यह सटीक पैटर्न उपयोगकर्ता खातों के मनमाने संयोजन के साथ सभी प्रभावित पीसी पर प्रस्तुत किया गया है। मैंने सुना है कि हमारे व्यवस्थापक का उल्लेख है कि यह व्यवस्थापक खातों को अनलॉक करने के लिए भी काम करता है, क्या उन्हें कभी भी सही पीसी में लॉग इन रहने के लिए होना चाहिए। हालाँकि, यह हाल ही में हमारी टीम के लिए मिले नए पीसी के बैच पर काम नहीं करता है।

क्या यह "घटना" ज्ञात है? मैं Google के माध्यम से समान व्यवहार की रिपोर्ट नहीं पा रहा था इसलिए मुझे लगता है कि यह हमारे कार्यालय के वातावरण के लिए कुछ विशिष्ट होना चाहिए। विंडोज 7 के विन्यास में क्या दोष इस तरह के व्यवहार को जन्म दे सकता है?

कुछ पृष्ठभूमि:

हमारे पीसी विंडोज 7 प्रोफेशनल, 64 बिट चलाते हैं। SP1 स्थापित है। सुरक्षा अद्यतन नियमित रूप से लागू होने लगते हैं।
सभी उपयोगकर्ता के खाते डोमेन खाते हैं।
मैंने कुछ महीनों पहले इस ख़ासियत के बारे में हमारे एक प्रशंसक को सूचित किया था, लेकिन चूंकि व्यवहार जारी रहता है, मैं इस मुद्दे को और अधिक दबाव में पेश करने की कोशिश करूंगा (और इस बार आईटी सुरक्षा के लिए जिम्मेदार को भी शामिल करना सुनिश्चित करता हूं)।
मुझे पता है कि सूचना सुरक्षा के संबंध में इसके कुछ निहितार्थ हैं। (यह प्रतिरूपण, प्रतिबंधित नेटवर्क ड्राइव तक पहुंच आदि की अनुमति देता है ...) लेकिन कम से कम मेरे पीसी पर, यह मेरी खिड़की की व्यवस्था के साथ गंभीर रूप से खिलवाड़ करता है, इसलिए यह संभावना नहीं है कि कोई मेरे बिना इसका शोषण करता है। मुझे यकीन है कि एकमात्र कारण यह पहले से ही निपटा नहीं गया है क्योंकि दुरुपयोग का कोई (ज्ञात) मामला नहीं है। साथ ही इसके लिए संबंधित पीसी तक शारीरिक पहुंच की आवश्यकता है।
मैं केवल उन्नत विशेषाधिकार के बिना एक उपयोगकर्ता हूं। मैं जो कुछ भी जानकारी की आवश्यकता होगी (यदि कोई हो) की आपूर्ति करने की कोशिश करूंगा, लेकिन जल्द या बाद में कुछ प्रतिबंधों की संभावना होगी।
इसके अलावा अगर सिस्टम सिस्टम से संबंधित मेरी शब्दावली बंद है तो मैं माफी मांगना चाहता हूं - मैं कोई पेशेवर नहीं हूं। कृपया मुझे बताएं कि क्या मैं अपने शब्दों को कहीं भी सुधार सकता हूं।

ऑटोरन 'लोगन टैब (Microsoft प्रविष्टियाँ छिपी हुई हैं): ब्लैक-आउट सेक्शन एक स्क्रिप्ट है जो नेटवर्क ड्राइव को मैप करता है जो लॉग इन करने के आधार पर होता है, ऑटोरन' विनलॉगन टैब (केवल विंडोज प्रविष्टियाँ हैं):

windows-7

— Inarion
स्रोत

मुझे वास्तव में संदेह है कि यह एक स्थानीय संशोधन के कारण हुआ है कि आपके पीसी का नया बैच अभी तक पीड़ित नहीं हुआ है। (मुझे इस विशेष मुद्दे के लिए Microsoft को कोसने वाला कोई समाचार लेख याद नहीं है ...)

— user1686

यह निश्चित रूप से तीसरे पक्ष के कार्यक्रम के कारण होता है। क्या यह स्थानीय उपयोगकर्ता खातों के साथ होता है? सुरक्षित मोड में? सभी गैर-Microsoft स्टार्टअप एप्लिकेशन को अक्षम करने के लिए ऑटोरन का उपयोग करें और व्यवहार के लिए परीक्षण करें (ड्राइवरों और सेवाओं के साथ सावधान रहें, हालांकि यह सबसे अधिक संभावना है कि यह क्या कारण हो सकता है)।

— मैं कहता हूं कि मोनिका

इसके अलावा, 1) ऑटोरन में, Winlogonटैब पर क्या है ? यदि संभव हो तो कृपया उस टैब का स्क्रीन शॉट पोस्ट करें। 2) समस्या होने के बाद, कुंजी में लास्टलॉग्डऑनप्रोवाइडर वैल्यू का डेटा क्या है HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData\#? (जहां #सत्र संख्या एक से अधिक हो सकती है।)

— मेरा कहना है कि मोनिका

@TwistyImpersonator Autoruns ऐसा लगता है कि मैं अपने निजी पीसी पर भी उपयोग करना चाहता हूँ - सुंदर निफ्टी! 1) लॉगऑन टैब पर प्रविष्टियों का एक गुच्छा है, उनमें से कोई भी मुझे संदिग्ध नहीं लग रहा है। मेरे प्रश्न में एक स्क्रीनशॉट जोड़ देगा। 2) सभी कुंजियाँ LastLoggedOnProvider के लिए समान मान दिखाती हैं , हालाँकि लॉगऑनऑउज़रनाम में केवल पहली कुंजी मेरे उपयोगकर्ता नाम को दिखाती है जबकि अन्य सभी में मेरे सहकर्मी का नाम है (मैं जिनके साथ परीक्षण कर रहा था)।

— इरिऑन

@TwistyImpersonator स्थानीय खातों के बारे में: मुझे अभी भी उस परीक्षण की आवश्यकता है। मैं HKCU में प्रविष्टियों से परे कुछ भी अक्षम नहीं कर सकता क्योंकि मुझे ऐसा करने के लिए विशेषाधिकारों की कमी है। ऐसा करने के लिए हमारे आईटी लोगों को प्राप्त करना होगा।

— इरिऑन

जवाबों:

यह डिजाइन किया गया है।

इंटरएक्टिव लॉगऑन का संदर्भ लें : वर्कस्टेशन को अनलॉक करने के लिए डोमेन नियंत्रक प्रमाणीकरण की आवश्यकता होती है

यह एक सुरक्षा सेटिंग है जो अनिवार्य रूप से सक्षम नहीं होने पर उपयोगकर्ता को डोमेन नियंत्रक के लिए डब्ल्यू / ओ को सत्यापित करने की अनुमति देता है।

आपके मामले में उपयोगकर्ता A मान्य है और उसे कैश किया गया था। उपयोगकर्ता B को मान्य किया गया था और जब उपयोगकर्ता A वापस आया, तो उसने कैश्ड का उपयोग किया। यदि वह सेटिंग सेट है, तो उसे डोमेन नियंत्रक पर वापस प्रमाणीकरण की आवश्यकता होनी चाहिए ताकि ड्रॉ बैक वापस आ जाए। यदि आपके पास एक लैपटॉप है और अपना नेटवर्क कनेक्शन खो दिया है, तो आप अनलॉक करने के लिए डोमेन नियंत्रक से कैसे जुड़ेंगे। इसलिए यह एक 'खतरनाक' सेटिंग हो सकती है।

— todd_placher
स्रोत

धन्यवाद, लिंक मेरी सामान्य समझ के लिए मददगार था। हालाँकि, न तो आपके लिंक और न ही संबंधित Google परिणामों से संकेत मिलता है कि कैश्ड क्रेडेंशियल का उपयोग किसी उपयोगकर्ता को स्वचालित रूप से प्रमाणित करने के लिए किया जाएगा (पासवर्ड दर्ज करने की कोई आवश्यकता नहीं)। जहां तक मैं समझता हूं, यहां तक कि स्थानीय रूप से कैश्ड क्रेडेंशियल्स केवल इस बात की तुलना करते हैं कि उपयोगकर्ता लॉगिंग पर क्या दर्ज करता है। इसलिए सैद्धांतिक रूप से ऐसा कोई परिदृश्य मौजूद नहीं होना चाहिए जहां उपयोगकर्ता B उपयोगकर्ता A के रूप में लॉग इन कर सके, चाहे उपयोगकर्ता A के पास उसकी साख हो या न हो। कैश की गई। फिर भी ऐसा होता है।

— अनारियन

दिलचस्प है कि आपकी टिप्पणी ने विंडोज के लिए उपयोग की जाने वाली विभिन्न लॉगऑन विधियों में भिन्न क्या है, इस पर आश्चर्य जताया, विंडोज 10 के लिए इसे माइक्रोसॉफ्ट विंडोज क्रेडेंशियल प्रदाता एकीकरण के साथ बदल दिया गया था, एक गहरा गोता लगाने से आपको CREDENTIAL_PROVIDER_USS_SCENARIO एन्यूमरेशन मिलेगा टिप्पणी अनुभाग देखें

— todd_placher

टिप्पणी: विंडोज 10 में शुरू, CPUS_LOGON और CPUS_UNLOCK_WORKSTATION उपयोगकर्ता परिदृश्यों को जोड़ दिया गया है। यह सिस्टम को अनावश्यक रूप से सत्र बनाए और स्विच किए बिना कई उपयोगकर्ताओं को एक मशीन में लॉग इन करने में सहायता करने में सक्षम बनाता है। मशीन पर कोई भी उपयोगकर्ता एक बार चालू सत्र से बाहर जाने और नया बनाने की आवश्यकता के बिना इसे लॉक कर सकता है। इसके कारण, CPUS_LOGON का उपयोग किसी सिस्टम पर लॉगिंग के लिए या वर्कस्टेशन अनलॉक होने पर दोनों के लिए किया जा सकता है।

— टॉड_प्लाकर

ये गलत है। ओपी एक ऐसे मामले का सामना कर रहा है, जहां पहले से लॉग इन किया गया था, लेकिन लॉक किए गए खाते उपयोगकर्ता को बिना उनकी साख उपलब्ध कराए बिना अनलॉक हो जाते हैं । आपके द्वारा संदर्भित GPO सेटिंग Windows व्यवहार को नियंत्रित करती है जब क्रेडेंशियल्स प्रदान किए जाते हैं ... लेकिन उन क्रेडेंशियल्स को अभी भी लॉगऑन सत्र अनलॉक करने के लिए प्रदान किया जाना चाहिए।

— मैं कहता हूं कि मोनिका

तो ऐसा लगता है कि हमारे आईटी लोगों को समस्या मिल गई। हमारे सभी पीसी, चाहे डेल या एचपी ब्रांड, में एचपी रिमोट ग्राफिक्स सेंडर स्थापित है (मेरे पीसी के मामले में संस्करण 6.0.3)। संबंधित सेवा को अक्षम करने से तुरंत अपमानजनक व्यवहार बंद हो जाता है।

इस विशिष्ट सेवा ने Windows में इस तरह के अनसुने व्यवहार को सक्षम करने के लिए क्यों: हम नहीं जानते। हम पूरी तरह से क्लूलेस हैं।
हम इस समस्या के प्रति कोई अधिक संसाधन आवंटित नहीं करेंगे, क्योंकि हमें प्रेषक सेवा (केवल रिसीवर का उपयोग करके) की आवश्यकता नहीं है। इसलिए मैं केवल यह अनुमान लगा सकता हूं कि यह समस्या एचपी सॉफ्टवेयर और डेल ब्रांड के हमारे पीसी के बीच किसी प्रकार की असंगति के कारण हो सकती है। (प्रभावित पीसी के अधिकांश डेल से थे, हालांकि कुछ पुराने - एचपी कंप्यूटर भी दुर्व्यवहार कर रहे थे, इसलिए यह पूरी कहानी नहीं हो सकती है।)

सारी बातें माना जाता है कि सारा मामला असंतोषजनक रूप से रहस्यमय बना हुआ है, लेकिन दुर्भाग्य से मैं इस मामले की आगे जांच करने की स्थिति में नहीं हूं - दोनों एक धन से और साथ ही विशेषाधिकारों के दृष्टिकोण से।

— Inarion
स्रोत