Iniciar sesión y volver a cerrarla cuando un usuario diferente desbloquea una PC bloqueada anteriormente: ¿cómo funciona?

11

Observé un comportamiento bastante curioso de Windows 7 en algunas de nuestras PC de oficina:

  1. El usuario A inicia sesión en su cuenta como de costumbre.
  2. El usuario A bloquea la PC (a través de Win + L o similar).
  3. El usuario B (no importa quién, solo tiene que ser alguien con una cuenta de usuario diferente) luego inicia sesión en la misma PC con sus credenciales (ya sea directamente en la PC o remotamente).
  4. El usuario B cierra la sesión nuevamente.
  5. Inmediatamente después de que se le presente la pantalla de "cierre de sesión", la sesión del usuario A se desbloquea, sin requerir la contraseña del usuario A.

Este patrón exacto funciona como se presenta en todas las PC afectadas con combinaciones arbitrarias de cuentas de usuario. He escuchado a nuestro administrador mencionar que incluso funciona para desbloquear cuentas de administrador, en caso de que alguna vez permanezcan en la PC correcta. Sin embargo, no funciona en un lote de PC más nuevas que obtuvimos recientemente para nuestro equipo.

¿Se conoce este "fenómeno"? No pude encontrar informes de comportamiento similar a través de Google, así que supongo que tiene que ser algo específico para nuestro entorno de oficina. ¿Qué falla en la configuración de Windows 7 podría conducir a tal comportamiento?

Algunos antecedentes:

  • Nuestras PC ejecutan Windows 7 Professional, 64 bits. SP1 está instalado. Las actualizaciones de seguridad parecen aplicarse regularmente.
  • Todas las cuentas de usuario son cuentas de dominio.
  • Informé a uno de nuestros administradores sobre esta peculiaridad hace unos meses, pero como el comportamiento persiste, intentaré presentar el problema de una manera más apremiante (y me aseguraré de incluir también al responsable de la seguridad de TI esta vez).
  • Sé que esto tiene algunas implicaciones con respecto a la seguridad de la información. (Esto permite la suplantación, el acceso a unidades de red restringidas, etc.). Pero al menos en mi PC, afecta seriamente los arreglos de mi ventana, por lo que no es probable que alguien lo explote sin que yo lo note después. Estoy seguro de que la única razón por la que aún no se ha tratado es porque no ha habido ningún caso (conocido) de abuso. También requiere acceso físico a la PC respectiva para ser explotable.
  • Solo soy un usuario sin privilegios elevados. Trataré de proporcionar la información que sea necesaria (si la hubiera), pero es probable que llegue a alguna restricción tarde o temprano.
  • También me gustaría disculparme si mi terminología con respecto a la administración del sistema está desactivada, no soy profesional. Avíseme si puedo mejorar mi redacción en cualquier lugar.

Pestaña de inicio de sesión de Autoruns (las entradas de Microsoft están ocultas): Pestaña de inicio de sesión de Autoruns (las entradas de Microsoft están ocultas) la sección bloqueada es un script que asigna unidades de red según quién inicie sesión. Pestaña de inicio de sesión de Autoruns (solo hay entradas de Windows): Pestaña Winlogon de Autoruns (solo hay entradas de Windows)

windows-7 Inarion
fuente
Realmente sospecho que es causado por una modificación local que su nuevo lote de PC aún no ha sufrido. (No recuerdo ningún artículo de noticias que critique a Microsoft por este problema en particular ...)
user1686
1
Esto definitivamente es causado por un programa de terceros. ¿Esto sucede con las cuentas de usuario locales? En modo seguro? Use Autoruns para deshabilitar todas las aplicaciones de inicio que no sean de Microsoft y pruebe el comportamiento (tenga cuidado con los controladores y servicios, aunque lo más probable es que eso sea lo que lo esté causando).
Digo Reinstate Monica
Además, 1) en Autoruns, ¿qué hay en la Winlogonpestaña? Publique una captura de pantalla de esa pestaña si es posible. 2) Después de que se produce el problema, ¿cuáles son los datos del valor LastLoggedOnProvider en la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData\#? (¿Dónde #está el número de sesión del cual puede haber más de uno?)
Digo Reinstate Monica
@TwistyImpersonator Autoruns parece que también querré usar eso en mi PC privada, ¡bastante ingenioso! 1) Hay un montón de entradas en la pestaña de inicio de sesión, ninguna de ellas me parece sospechosa. Agregará una captura de pantalla a mi pregunta. 2) Todas las claves muestran el mismo valor para LastLoggedOnProvider , sin embargo, solo la primera clave muestra mi nombre de usuario en LoggedOnUsername, mientras que todas las demás tienen el nombre de mi colega (con el que estaba realizando las pruebas).
Inarion
@TwistyImpersonator Con respecto a las cuentas locales: todavía necesito probar eso. No puedo desactivar nada más allá de las entradas en HKCU ya que me faltan los privilegios para hacerlo. Tendrá que hacer que nuestros chicos de TI hagan eso.
Inarion

Respuestas:

0

Esto se ha diseñado.

Consulte Inicio de sesión interactivo: Requerir autenticación de controlador de dominio para desbloquear estación de trabajo

Es una configuración de seguridad que esencialmente si no está habilitada permite al usuario iniciar sesión sin validar en un controlador de dominio.

En su caso, el usuario A se validó y se almacenó en caché. El usuario B fue validado y cuando el usuario A regresó, usó el caché. Si esa configuración está establecida, debería requerir una nueva autenticación de nuevo al controlador de dominio para que haya una desventaja. Si tiene que decir una computadora portátil y perdió su conexión de red, ¿cómo se conecta de nuevo al controlador de dominio para desbloquear? Por lo tanto, puede ser un entorno "peligroso".

todd_placher
fuente
Gracias, el enlace fue útil para mi comprensión general. Sin embargo, ni su enlace ni los resultados relacionados de Google indican que las credenciales almacenadas en caché se usarían para autenticar automáticamente a un usuario (no es necesario ingresar una contraseña). Según tengo entendido, incluso las credenciales almacenadas en caché localmente sirven solo como una comparación de lo que el usuario ingresa al iniciar sesión. Entonces, en teoría, no debería existir un escenario en el que el Usuario B pueda iniciar sesión como Usuario A, ya sea que el Usuario A haya tenido o no sus credenciales en caché Sin embargo, todavía sucede.
Inarion
Lo suficientemente interesante es que su comentario provocó una maravilla sobre qué es diferente en las diversas metodologías de inicio de sesión utilizadas por Windows, para Windows 10 se reemplazó con Microsoft Windows Credential Provider Integration, haciendo una inmersión más profunda encontrará la enumeración
CREDENTIAL_PROVIDER_USAGE_SCENARIO
Observaciones: a partir de Windows 10, los escenarios de usuario CPUS_LOGON y CPUS_UNLOCK_WORKSTATION se han combinado. Esto permite que el sistema admita que varios usuarios inicien sesión en una máquina sin crear y cambiar sesiones innecesariamente. Cualquier usuario en la máquina puede iniciar sesión una vez que se ha bloqueado sin necesidad de salir de una sesión actual y crear una nueva. Debido a esto, CPUS_LOGON se puede usar tanto para iniciar sesión en un sistema como cuando una estación de trabajo está desbloqueada.
todd_placher
Esto está mal. El OP está experimentando un caso en el que una cuenta previamente iniciada pero bloqueada se desbloquea sin que el usuario proporcione sus credenciales . La configuración de GPO a la que hace referencia controla el comportamiento de Windows cuando se proporcionan las credenciales ... pero esas credenciales aún deben proporcionarse para que se desbloquee la sesión de inicio de sesión.
Digo Reinstate Monica
0

Parece que nuestros chicos de TI encontraron el problema. Todas nuestras PC, ya sean de la marca Dell o HP, tienen instalado HP Remote Graphics Sender (Versión 6.0.3 en el caso de mi PC). Deshabilitar el servicio correspondiente detiene inmediatamente el comportamiento ofensivo.

En cuanto a por qué este servicio específico permitió ese tipo de comportamiento inaudito en Windows: no lo sabemos. Estamos completamente desorientados.
Lo más probable es que no asignemos más recursos para este problema, ya que no necesitamos el servicio del Remitente (solo usando el Receptor). Así que solo puedo especular que el problema podría ser causado por algún tipo de incompatibilidad entre el software de HP y nuestras PC de la marca Dell. (La mayoría de las PC afectadas eran de Dell, aunque un par de computadoras más viejas también se portaban mal, así que esa no puede ser la historia completa).

A fin de cuentas, todo el asunto sigue siendo insatisfactoriamente misterioso, pero desafortunadamente no estoy en condiciones de investigar más a fondo este asunto, tanto desde el punto de vista financiero como privilegiado.

Inarion
fuente