我观察到我们办公室的一些电脑上的 Windows 7 有一个相当奇怪的行为:
- 用户A照常登录他的账户。
- 用户 A 锁定 PC(通过 Win+L 或类似方式)。
- 然后,用户 B(无论是谁,只要是具有不同用户帐户的人)使用其凭据登录同一台 PC(直接在 PC 上或远程登录)。
- 用户B再次注销。
- 在出现“注销”屏幕后,用户 A 的会话立即被解锁,而无需用户 A 的密码。
这种模式适用于所有受影响的 PC,适用于任意组合的用户帐户。我听我们的管理员提到,如果管理员帐户恰好一直登录在正确的 PC 上,它甚至可以解锁管理员帐户。然而,它不适用于我们最近为团队购买的一批较新的 PC。
这种“现象”是已知的吗?我无法通过谷歌找到类似行为的报告,所以我假设这一定是我们办公环境中特有的现象。Windows 7 配置中的哪些缺陷会导致这种行为?
背景信息:
- 我们的电脑运行的是 Windows 7 Professional,64 位。已安装 SP1。似乎会定期应用安全更新。
- 所有用户的帐户都是域帐户。
- 几个月前,我已将这一异常情况告知了我们的一位管理员,但由于这种行为仍然存在,我将尝试以更紧迫的方式提出这一问题(并确保这次也包括负责 IT 安全的人员)。
- 我知道这在信息安全方面有一些影响。(这允许冒充、访问受限网络驱动器等……)但至少在我的 PC 上,它严重扰乱了我的窗口排列,所以不可能有人在我事后不注意的情况下利用它。我确信它尚未得到处理的唯一原因是因为没有任何(已知的)滥用案例。此外,它需要对相应 PC 进行物理访问才能被利用。
- 我只是一个没有高级权限的用户。我会尽力提供所需的任何信息(如果有的话),但迟早可能会遇到一些限制。
- 另外,如果我的系统管理术语不正确,我深表歉意 - 我不是专业人士。如果我可以改进我的措辞,请告诉我。
Autoruns 的“登录”选项卡(Microsoft 条目被隐藏):
黑色部分是一个脚本,它根据登录者映射网络驱动器。Autoruns 的 Winlogon 选项卡(只有 Windows 条目):
答案1
这是已设计好的。
这是一个安全设置,如果未启用,则允许用户无需验证域控制器即可登录。
在您的案例中,用户 A 已验证并被缓存。用户 B 已验证,当用户 A 返回时,它使用缓存。如果设置了该设置,则应该需要重新向域控制器进行身份验证,因此存在缺点。如果您有一台笔记本电脑并且丢失了网络连接,您如何重新连接到域控制器以解锁。因此,这可能是一个“危险”的设置。
答案2
所以看来我们的 IT 人员发现了问题。我们所有的 PC,无论是戴尔还是惠普品牌,都HP 远程图形发送器已安装(我的电脑是版本 6.0.3)。禁用相应的服务会立即停止违规行为。
至于为什么这项特定服务会在 Windows 中启用这种闻所未闻的行为:我们不知道。我们完全一无所知。
我们很可能不会为这个问题分配更多资源,因为我们不需要发送方服务(只使用接收方)。所以我只能推测这个问题可能是由 HP 软件和我们的戴尔品牌 PC 之间的某种不兼容性引起的。(大多数受影响的 PC 来自戴尔,尽管几台 - 较旧的? - HP 电脑也出现故障,所以这不可能是全部情况。)
总而言之,整个事件仍然是一个令人难以满意的神秘事件,但不幸的是,我无法进一步调查此事——无论从资金还是特权的角度。