none
Чехарда с профилями и паролями. RRS feed

  • Вопрос

  • Уважаемые коллеги, нужна помощь и совет. В одном из филиалов произошло любопытное происшествие. Конечно, никто из пользователей ничего не делал-с их слов. Но результат есть. 

    На компьютере 2 учетных записи: admin и user-права соответственные, и у каждой свой пароль. Потом что-то произошло после чего в профиль админа стало возможно заходить под паролем пользователя (!!!), но и под собственным паролем тоже! И это не все, естественно, под пользователем при попытке сделать что-либо требующее повышения прав -появляется окно с запросом пароля. Нажимаем ок, не вводя ничего- и вуаля -все выполнилось (ясное дело, потому что пароль user стал почему-то подходить к учетке admin).

    Заходим Панель управления-Учетные записи пользователей-admin И видим, что мы не можем удалить или поменять пароль, зато есть кнопка-создать пароль. Если ею воспользоваться, то у у четки будет 3 равноправных пароля!?!

    Идеи? вероятность вирусной активности или действий человека-пользователя 50 на 50. Хотя твиков, программ или утилит с подобным функционалом найти в поисковиках (как это бы сделал юзер -не удалось). Однако информации о подобном вирусе или малвари -тоже. Конечно, у кого-то мог оказаться талантливый друг-программист... 

    Однако дело серьезное, таких машин 4-все из одного филиала. Локальная сеть там по-братски делится с другой конторой (хозяева-они) -сейчас ищу способа через их системщиков проверить-есть ли такой феномен на их компах. А пока жду советов от коллег. 

    7 декабря 2012 г. 17:14

Ответы

  • Инженер Microsoft подтвердил мои догадки. Некорректно настроенный wim-образ, не обработанный sysprep, и с перенесенными настройками из встроенной учетной записи администратора в учетную запись пользователя, созданную в режиме аудита-привели к такой чехарде с паролями. Тему можно закрывать.

    Всем спасибо, за участие и помощь!

    • Помечено в качестве ответа Yuriy Lenchenkov 21 декабря 2012 г. 11:32
    11 декабря 2012 г. 8:15

Все ответы

  • в профиль админа стало возможно заходить под паролем пользователя (!!!), но и под собственным паролем тоже! И это не все, естественно, под пользователем при попытке сделать что-либо требующее повышения прав -появляется окно с запросом пароля. Нажимаем ок, не вводя ничего- и вуаля -все выполнилось (ясное дело, потому что пароль user стал почему-то подходить к учетке admin).
    выполните этот сценарий для командной строки и потом команду whoami. И net user выполните без параметров и потом net user ИмяПользователя для всех  и вывод покажите.

    I'm preparing for the exam 70-660 TS: Windows Internals

    7 декабря 2012 г. 19:46
  • Хм.. "этот сценарий" -что имелось в виду? Встроенный "Администратор" -отключен. По остальному:

    Под админом: whomami >> compname\admin

    Expert:  whoami >> compname\Expert

    net user >> admin Expert Администратор Гость

    C:\Users\admin>net user admin
    Имя пользователя                       admin
    Полное имя                             admin
    Комментарий
    Комментарий пользователя
    Код страны                             000 (Стандартный системный)
    Учетная запись активна                 Yes
    Учетная запись просрочена              Никогда
    
    Последний пароль задан                 05.12.2012 18:10:30
    Действие пароля завершается            Никогда
    Пароль допускает изменение             05.12.2012 18:10:30
    Требуется пароль                       Yes
    Пользователь может изменить пароль     Yes
    
    Разрешенные рабочие станции            Все
    Сценарий входа
    Конфигурация пользователя
    Основной каталог
    Последний вход                         10.12.2012 10:23:24
    
    Разрешенные часы входа                 Все
    
    Членство в локальных группах           *Администраторы
    Членство в глобальных группах          *None
    Команда выполнена успешно.


    C:\Users\admin>net user Expert
    Имя пользователя                       Expert
    Полное имя
    Комментарий
    Комментарий пользователя
    Код страны                             000 (Стандартный системный)
    Учетная запись активна                 Yes
    Учетная запись просрочена              Никогда
    
    Последний пароль задан                 05.12.2012 18:10:52
    Действие пароля завершается            Никогда
    Пароль допускает изменение             05.12.2012 18:10:52
    Требуется пароль                       No
    Пользователь может изменить пароль     Yes
    
    Разрешенные рабочие станции            Все
    Сценарий входа
    Конфигурация пользователя
    Основной каталог
    Последний вход                         07.12.2012 17:18:04
    
    Разрешенные часы входа                 Все
    
    Членство в локальных группах           *Пользователи
    Членство в глобальных группах          *None
    Команда выполнена успешно.
    C:\Users\admin>net user Гость
    Имя пользователя                       Гость
    Полное имя
    Комментарий                            Встроенная учетная запись для доступа гос
    тей к компьютеру или домену
    Комментарий пользователя
    Код страны                             000 (Стандартный системный)
    Учетная запись активна                 Yes
    Учетная запись просрочена              Никогда
    
    Последний пароль задан                 10.12.2012 10:33:17
    Действие пароля завершается            Никогда
    Пароль допускает изменение             10.12.2012 10:33:17
    Требуется пароль                       No
    Пользователь может изменить пароль     No
    
    Разрешенные рабочие станции            Все
    Сценарий входа
    Конфигурация пользователя
    Основной каталог
    Последний вход                         26.11.2012 16:01:37
    
    Разрешенные часы входа                 Все
    
    Членство в локальных группах           *Гости
    Членство в глобальных группах          *None
    Команда выполнена успешно.



    C:\Users\admin>net user Администратор
    Имя пользователя                       Администратор
    Полное имя
    Комментарий                            Встроенная учетная запись администратора
    компьютера/домена
    Комментарий пользователя
    Код страны                             000 (Стандартный системный)
    Учетная запись активна                 No
    Учетная запись просрочена              Никогда
    
    Последний пароль задан                 14.07.2009 8:55:45
    Действие пароля завершается            Никогда
    Пароль допускает изменение             14.07.2009 8:55:45
    Требуется пароль                       Yes
    Пользователь может изменить пароль     Yes
    
    Разрешенные рабочие станции            Все
    Сценарий входа
    Конфигурация пользователя
    Основной каталог
    Последний вход                         09.10.2010 18:55:54
    
    Разрешенные часы входа                 Все
    
    Членство в локальных группах           *Администраторы
    Членство в глобальных группах          *None
    Команда выполнена успешно.

    Если есть еще идеи. Жду с нетерпением и надеждой =) Срок расследования до завтра-все-таки решается судьба людей, работавших за данными машинами. Возможно, это тоже имеет значение, но под пользователем admin не работает сетевая карта, под обычным юзером Expert -сеть работает нормально. Также пользователь Expert входит в группу Debuggers users вместе с учеткой NT Authority\система (S-1-5-18)




    • Изменено Злата 10 декабря 2012 г. 7:48
    10 декабря 2012 г. 6:52
  • Хм.. "этот сценарий" -что имелось в виду?

    Что у аккаутна не может быть более одного пароля, а у Вас, как я понял, такая ситтуация что 2 пароля есть, вот и спросил показать этот сценарий работы на машине
    пользователь Expert входит в группу Debuggers users
    вот и ответ на Ваш вопрос, откуда у пользователя так много прав

    I'm preparing for the exam 70-660 TS: Windows Internals

    10 декабря 2012 г. 8:14
  • Удаление из группы ситуацию не исправило. Во-вторых ответа на вопрос как он их получил-эти права, не выяснено. И сама ситуация из ряда вон. Почему у каждого пользователя по 2 пароля ( а можно сделать и больше),  и почему через панель управления нелоьзя удалить/изменить пароль, зато можно сделать еще пару десятков.

    Вот основные вопросы на которые мне необходимо найти ответы. Полагаю, у вас тоже фантазия иссякла. Сравниваю сейчас куски реестра со здоровой машины и на "необычной" -пока ничего не удалось найти.

    10 декабря 2012 г. 8:23
  • А аудит безопасности включен? Что в журнале событий?


    I'm preparing for the exam 70-660 TS: Windows Internals

    10 декабря 2012 г. 11:17
  • Аудит успеха там один. Весь евент вьевер перечитала с лупой, но аномалий никак не могу найти. Попробую к инженеру Microsoft заонить, если решим проблему-отпишусь для истории: что же это было.
    10 декабря 2012 г. 11:33
  • Инженер Microsoft подтвердил мои догадки. Некорректно настроенный wim-образ, не обработанный sysprep, и с перенесенными настройками из встроенной учетной записи администратора в учетную запись пользователя, созданную в режиме аудита-привели к такой чехарде с паролями. Тему можно закрывать.

    Всем спасибо, за участие и помощь!

    • Помечено в качестве ответа Yuriy Lenchenkov 21 декабря 2012 г. 11:32
    11 декабря 2012 г. 8:15