none
Чехарда с профилями и паролями. RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Уважаемые коллеги, нужна помощь и совет. В одном из филиалов произошло любопытное происшествие. Конечно, никто из пользователей ничего не делал-с их слов. Но результат есть. 

    На компьютере 2 учетных записи: admin и user-права соответственные, и у каждой свой пароль. Потом что-то произошло после чего в профиль админа стало возможно заходить под паролем пользователя (!!!), но и под собственным паролем тоже! И это не все, естественно, под пользователем при попытке сделать что-либо требующее повышения прав -появляется окно с запросом пароля. Нажимаем ок, не вводя ничего- и вуаля -все выполнилось (ясное дело, потому что пароль user стал почему-то подходить к учетке admin).

    Заходим Панель управления-Учетные записи пользователей-admin И видим, что мы не можем удалить или поменять пароль, зато есть кнопка-создать пароль. Если ею воспользоваться, то у у четки будет 3 равноправных пароля!?!

    Идеи? вероятность вирусной активности или действий человека-пользователя 50 на 50. Хотя твиков, программ или утилит с подобным функционалом найти в поисковиках (как это бы сделал юзер -не удалось). Однако информации о подобном вирусе или малвари -тоже. Конечно, у кого-то мог оказаться талантливый друг-программист... 

    Однако дело серьезное, таких машин 4-все из одного филиала. Локальная сеть там по-братски делится с другой конторой (хозяева-они) -сейчас ищу способа через их системщиков проверить-есть ли такой феномен на их компах. А пока жду советов от коллег. 

    7 декабря 2012 г. 17:14
    |

Ответы

  • Question
    Нужно войти
    0
    Нужно войти

    Инженер Microsoft подтвердил мои догадки. Некорректно настроенный wim-образ, не обработанный sysprep, и с перенесенными настройками из встроенной учетной записи администратора в учетную запись пользователя, созданную в режиме аудита-привели к такой чехарде с паролями. Тему можно закрывать.

    Всем спасибо, за участие и помощь!

    • Помечено в качестве ответа Yuriy Lenchenkov 21 декабря 2012 г. 11:32
    11 декабря 2012 г. 8:15
    |

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти
    в профиль админа стало возможно заходить под паролем пользователя (!!!), но и под собственным паролем тоже! И это не все, естественно, под пользователем при попытке сделать что-либо требующее повышения прав -появляется окно с запросом пароля. Нажимаем ок, не вводя ничего- и вуаля -все выполнилось (ясное дело, потому что пароль user стал почему-то подходить к учетке admin).
    выполните этот сценарий для командной строки и потом команду whoami. И net user выполните без параметров и потом net user ИмяПользователя для всех  и вывод покажите.

    I'm preparing for the exam 70-660 TS: Windows Internals

    7 декабря 2012 г. 19:46
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Хм.. "этот сценарий" -что имелось в виду? Встроенный "Администратор" -отключен. По остальному:

    Под админом: whomami >> compname\admin

    Expert:  whoami >> compname\Expert

    net user >> admin Expert Администратор Гость

    C:\Users\admin>net user admin
Имя пользователя                       admin
Полное имя                             admin
Комментарий
Комментарий пользователя
Код страны                             000 (Стандартный системный)
Учетная запись активна                 Yes
Учетная запись просрочена              Никогда

Последний пароль задан                 05.12.2012 18:10:30
Действие пароля завершается            Никогда
Пароль допускает изменение             05.12.2012 18:10:30
Требуется пароль                       Yes
Пользователь может изменить пароль     Yes

Разрешенные рабочие станции            Все
Сценарий входа
Конфигурация пользователя
Основной каталог
Последний вход                         10.12.2012 10:23:24

Разрешенные часы входа                 Все

Членство в локальных группах           *Администраторы
Членство в глобальных группах          *None
Команда выполнена успешно.


    C:\Users\admin>net user Expert
Имя пользователя                       Expert
Полное имя
Комментарий
Комментарий пользователя
Код страны                             000 (Стандартный системный)
Учетная запись активна                 Yes
Учетная запись просрочена              Никогда

Последний пароль задан                 05.12.2012 18:10:52
Действие пароля завершается            Никогда
Пароль допускает изменение             05.12.2012 18:10:52
Требуется пароль                       No
Пользователь может изменить пароль     Yes

Разрешенные рабочие станции            Все
Сценарий входа
Конфигурация пользователя
Основной каталог
Последний вход                         07.12.2012 17:18:04

Разрешенные часы входа                 Все

Членство в локальных группах           *Пользователи
Членство в глобальных группах          *None
Команда выполнена успешно.
    C:\Users\admin>net user Гость
Имя пользователя                       Гость
Полное имя
Комментарий                            Встроенная учетная запись для доступа гос
тей к компьютеру или домену
Комментарий пользователя
Код страны                             000 (Стандартный системный)
Учетная запись активна                 Yes
Учетная запись просрочена              Никогда

Последний пароль задан                 10.12.2012 10:33:17
Действие пароля завершается            Никогда
Пароль допускает изменение             10.12.2012 10:33:17
Требуется пароль                       No
Пользователь может изменить пароль     No

Разрешенные рабочие станции            Все
Сценарий входа
Конфигурация пользователя
Основной каталог
Последний вход                         26.11.2012 16:01:37

Разрешенные часы входа                 Все

Членство в локальных группах           *Гости
Членство в глобальных группах          *None
Команда выполнена успешно.



    C:\Users\admin>net user Администратор
Имя пользователя                       Администратор
Полное имя
Комментарий                            Встроенная учетная запись администратора
компьютера/домена
Комментарий пользователя
Код страны                             000 (Стандартный системный)
Учетная запись активна                 No
Учетная запись просрочена              Никогда

Последний пароль задан                 14.07.2009 8:55:45
Действие пароля завершается            Никогда
Пароль допускает изменение             14.07.2009 8:55:45
Требуется пароль                       Yes
Пользователь может изменить пароль     Yes

Разрешенные рабочие станции            Все
Сценарий входа
Конфигурация пользователя
Основной каталог
Последний вход                         09.10.2010 18:55:54

Разрешенные часы входа                 Все

Членство в локальных группах           *Администраторы
Членство в глобальных группах          *None
Команда выполнена успешно.

    Если есть еще идеи. Жду с нетерпением и надеждой =) Срок расследования до завтра-все-таки решается судьба людей, работавших за данными машинами. Возможно, это тоже имеет значение, но под пользователем admin не работает сетевая карта, под обычным юзером Expert -сеть работает нормально. Также пользователь Expert входит в группу Debuggers users вместе с учеткой NT Authority\система (S-1-5-18)




    • Изменено Злата 10 декабря 2012 г. 7:48
    10 декабря 2012 г. 6:52
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Хм.. "этот сценарий" -что имелось в виду?

    Что у аккаутна не может быть более одного пароля, а у Вас, как я понял, такая ситтуация что 2 пароля есть, вот и спросил показать этот сценарий работы на машине
    пользователь Expert входит в группу Debuggers users
    вот и ответ на Ваш вопрос, откуда у пользователя так много прав

    I'm preparing for the exam 70-660 TS: Windows Internals

    10 декабря 2012 г. 8:14
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Удаление из группы ситуацию не исправило. Во-вторых ответа на вопрос как он их получил-эти права, не выяснено. И сама ситуация из ряда вон. Почему у каждого пользователя по 2 пароля ( а можно сделать и больше),  и почему через панель управления нелоьзя удалить/изменить пароль, зато можно сделать еще пару десятков.

    Вот основные вопросы на которые мне необходимо найти ответы. Полагаю, у вас тоже фантазия иссякла. Сравниваю сейчас куски реестра со здоровой машины и на "необычной" -пока ничего не удалось найти.

    10 декабря 2012 г. 8:23
    |
  • Question
    Нужно войти
    0
    Нужно войти

    А аудит безопасности включен? Что в журнале событий?

    I'm preparing for the exam 70-660 TS: Windows Internals

    10 декабря 2012 г. 11:17
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Аудит успеха там один. Весь евент вьевер перечитала с лупой, но аномалий никак не могу найти. Попробую к инженеру Microsoft заонить, если решим проблему-отпишусь для истории: что же это было.
    10 декабря 2012 г. 11:33
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Инженер Microsoft подтвердил мои догадки. Некорректно настроенный wim-образ, не обработанный sysprep, и с перенесенными настройками из встроенной учетной записи администратора в учетную запись пользователя, созданную в режиме аудита-привели к такой чехарде с паролями. Тему можно закрывать.

    Всем спасибо, за участие и помощь!

    • Помечено в качестве ответа Yuriy Lenchenkov 21 декабря 2012 г. 11:32
    11 декабря 2012 г. 8:15
    |