Почему при включении ПК произошел автоматический вход в систему?
Приветствую
Такой вопрос чисто для морального облегчения
Для контекста - у меня при событии включения и входа в учетную запись стоят батники которые отправляют соответствующую информацию моему ТГ-боту (не накидывайтесь просто удобства ради) Система Windows 11
СУТЬ (не накидывайтесь, опять же сильно, в системе куча важных мне файлов):
Просыпаюсь утром смотрю в боте сообщения включения и захода в запись.
Захожу в учетку и по скорости понимаю соответственно что она уже была загружена. Испугался пошел смотреть журнал событий, а там как оказалось все в порядке но в следующую секунду после включения системы произошел автоматический вход.
Я отключаюсь от сети, меняю пароли, запустил параллельно Касперский (знаю что он много что игнорит) и Средство удаления вредоносных программ (знаю что не всё что он обнаруживает - вирусы) думая что может что-то каким-то образом прописалось в системную учетку параллельно начинаю изучать события.
Выяснил несколько вещей - это не связано с RDP (был такой вариант), это точно не что то ручное и тот факт что неудачных попыток входа нет.
Прогуглил проблему, зашел в Параметры > Учетные записи > Варианты входа и вижу ползунок "Использовать мои данные для входа, чтобы автоматически завершить настройку после обновления"
Обновления это не могли быть, но вспомнил что накануне, за 2 дня до этого, ставил драйвера для превращения Kinect в 3Д-сканер и VCABLE для виртуального кабеля. После чего меня просили перезагрузиться чего я делать не стал в силу необходимости той сессии компа в тот момент.
Получается это драйвера виноваты и ползунок? И я зря обосрался?
Для меня просто крайне странно что система сама использует твои учетные данные и входит в твою учетку сразу при включении. Жестко навалил из-за паролей.
P.S. смог устранить симптомы только отключением ползунка "Использовать мои данные для входа, чтобы автоматически завершить настройку после обновления". Обновления отключены Вабом изначально, и непонятно что это вообще. Симптом устранен но вопрос остается открытым - из-за чего он проявляется. Выглядит как странный баг, на который обычный пользователь не обратит внимание.
Редактирования политики, пользователей, реестра, отключение служб, безопасный режим, удаление автовхода через Autolog не привели к устранению проблемы, только ползунок в параметрах, так что вопрос остается открытым и звучит так же - в каких случаях при включённом "Использовать мои данные для входа, чтобы автоматически завершить настройку после обновления" система может использовать ваши учетные данные помимо обновлений? (они точно были отключены)
...у меня при событии включения и входа в учетную запись...
...система сама использует твои учетные данные и входит в твою учетку
Хотелось бы уточнить - какую учётку вы имеете ввиду? Вы об этом не заикнулись ни единым словом. Майкрософтовскую? Может быть, гугловскую (например, если у вас один из сервисов гугла в автозагрузке)? Или ещё чью-то?
Очень надеюсь, что не свою локальную виндовскую, поскольку вход в неё при включении ПК - дело абсолютно нормальное (собственно, ради входа в неё мы и включаем комп).
Параметры > Учетные записи > Варианты входа и вижу ползунок "Использовать мои данные для входа, чтобы автоматически завершить настройку после обновления"
не приводит к логину на рабочий стол, только продолжение фич обновления в фоне
Асфар Марвин, не секрет, через планировщик задач встроенный в винду.
Делаем батники с отправкой запроса на сервера тг указываем токен бота, свой ID (не ник, а именно ID получить можно через бота например, @TheGetAnyID_bot)
Пример батника
curl.exe -X POST "https://api.telegram.org/bot<ТокенОтBotFather>/sendMessage" -d chat_id="" -d text="PC is started"
в text= указываем текст который хотим чтобы приходил
Получается отправлять только латинскими символами, с русским текстом всё хочу разобраться да никак чет руки не дотянутся. В теории можно добавить статистику типа последнее включение до этого и от чего включился.
Сохраняем батник куда-нибудь и в планировщике задач создаем новые задачи. Действие ставим Запуск программы и указываем путь до батника. Триггеры для события включения соответственно ставим "при запуске" а для сессий учеток у меня стоит:
событие 21 для первого захода в учетку в журнале Microsoft-Windows-TerminalServices-LocalSessionManager/Operational (источник Microsoft-Windows-TerminalServices-LocalSessionManager)
событие 25 для последующих заходов в учетку там же
Но лучше поизучать какие события под ваши задачи подходят эти события у меня для RDP сделаны
В качестве триггера можно использовать любые
Виктор, имеется в виду локальная учетка винды.
И нет, до ввода вами пароля, событие входа в вашу учетку дело абсолютно не нормальное, и чтобы подобная активность была легальной это реально должны быть либо обновления, либо возможно, насчет чего я и спрашиваю, завершение установки драйверов и компонентов.
Вопрос в том в каких случаях система может сама войти в твою учетку используя твои данные и создать сессию пользователя, помимо установки обновлений.
#, точно не приводит к активной сессии рабочего стола, учитывая что используется формулировка "входа"? Получается какая-то нештатная тема прописавшаяся в запуск системы как-то получившая пароль? Ну других вариантов будто бы нет в таком случае...
Это единственный известный вариант полноценного автологина на рабочий стол (если не учитывать RDP).
Пример того, как это выглядит при экспорте ветки реестра:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1" ; включает автологин
"DefaultUserName"="User" ; имя учётной записи
"DefaultPassword"="password" ; сохранённый пароль
Если AutoAdminLogon=1 и присутствует DefaultPassword — автологин включён.
Подобный автовход настраивается, например, через Sysinternals AutoLogon.
Далее нужно проверить, какой тип входа был зафиксирован в журнале событий:
Logon Type 2 — интерактивный вход (реально открыт рабочий стол)
Logon Type 5 — сервисный вход (фоновая сессия, без рабочего стола)
Logon Type 7 — разблокировка существующей сессии
По типу входа можно понять, был ли это настоящий вход пользователя или только фоновая активность.
Обновлено: смог устранить симптомы только отключением ползунка "Использовать мои данные для входа, чтобы автоматически завершить настройку после обновления". Обновления отключены Вабом изначально, и непонятно что это вообще. Симптом устранен но вопрос остается открытым - из-за чего он проявляется. Выглядит как странный баг, на который обычный пользователь не обратит внимание.
Редактирования политики, пользователей, реестра, отключение служб, безопасный режим, удаление автовхода через Autologon не привели к устранению проблемы, только ползунок в параметрах, так что вопрос остается открытым и звучит так же - в каких случаях при включённом "Использовать мои данные для входа, чтобы автоматически завершить настройку после обновления" система может использовать ваши учетные данные помимо обновлений и создавать вход в сессию с типом 2? (они точно были отключены)
Ответ на то что выше
Спасибо за совет! Но причину такого поведения это не дало, только улики
Тип входа в событиях 2. Это значит что то реально интерактивно зашло.
В реестре нет параметров AutoAdminLogon DefaultUserName DefaultPassword DefaultDomainName.
Есть AutoLogonSID с длинным значением, AutoRestartShell и LastUsedUsername с моим именем и куча других не относящихся к теме вещей по типа Shell, RebootBootOk и т.д.
Прога AutoLogon думаю может решить проблему, но это ведь устранит симптом, а не первопричину такого поведения.
Думал на службы какие то, поотрубал много, потом запустился в безопасном режиме та же ситуация.
Ищу в задачах что может стоять... пока не могу ничего найти.
Что интересно в событии "Выполнена попытка входа в систему" до самого входа Имя целевого сервера: localhost
Скопировал данные проверил еще через Process Monitor и по PID нашел процесс lsass.exe с путем C:\\Windows\System32\lsasrv.dll
Еще увидел в XML Task предположительно номер задачи в планировщике
Как по этому номеру можно попробовать её найти?
AutoLogonSID обычно появляется, если отключить требование пароля при входе в Windows.
Это можно проверить в ветке реестра HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device - там должен быть параметр DevicePasswordLessBuildVersion со значением 0
redabyq, суть немного другая - изначально в Windows 11 в управлении учетными записями отсутствует флажок "Требовать ввод имени пользователя и пароля" (User must enter a username and password to use this computer). Ключ в реестре нужен, чтобы показать этот флажок.
Для автологона этот флажок снимается, указывается два раза пароль нужной учетки и перегружается комп - после этого в реестре появляется параметр AutoLogonSID
Можно попробовать узнать что за пользователь скрывается за AutoLogonSID (запустить PowerShell от админа):
Роман Безруков, вы гений, спасибо! Теперь флажок видно и он включен! Это хоть и не дает ответов, но уже помогает лучше понять что вообще происходит!
А по поводу пользователя под SID - он вывел мой логин, подозреваю раз авто-вход был в мою учетку, он именно это и должен был вывести, просто тогда вопрос - причина всего этого?
Еще на всякий случай тут повторюсь что симптом авто-входа был устранен лишь путем отключения ползунка "Использовать мои данные для входа, чтобы автоматически завершить настройку после обновления" в параметрах, но причина тряски остается загадкой, учитывая то выходит так - Autologon был отключен всем чем можно было его отключить кроме ползунка, и при этом всё равно происходил.
Выходит ползунок на что то влияет помимо обновлений
Главное что это не вирус видимо, а скорее баг какой то... что-ж и на том спасибо
