zahni 554 Geschrieben 6. Oktober 2017 Melden Teilen Geschrieben 6. Oktober 2017 Hi, ich dachte erst, Lenovo liefert ein vermurkste Installation. Daher habe ich mittels Media Creation Tool einen Stick erstellt und das Notebook neu installiert. In der Registry gibt es überall in den Berechtigungen ein unbekanntes Konto. Hat MS vergessen das zu bereinigen? -Zahni Zitieren Link zu diesem Kommentar
mba 133 Geschrieben 7. Oktober 2017 Melden Teilen Geschrieben 7. Oktober 2017 Ev. ein Anti-Theft aktiviert? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Oktober 2017 Melden Teilen Geschrieben 7. Oktober 2017 Moin Zahni, schon geschaut bei h++ps://support.lenovo.com/de/de Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 11. Oktober 2017 Melden Teilen Geschrieben 11. Oktober 2017 Hallo, bei Server 2016 gibt es das unbekannte Konto auch in der Registry. Gruß Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 11. Oktober 2017 Melden Teilen Geschrieben 11. Oktober 2017 Hallo, bei Server 2016 gibt es das unbekannte Konto auch in der Registry. Gruß Konto oder SID? Ist es vll. der Trust Installer? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 11. Oktober 2017 Autor Melden Teilen Geschrieben 11. Oktober 2017 @Lefg, wo ist der Unterschied? Wenn das Konto "unbekannt ist" steht da nur noch die SID, die eindeutig eine lange "USER"-SID ist. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 11. Oktober 2017 Melden Teilen Geschrieben 11. Oktober 2017 (bearbeitet) @Zahni Ich nehme an, Du hast bei Lenovo mal geschaut, im Forum dort einen Thread aufgemacht, den Support kontaktiert? Edit: Ich hab da nichts gefunden. :) bei Server 2016 gibt es das unbekannte Konto auch in der Registry. Ist der auch von Lenovo? Edit: Hat sich erledigt. Ich hab jetzt mal bei mir nachgesehen, es ist nicht der Trustinstaller, das unbekannte Konto hat eine SID S-1-15-3-1024 ........ Und die Installation ist nicht von Lenovo. bearbeitet 11. Oktober 2017 von lefg Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 12. Oktober 2017 Melden Teilen Geschrieben 12. Oktober 2017 Hallo, in einem Fall war es der Lokale Dienst, in den Berechtigungseinstellungen hinzugefügt, dann konnte er es auflösen und das unbekannte Konto war weg. Leider nur in diesem Schlüssel. HKEY_CLASS_ROOT\CLSID Schlüssel. Server 2016 ist wie eine Kiste Bananen, reift beim Kunden nach. ;-) Gruß Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. Oktober 2017 Autor Melden Teilen Geschrieben 12. Oktober 2017 Ne, wenn es ein gültiges Konto wäre, würde es auch angezeigt werden. Eventuell wurde der Eintrag beim Schreiben gelöscht. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 12. Oktober 2017 Melden Teilen Geschrieben 12. Oktober 2017 (bearbeitet) Mit Suchwort SID S-1-15-3-1024 gibt es einige Hits https://social.technet.microsoft.com/Forums/windows/en-US/3e7d85e3-d0e1-4e79-8141-0bbf8faf3644/windows-10-anniversary-update-the-case-of-the-mysterious-account-sid-causing-the-flood-of-dcom?forum=win10itprosetup https://social.technet.microsoft.com/Forums/windows/en-US/3e7d85e3-d0e1-4e79-8141-0bbf8faf3644/windows-10-anniversary-update-the-case-of-the-mysterious-account-sid-causing-the-flood-of-dcom?forum=win10itprosetup bearbeitet 12. Oktober 2017 von lefg Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 14. Oktober 2017 Melden Teilen Geschrieben 14. Oktober 2017 Server 2016 ist wie eine Kiste Bananen, reift beim Kunden nach. ;-) Ja, das ist leider so. Ich habe tierische Probleme mit Windows Server 2016 und DPM 2016. Gibt da Probleme mit ReFS und DPM bei gewissen Konstelationen, dem Server geht der Speicher aus oder er hängt sich beim Zugriff auf das Dateisystem direkt auf. Microsoft patcht da immer mal wieder dran rum aber so wirklich ganz gelöst haben sie es immer noch nicht. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 16. Oktober 2017 Melden Teilen Geschrieben 16. Oktober 2017 Vielleicht der "defaultUser0" der entfernt wurde? Zitieren Link zu diesem Kommentar
Tektronix 21 Geschrieben 23. Oktober 2017 Melden Teilen Geschrieben 23. Oktober 2017 Hallo, bei Windows 10 1709 ist das unbekannte Konto in der Registry bei allen services. Das Konto muss irgendein Service Konto von Microsoft sein, erkennbar an der 15 in der SID. Für eine normale User SID ist die SID auch zu lang. Zitieren Link zu diesem Kommentar
Woalga 0 Geschrieben 7. Februar 2018 Melden Teilen Geschrieben 7. Februar 2018 Hallo Leute, dieses Konto steht in allen HKEY-Ordnern und kann nicht so einfach entfernt werden. Bevor ich diese Schritte unternehme (Vererbung deaktivieren, usw.) warte ich noch ab, da zu diesem Thema noch ein Link(in englisch): https://social.technet.microsoft.com/Forums/windows/en-US/3e7d85e3-d0e1-4e79-8141-0bbf8faf3644/windows-10-anniversary-update-the-case-of-the-mysterious-account-sid-causing-the-flood-of-dcom?forum=win10itprosetup existiert. Es sieht so aus, als ob Microsoft da etwas "vergessen" hätte.. ? Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 14. Februar 2018 Melden Teilen Geschrieben 14. Februar 2018 (bearbeitet) Das Konto dient dazu den Telemetry-Diensten Zugriff auf die komplette Registry zu geben. Ich vermute sogar von extern weil sonst könnte man es auch einfacher lösen. Das ist insbesondere deshalb verwerflich weil das Konto ja irgendwie ein Passwort haben muss. Das heisst entweder wird es irgendwie errechnet aufgrund anderer Telemetry-Daten des Systems oder es ist im Voraus schon bekannt. Beides nicht unbedingt der Brüller auch wenn es "nur" lesenden Zugriff zu haben scheint (Es wird ja z.B. auch jede Benutzerinteraktion aufgzeichnet). Der Zugriff erfolgt vermutlich mit irgend einer der zahlreichen Apps die in der Windows-Firewall auf der nicht per CMD/Powershell/GUI konfigurierbaren Ebene einen Freifahrtenschein bekommen. Im Endeffekt ist es also nichts anderes als eine hoffentlich einigermassen gut gesicherte Backdoor für das abgraben von sämtlichen Registry-Daten. Ich habe mich schon sehr viele Stunden mit solchen Eigenheiten von Windows 10 beschäftigt. Im Endeffekt lässt sich eigentlich alles was irgendwie verbogen ist, auf Telemetry zurückführen. Dank der kurzen Halbwertzeiten/Updatezyklen der Builds, wird das reagieren auf diese Situation zukünftig aber fast unmöglich. bearbeitet 14. Februar 2018 von Weingeist Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.