Avez-vous déjà été confronté à cette découverte par hasard ou n’avez-vous jamais prêté attention à un « compte inconnu » existant sur votre système d’exploitation Microsoft Windows ?
Il est parfois utile voire prudent de connaître le « mutant » qui se cache sous Windows !
A titre d’exemple, voici un « compte inconnu » détecté lors d’une installation du « Client VPN » EXPRESSVPN:
En général ce compte inconnu existe lorsqu’un compte à été supprimé du syteme alors que ses droit sont resté sur les fichier (l’ancien compte deviens donc compte inconnu dans tous les fichier ou dossier ou il a été spécifié),
cela fonctionne egalement si on apllique des acl avec un compte ou group qui n’existe pas, cela peut arrivé sous xp si le programmeur applique des acl relatif groupe Users alors qu’en francais il s’agit groupe compte Utilisateurs (les joie de la programmation avec les nom écrit en dur)
Effectivement, c’est un des cas de figure classique que tu as mentionné, cependant dans l’exemple que j’ai posté plus haut aucun compte n’a été supprimé du système suite à l’installation de l’application “ExpressVPN”.
Nous savons que le système de fichier NTFS (Windows) conserve les “droits/permissions” utilisateurs. Dans le cas d’une réinstallation de l’OS Windows sur la même machine, ces mêmes “droits/permissions” sont toujours présentes dans le système de fichier NTFS et pas dans l’OS Windows. Sauf que le “nouveau” système de fichier NTFS, suite à la réinstallation de Windows, ne connait plus le nom d’utilisateur Windows (même intitulé du compte user avant réinstall) associé aux droits/permissions toujours inscrits sur le “nouveau” système de fichier NTFS, ce qui explique la présence d’un identifiant de type {S-1-5-5-0-159…} C’est pour ainsi dire une ANOMALIE.
De toute évidence, “l’héritage de Windows” nous collera au train durant de très longues générations !
PS: je suis toujours étonné de constater que l’installateur Windows 10 n’a pas changé d’un poil depuis Windows XP !
Pour moi ce n’est pas une anomalie, c’est une mesure de sécu , les compte sont identifier par un sid unique, le nom qu’on leur donne ce n’est que de l’affichage (tout comme linux (et son uid guid), ainsi si on formate une clé usb en ntfs et qu’on donne les droit a toto du pc1, le pc2 avec le meme nom d’utilisateur ne pourra pas le voir puisque pas le meme sid.
Maintenant le débat sur le fait de nettoyer tout le sytème de fichier a chaque fois qu’on supprime un user reste ouvert.
(la suppression d’un user deviendrais assez pénible sur les gros disques)
D’ou la bonne pratique d’utiliser des groupe de sécu intermediaire sur les permission des dossiers/fichiers cela permet de manipuler les user sans laisser de compte inconnu derriere soit.
Hum…! Tu prends un sacré raccourci avec cet utilitaire utilisé surtout dans le milieu prof
A utiliser avec beaucoup de précaution ! il est préférable pour l’utilisateur lambda de suivre « la loi du moindre effort » lorsqu’il s’agit en l’occurrence d’un « compte inconnu » et de droits/permissions sur un système de fichier NTFS.
Dans le cas d’un « compte inconnu » suivi d’une flopée de chiffres, visible dans la gestion « Utilisateur et Groupes Locaux » de la machine il est plus prudent de bien vérifier que ce « compte inconnu » n’est pas un compte sain que vous allez « écraser ». Se rendre sur le registre « ProfileList » (ici: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList )
Idéalement, il est plus sage de procéder à un « écrasement » des anciennes autorisations en appliquant temporairement un « Contrôle total » à « Tout le monde » sur le « compte inconnu » à partir du dossier (appli) impacté, pour ensuite revenir sur les droits/permissions et supprimer « Tout le monde ». Terminer par une commande ’ sfc /scannow et le tour est joué.
petit déterrage, pour un constat a ce sujet: WIN11, poste sans domaine, 1 utilisateur sur la becane.
Un compte inconnu rémanant s’octroi les droits sur "c:", et les clés CURENT_USER et LOCALMACHINE, nottament de facon spécifique sur « Profillist » et HKEYUSERS. apres suppression, ils reviennent par étapes successives. et curieusement un déclancheur pourrait être le lancement du navigateur web. Un utilisateur inconnu , qui n’existe pas mais dont l’impact sur certains aspect de la machine est visible. Ca sent le service qui se lance rapidement avec identitée temporaire et efface mal ses traces. Ca sent vachement mauvais quand même ca à l’odeur du malware, mais est ce que ca en a la couleur ?
constat identique sur une machine W11 du même réseau, mais pas du tout sur les version W10 et serveur 2012.
