[Angry Demon]

Цитата Strani:

Если я на ярлыке нажимаю правую кнопку мыши и выбираю команду Запуск от имени другого пользователя

Начнём с того, что клик ПКМ по ярлыку не выдаёт "Запуск от имени другого пользователя", а только "Запуск от имени Администратора". "Запуск от имени другого пользователя" выдаётся при клике ПКМ с шифтом.
Отсюда вопрос: что вы натвикали в системе? Система с нормального дистрибутива или говносборка какая-то?

[Strani]

Angry Demo

Цитата Angry Demon:

Начнём с того, что клик ПКМ по ярлыку не выдаёт "Запуск от имени другого пользователя", а только "Запуск от имени Администратора". "Запуск от имени другого пользователя" выдаётся при клике ПКМ с шифтом. »

Совершенно верно. Был применен твик реестра.

твик Запуск от имени другого пользователя

REGEDIT4

; Команда "Запуск от имени другого пользователя" присутствует в меню,
; вызываемом при щелчке правой кнопки мыши на ярлыке,
; независимо от удержания Shift

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\runasuser]
"Extended"=-
"HasLUAShield"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\runasuser]
"Extended"=-
"HasLUAShield"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runasuser]
"Extended"=-
"HasLUAShield"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mscfile\shell\runasuser]
"Extended"=-
"HasLUAShield"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Msi.Package\shell\runasuser]
"Extended"=-
"HasLUAShield"=""

Цитата Angry Demon:

Система с нормального дистрибутива или говносборка какая-то? »

Говносборками не пользуюсь. В качестве дистрибутива использовался образ Microsoft
ru_windows_7_professional_with_sp1_vl_build_x64_dvd_u_677774.iso

Еще на ту же тему были применены:

твик Запуск от имени администратора

REGEDIT4

; Команда "Запуск от имени администратора" присутствует в меню,
; вызываемом при щелчке правой кнопки мыши на ярлыке.
; Слева от команды нет значка щита.
; Причина - при отключенном UAC смысла в этой команде нет,
; но удалять ее из меню нельзя.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\runas]
"HasLUAShield"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\runas]
"HasLUAShield"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas]
"HasLUAShield"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mscfile\shell\RunAs]
"HasLUAShield"=-

твик UAC

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
; Локальная политика безопасности.
; Локальные политики - Параметры безопасности
; Контроль учетных записей: все администраторы работают в режиме одобрения администратором = Отключен
;
; Этот параметр политики определяет характеристики всех политик контроля учетных записей (UAC) для компьютера
"EnableLUA"=dword:00000000

твик Remote UAC

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
; Начиная с Windows Vista операционная система включает в себя систему контроля учетных записей пользователей (User Account Control, UAC). В зависимости от настроек она позволяет выводить предупреждение при выполнении какого-то привилегированного действия, например, установка программы. После подтверждения действия пользователь получает полный уровень доступа. Такой процесс называется повышение доступа (elevate access).
; При удаленном доступе (например, административные общие папки (admin$), psexec) механизм повышения доступа не работает. Т.е. даже если удаленное подключение под локальной учетной записью из группы Администраторы на удаленной машине, доступ все равно ограничен и приходится использовать удаленный рабочий стол для получения полного доступа.
; У этого правила есть два исключения:
; 1. Доменные учетные записи, состоящие в локальной группе Администраторы. Для них при удаленном подключении выдается полный доступ.
; 2. Локальная учетная запись Администратор (RID-500) (даже если переименована), которая по умолчанию отключена. На нее тоже не распространяется ограничение доступа.
; Обновление. В новых версиях Windows локальная учетная запись Администратора также подподает под действие UAC (см. ниже).
; Существует способ выдачи привилегированного доступа всем членам локальной группы Администраторы на удаленной машине, без необходимости запроса на повышение доступа. Для этого создается ключ реестра LocalAccountTokenFilterPolicy со значением 1.
; Когда вы можете столкнуться с необходимостью включения LocalAccountTokenFilterPolicy? При удаленном доступе PowerShell (PS Remote, WinRM). Из-за ограничений доступа для локальных учетных записей пользователей в группе локальных администраторов невозможно подключиться удаленно через PowerShell. Если компьютер, к которому вы подключаетесь, находится в рабочей группе (а не в домене), то вам доступны только локальные пользователи. В этом случае Microsoft рекомендует включить LocalAccountTokenFilterPolicy.
; Примечание. Если UAC выключен, то параметр LocalAccountTokenFilterPolicy не важен.
"LocalAccountTokenFilterPolicy"=dword:00000001

[Vanadiy777]

Цитата Strani:

твик Запуск от имени администратора »

Попробуйте назад вернуть.

[Strani]

Цитата Vanadiy777:

Попробуйте назад вернуть. »

Откатил назад все три твика (то есть оставил только твик Remote UAC), не помогло.
runas - работает стабильно, диалоговое окно - глючит (то есть часто пишет, что введены неверные данные, несмотря на то, что они введены верно) .

[Petya V4sechkin]

Strani, в журналах событий по этому поводу что-нибудь есть?

Посмотрите в Autoruns на вкладке WinLogon - Credential Providers, а также на вкладке LSA Providers, нет ли сторонних (меню Options - Hide Microsoft Entries) модулей.

[Strani]

Цитата Petya V4sechkin:

Посмотрите в Autoruns на вкладке WinLogon - Credential Providers, а также на вкладке LSA Providers, нет ли сторонних (меню Options - Hide Microsoft Entries) модулей. »

На вкладке WinLogon - Credential Providers нет сторонних модулей.

Снимок экрана

На вкладке LSA Providers есть один сторонний модуль - Модуль поддержки SSL в SSP/AP от Компания КРИПТО-ПРО ProductName КриптоПро CSP ProductVersion 5.0.12000.0.
ДОБАВЛЕНО. Если удалить КриптоПро, проблема сохраняется.

Снимок экрана

Цитата:

в журналах событий по этому поводу что-нибудь есть?

Включил аудит событий.

Снимок экрана

Записал в анимированный gif попытки запуска программы. Неправильно задал размер экрана, но главное видно. Видно, что при первой попытке программа запустилась успешно, а при второй попытке пришлось вводить данные два раза. Запускаю от имени TempAdmin с паролем 11.

Анимированная запись.

Содержимое процесса аудита из журналов в разных форматах:
Log.zip

Содержимое процесса аудита из журналов в текстовом виде (самые свежие записи вверху)

Ключевые слова,Дата и время,Источник,Код события,Категория задачи


Аудит успеха,10.11.2023 12:38:38,Microsoft-Windows-Security-Auditing,4672,Специальный вход,"Новому сеансу входа назначены специальные привилегии.

Субъект:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x92263d

Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege"


Аудит успеха,10.11.2023 12:38:38,Microsoft-Windows-Security-Auditing,4624,Вход в систему,"Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371

Тип входа: 2

Новый вход:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x922651
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe

Сведения о сети:
Имя рабочей станции: WIN-88MR82T91MF
Сетевой адрес источника: ::1
Порт источника: 0

Сведения о проверке подлинности:
Процесс входа: seclogo
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.


Аудит успеха,10.11.2023 12:38:38,Microsoft-Windows-Security-Auditing,4624,Вход в систему,"Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371

Тип входа: 2

Новый вход:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x92263d
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe

Сведения о сети:
Имя рабочей станции: WIN-88MR82T91MF
Сетевой адрес источника: ::1
Порт источника: 0

Сведения о проверке подлинности:
Процесс входа: seclogo
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.


Аудит успеха,10.11.2023 12:38:38,Microsoft-Windows-Security-Auditing,4648,Вход в систему,"Выполнена попытка входа в систему с явным указанием учетных данных.

Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371
GUID входа: {00000000-0000-0000-0000-000000000000}

Были использованы учетные данные следующей учетной записи:
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
GUID входа: {00000000-0000-0000-0000-000000000000}

Целевой сервер:
Имя целевого сервера: localhost
Дополнительные сведения: localhost

Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe

Сведения о сети:
Сетевой адрес: ::1
Порт: 0

Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS."


Аудит успеха,10.11.2023 12:38:38,Microsoft-Windows-Security-Auditing,4776,Проверка учетных данных,"Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: TempAdmin
Исходная рабочая станция: WIN-88MR82T91MF
Код ошибки: 0x0"



Аудит отказа,10.11.2023 12:38:27,Microsoft-Windows-Security-Auditing,4625,Вход в систему,"Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371

Тип входа: 2

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF

Сведения об ошибке:
Причина ошибки: Неизвестное имя пользователя или неверный пароль.
Состояние: 0xc000006d
Подсостояние: 0xc000006a

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x298
Имя процесса вызывающей стороны: C:\Windows\System32\svchost.exe

Сведения о сети:
Имя рабочей станции: WIN-88MR82T91MF
Сетевой адрес источника: ::1
Порт источника: 0

Сведения о проверке подлинности:
Процесс входа: seclogo
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.



Аудит отказа,10.11.2023 12:38:27,Microsoft-Windows-Security-Auditing,4776,Проверка учетных данных,"Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: TempAdmin
Исходная рабочая станция: WIN-88MR82T91MF
Код ошибки: 0xc000006a"


Аудит успеха,10.11.2023 12:38:08,Microsoft-Windows-Security-Auditing,4672,Специальный вход,"Новому сеансу входа назначены специальные привилегии.

Субъект:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x9175d4

Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege"


Аудит успеха,10.11.2023 12:38:08,Microsoft-Windows-Security-Auditing,4624,Вход в систему,"Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371

Тип входа: 2

Новый вход:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x9175ee
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe

Сведения о сети:
Имя рабочей станции: WIN-88MR82T91MF
Сетевой адрес источника: ::1
Порт источника: 0

Сведения о проверке подлинности:
Процесс входа: seclogo
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.


Аудит успеха,10.11.2023 12:38:08,Microsoft-Windows-Security-Auditing,4624,Вход в систему,"Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371

Тип входа: 2

Новый вход:
ИД безопасности: WIN-88MR82T91MF\TempAdmin
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x9175d4
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe

Сведения о сети:
Имя рабочей станции: WIN-88MR82T91MF
Сетевой адрес источника: ::1
Порт источника: 0

Сведения о проверке подлинности:
Процесс входа: seclogo
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.


Аудит успеха,10.11.2023 12:38:08,Microsoft-Windows-Security-Auditing,4648,Вход в систему,"Выполнена попытка входа в систему с явным указанием учетных данных.

Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Домен учетной записи: WIN-88MR82T91MF
Код входа: 0x6c371
GUID входа: {00000000-0000-0000-0000-000000000000}

Были использованы учетные данные следующей учетной записи:
Имя учетной записи: TempAdmin
Домен учетной записи: WIN-88MR82T91MF
GUID входа: {00000000-0000-0000-0000-000000000000}

Целевой сервер:
Имя целевого сервера: localhost
Дополнительные сведения: localhost

Сведения о процессе:
Идентификатор процесса: 0x298
Имя процесса: C:\Windows\System32\svchost.exe

Сведения о сети:
Сетевой адрес: ::1
Порт: 0

Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS."


Аудит успеха,10.11.2023 12:38:08,Microsoft-Windows-Security-Auditing,4776,Проверка учетных данных,"Компьютер попытался проверить учетные данные учетной записи.

Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: TempAdmin
Исходная рабочая станция: WIN-88MR82T91MF
Код ошибки: 0x0"


Аудит успеха,10.11.2023 12:37:39,Microsoft-Windows-Eventlog,1102,Очистка журнала,"Журнал аудита был очищен.
Субъект:
ИД безопасности: WIN-88MR82T91MF\LocalAdmin
Имя учетной записи: LocalAdmin
Имя домена: WIN-88MR82T91MF
ИД входа: 0x6c371"

[Petya V4sechkin]

Strani, для эксперимента удалите сторонний антивирус/файрвол.
Попробуйте рекомендации
Как выполнить «чистую» загрузку в Windows

[Strani]

Цитата Petya V4sechkin:

для эксперимента удалите сторонний антивирус/файрвол. »

Удалил Антивирус Касперский Endpoint Security, ничего не поменялось.

Цитата Petya V4sechkin:

Попробуйте рекомендации Как выполнить «чистую» загрузку в Windows »

Отключил все службы (кроме служб Microsoft) и все элементы автозапуска. Стало почему-то лучше. К примеру, пароль 11 почти всегда или всегда (я не совсем понял) принимается. Но с буквенным паролем так же плохо, как и раньше. Runas принимает его сразу, в диалоговом окне лучше не пытаться, замучаешься десятки раз вводить.
Уточню, что пароль на английском и язык по умолчанию тоже английский.
Ради интереса попробовал пароль не вводить, а вставлять скопированный, то же самое, не принимается. Прямо мистика какая-то...

[Strani]

Небольшое историческое исследование показало, что проблема, с вероятностью 99 процентов, возникла после установки обновления windows6.1-kb5022338-x64.msu.
Кто-то может подсказать, какие именно файлы из этого обновления повлияли, чтобы откатить именно их, а не все обновление?