Администратор не может разблокировать «заблокированный» компьютер

Симптомы

Локальный вход в систему или домен после перезагрузки компьютера под управлением операционной системы Windows, если никто не вошел в систему, может быть невозможен.

При входе в систему может появиться следующее сообщение об ошибке:

Компьютер используется и заблокирован.
Только или администратор может снять блокировку компьютера.
Для снятия блокировки нажмите Ctrl-Alt-Del.

При попытке снятия блокировки может появиться следующее сообщение об ошибке:

Компьютер заблокирован. Снять блокировку может только или администратор.

Если пользователь вошел в систему, а затем вышел из нее, последующий вход в систему может быть невозможен (локально или к домену), при этом может отобразиться следующее сообщение об ошибке:

Компьютер используется и заблокирован.
Снять блокировку может только домен\ имя_пользователя или администратор.
Для снятия блокировки нажмите Ctrl-Alt-Del.

При попытке снятия блокировки может появиться следующее сообщение об ошибке:

Компьютер заблокирован. Снять блокировку может только домен\ имя_пользователя или администратор.

В сообщении об ошибке, приведенном выше, домен является именем домена последнего пользователя, вошедшего на сервер, а имя_пользователя — это имя последнего пользователя, вошедшего на сервер.

Причина

У подобного поведения могут быть следующие причины:

Для экранной заставки по умолчанию установлено использование несуществующей программы экранной заставки.

Использована поврежденная экранная заставка, защищенная паролем.

Решение

Внимание! В этом разделе, описании метода или задачи содержатся сведения об изменении реестра. Однако неправильное его изменение может привести к серьезным проблемам. Поэтому такие действия следует выполнять очень внимательно. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

322756 Как создать резервную копию и восстановить реестр в Windows
Для устранения этой проблемы используйте другую неповрежденную и установленную локально программу заставки (например, Logon.scr).

Запустите редактор реестра (Regedit32.exe).

Найдите значение в следующем разделе реестра:

В меню Правка выберите пункт Строка, введите logon.scr и нажмите кнопку ОК.

Найдите параметр ScreenSaverIsSecure.

В меню Правка выберите пункт Строка, введите 0 и нажмите кнопку ОК.

Закройте редактор реестра.

ВРЕМЕННОЕ РЕШЕНИЕ

Для решения этой проблемы воспользуйтесь соответствующим способом.

Способ 1. При появлении сообщения об ошибке о том, что компьютер заблокирован домен\ имя_пользователя

Нажмите сочетание клавиш CTRL+ALT+DELETE для снятия блокировки.

Введите учетные данные последнего вошедшего в систему пользователя и нажмите кнопку ОК.

После исчезновения диалогового окна Снятие блокировки компьютера нажмите клавиши CTRL+ALT+DELETE и войдите в систему, как обычно.

Способ 2. Если в сообщении об ошибке не указано, кто именно заблокировал компьютер

С помощью средства выключения в наборе Microsoft Windows Resource Kit выключите заблокированный компьютер. На заблокированном компьютере отображается диалоговое окно Завершение работы системы, но перезагрузка компьютера не происходит.

По истечении времени завершения работы отображается диалоговое окно Операционная система Windows.

До активизации экранной заставки нажмите сочетание клавиш CTRL+ALT+DELETE и войдите в систему обычным образом.

ПРИМЕЧАНИЕ. Если для входа в систему не используется ни один из этих способов, необходимо перезагрузить компьютер и войти в систему до запуска программы экранной заставки.

Статус

Такое поведение является особенностью данного продукта.

Отключение Dallas lock 8 через командную строку 2020

Описание ситуации:

В процессе аттестации приличного количества АРМ по требованиям ФСТЭК приняли решение “ускорить” процесс залива компов через клонирование системы. Использовали Acronis, клонировали Windows 10 Pro в составе со всем входящим в состав аттестации ПО. Ошибка пришла откуда не ждали, и даже сотрудники аттестующей организации, помогающие в подготовке АРМ к аттестации ни о чем не предупредили. Как итог

60% компов в течении трех месяцев вернулись в админскую со слетевшим загрузчиком без возможности восстановления работоспособности стандартными способами. Виной всему стал установленный на момент создания клона системы Dallas Lock 8-K.

p, blockquote 1,0,0,0,0 —>

Диск восстановления Dallas lock не всегда под рукой. Кроме того в ситуации с клонами оказалось что он ещё и не всегда помогает. К слову по данной инструкции процент успеха тоже не идеальный. Около 5 компов из

40 вернувшихся в админскую удаление Dallas Lock не спасло и пришлось заливать всю систему и ПО с нуля.

p, blockquote 2,0,0,0,0 —>

Стартовые условия: Windows 10 Pro при загрузке падает сразу в диагностику, восстановления загрузчика не работают, восстановление системы не прокатывает, в безопасный режим загрузиться не можем и всё что нам остаётся – режим командной строки.

p, blockquote 3,0,0,0,0 —>

Собственно предвещая подобные проблемы с остальной частью компов, чтобы не искать данную инструкцию в будущем, я и публикую её у себя на сайте. Инструкция актуальна для версий Dallas Lock-K и C вплоть до 8.0.565.2

p, blockquote 4,0,0,0,0 —>

UPD 08.04.2021 – данная инструкция так же подойдёт и для отключения Далласа при ошибке “Разблокировать компьютер может только вошедший пользователь”. Ошибка возникает после установки Dallas Lock-K и C на обновлённую до релиза 20H2 десятку. К сожалению, в данный момент единственный способ ставить старый даллас в таком случае – использование LTSC дистрибутива. Можно попробовать попросить у разрабов более свежую версию далласа, если у вас ещё действует код технической поддержки, но лично в нашей организации он уже истёк, а контролирующие органы утверждают что версия без этой ошибки пока не прошла сертификацию…Но всё равно попробуйте запросить свежий дистрибутив.

p, blockquote 5,0,1,0,0 —>

Отключение Dallas Lock 8

Проверено лично, сработает на системах под управлением Windows Vista/7/8/8.1/10/2008/2008R2/2012/2012R2.

p, blockquote 6,0,0,0,0 —>

В Windows 10 довольно просто попасть в командную строку через среду восстановления и диагностики, в Windows 7 и ниже потребуется тыкать F8 до загрузки системы и прожать пункт “Устранение неполадок компьютера”. Если есть Hirens boot – отлично, советую вообще всем держать подобную флешку на всякий пожарный.

p, blockquote 7,0,0,0,0 —>

Попытку системы восстановиться автоматически можно смело прервать и вызвать меню дополнительных вариантов восстановления, там мы и найдем командную строку на старых версиях Windows.

p, blockquote 8,0,0,0,0 —>

С помощью утилиты Diskpart заранее определите диск, на котором у вас установлен Dallas Lock. Буква диска с установленной системой может не совпадать с той что вы ранее видели в ОС. Порядок команд:

p, blockquote 9,0,0,0,0 —>

• Diskpart
• List vol
• Для выхода из утилиты пишем Exit

После получения доступа к файловой системе необходимо подменить
системные файлы. После получения доступа к файловой системе необходимо зайти в папку System32, например с помощью команды «cd %windir%\system32» и ввести следующие команды:

p, blockquote 10,0,0,0,0 —>

• «ren dlautp.dll dlautp_.dll»;
• «copy msv1_0.dll dlautp.dll»;
• «ren dlkerber.dll dlkerber_.dll»;
• «copy kerberos.dll dlkerber.dll»;
• «ren dllives.dll dllives_.dll» (Этот файл часто отсутствует, не страшно если его нет);
• «copy livessp.dll dllives.dll»10 (Может отсутствовать);
• «ren dlcloud.dll dlcloud_.dll (только для Windows 10)»;
• «copy cloudAP.dll dlcloud.dll (только для Windows 10)».

Для отключения драйвера МЭ (при установленной версии с МЭ или МЭ и СОВ) необходимо выполнить команду «cd %windir%\system32\drivers» и ввести следующую команду «ren
dlfirewall.sys dlfirewall.off».

p, blockquote 11,1,0,0,0 —>

Теперь можно залезть в реестр с помощью команды regedit. Руководство Dallas Lock утверждает что после операций с подменой системных файлов ОС уже должна загружаться в безопасном режиме, однако на моей практике такое иногда случалось лишь на Windows 7. В редакторе реестра следует проделать следующие операции:

p, blockquote 12,0,0,0,0 —>

Для Windows Vista/2008/7/2008R2:
Изменить значение на «0» параметра «Disabled» по пути: «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers<6f45dc1e-5384-457a-bc13-2cd81b0d28ed>»
Для Windows 8/8.1/2012/2012R2/10 «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\ <60b78e88-ead8-445c-9cfd-0b87f74ea6cd>».

p, blockquote 13,0,0,0,0 —>

Удалить ветку реестра «<9123e0c2-ff5e-4b38-bab9-e2fa800d2548>» по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Authentication\Credential Providers».

p, blockquote 14,0,0,0,0 —>

Полностью удалить из реестра следующие разделы:

p, blockquote 15,0,0,0,0 —>

• «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DlCrypt»;
• «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DlDisk»;
• «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DlFlt»;
• «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DlHwCtrl»;
• «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dlfirewall»;
• «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DlLwf»;
• «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DllPSService»;
• «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLCRYPT»;
• «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLFlt»;
• «HKEY_CLASSES_ROOT\DaLoDisk»;
• «HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DaLoDisk».

Для удаления разделов из ветки «Root» необходимо изменить права доступа для текущего пользователя (удобно сделать это не для каждого ключа, а для ветки «Root»).

p, blockquote 16,0,0,0,0 —>

Изменить значение ключа «UpperFilters» в ветке
«HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class<4d36e967-e325-11ce-bfc1-08002be10318>» вместо «DlDisk PartMgr» следует оставить «PartMgr».

p, blockquote 17,0,0,1,0 —>

Необходимо удалить значение «dlhwctrl» для ключей в ветке
«HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class…» в тех разделах, в которых он имеется. Для этого можно воспользоваться поиском по ветке реестра (функция «Найти…» в контекстном меню и кнопка F3 для перехода к следующей записи).

p, blockquote 18,0,0,0,0 —>

Необходимо удалить значение «DlDisk» для ключа UpperFilters в ветке
«HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class<4d36e965-e325-11ce-bfc1-08002be10318>».

p, blockquote 19,0,0,0,0 —>

Необходимо удалить значение «DlDisk» для ключа UpperFilters в ветке «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class<4d36e980-e325-11ce-bfc1-08002be10318>».

p, blockquote 20,0,0,0,0 —>

Необходимо изменить значение ключа UpperFilters в ветке
«HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class<4d36e96b-e325-11ce-bfc1-08002be10318>» вместо «kbdclass DlFlt» следует оставить «kbdclass».

p, blockquote 21,0,0,0,0 —>

Да, жутко много и муторно, но это всё. Перезагружаемся и проверяем, Dallas Lock должен быть отключен и функции восстановления системы теперь работают в штатном режиме хотя чаще всего система грузится и без них.

p, blockquote 22,0,0,0,0 —>

Заключение

В случае успешной загрузки операционной системы идем в программы и компоненты и удаляем вредителя окончательно. Затем долго думаем о том ставить ли его обратно. Шучу конечно же, не поставите так к вам тут же нагрянет с проверкой ФСТЭК. Сама СЗИ конечно дрянь полная, свою роль выполняет, но кому это нужно? Бессмысленная трата государственных и частных денег имхо.

Быстрая установка и настройка прав пользователей Dallas Lock 8.0К

В данной статье расскажу про средство защиты информации DallasLock. Расскажу настройку прав пользователей.

DL — система защиты информации (или СЗИ) от несанкционированного доступа. В процессе хранения и обработки информации.
DL — это программный комплекс, который используется для автоматизированных систем.
Данное средство защиты может быть установлено на любые компьютеры, которые работают на базе Windows, Linux.
Версия СЗИ 8.0 32-битные операционные системы, после этого версия 8.0 (сборка 195) — 32 и 64-битные версии.

DL — это сертифицированное ФСТЭК, лицензионное СЗИ.

Использование:
DL — Используют для защиты компьютеров без централизованного управления, то есть несколько отдельных компьютеров. Администрирование возможно как удаленно, так и локально.
DL — защита компьютеров с централизованным управлением в сетях.

Установка DallasLock

Для установки данного СЗИ необходимо запустить приложение DalladLock8.0K.msi

Установка не должна вызывать особых вопросов. В ходе установки необходимо следовать подсказкам, также имеет возможность отмены действия.
В процессе установки необходимо ввести лицензионный ключ и код технической поддержки.
После установки программы необходимо перезагрузка ПК.

Далее вход может осуществить локальный пользователь, но уже с установленным на ПК средством защиты. После входа на рабочем столе появится ярлык оболочки администратора.

Регистрация пользователей DallasLock

Dallas Lock позволяет комплексно настроить права пользователей, время работы, пароли, то есть комплексно защитить рабочее место сотрудника.

Просмотр и редактирование учетных записей пользователей происходит на вкладке «Учетные записи».

1. Пользователь, созданный средствами ОС Windows;
2. Пользователь, созданный средствами DL8.0;
3. Пользователь, созданных средствами службы Active Directory (если компьютер находится в ЛВС под управлением Контроллера домена);
4. Пользователь домена;
5. Пользователь гипервизора.

Перед созданием нового пользователя необходимо убедиться, что данная запись не дублируется.

Для создания пользователя OC Windows необходимо:

1. Выбрать «Сервер безопасности» в дереве объектов.
2. Открыть вкладку «Учетные записи ВИ» и перейти в категорию «Учетные записи Windows».
3. Нажать кнопку «Создать».
4. В появившемся окне выбрать значение «Локальный» и ввести имя учетной записи.

После создания пользователя появится окно редактирования параметров учетной записи.

Вся информация о пользователи указывается во вкладке общие. Тут же ее можно редактировать. Далее, при создании нового пользователя, администратор имеет возможность создать группы пользователей.
Очень важной функцией является задание пароля пользователя.

Настройка прав пользователей DallasLock согласно требованиям о защите информации

Самая изюминка данного СЗИ заключается в том, что его можно настроить как для Автоматизированных систем (АС), Государственных информационных систем (ГИС) и информационных систем персональных данных (ИСПДн) по требованиям ФСТЭК.

Для редактирования прав пользователей необходимо перейти во вкладку «Параметры безопасности», далее «Права пользователей».

Автоматизированные системы

СЗИ Dallas Lock, при определенных настройках, сохраняет соответствие для классов защищенности автоматизированных систем согласно РД «Автоматизированные системы. Защита он несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»:

Государственные информационные системы

Dallas Lock может быть использовано в государственных информационных системах 1 класса защищенности. При определенных настройках СЗИ обеспечивает соответствие требованиям для государственных информационных систем, представленных в следующих методических документах:

1. требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (Приказ ФСТЭК России от 11 февраля 2013 г. №17);
2. меры защиты информации в государственных информационных системах (утверждены ФСТЭК России 11 февраля 2014 г.).

Согласно Приказу ФСТЭК России №17 определяются 3 класса защищенности:

К1, К2 и К3. Для классов защищенности устанавливаются базовые наборы мер защиты информации.

Информационные системы персональных данных

Dallas Lock может быть использовано в информационных системах персональных данных для обеспечения 1 уровня защищенности ПДн.
DallasLock соблюдает требования Приказа ФСТЭК России от 18 февраля 2013 г. №21. Согласно Приказу ФСТЭК России № 21 определяются 4 уровня защищенности персональных данных.

Рекомендации по настройке

Наиболее полные рекомендации по настройке Dallas Lock для соответствия требованиям о защите информации по классам находятся в официальном документе.

Размещаемая в данном документе информация предназначена для свободного ознакомления. Вся информация предоставляется «как есть», без гарантий полноты, актуальности, точности, а также без иных гарантий, которые могут подразумеваться. Вы используете получаемую информацию на свой страх и риск. Центр защиты информации ООО «Конфидент» оставляет за собой право вносить без уведомления любые изменения в данный документ, а также в программное обеспечение, которое описано в документе. Используя информацию, изложенную в данном документе, Вы выражаете своё согласие с «Отказом от ответственности» и принимаете всю ответственность, которая может быть на Вас возложена.