Facendo assistenza ad alcuni computer al lavoro noto che nelle proprietà di alcune cartelle, nella scheda Sicurezza, era presente anche un Account sconosciuto con un suo SID diverso da quello degli altri account del computer. Controllo anche nel mio computer e trovo anche qui alcuni “Unknow User”.
- Uso di un account, in particolare uno Microsoft, non più presente nel sistema operativo che ha lasciato qualche traccia non rimossa.
- Un “account di servizio” utilizzato dal sistema operativo, o da una app, per eseguire determinate operazioni come per esempio un aggiornamento che richiede particolari privilegi.
Una terza opzione, non confermata, è la presenza di un malware.
La prima cosa che si può fare è verificare il SID degli account presenti nel sistema operativo, il comando da usare, con permessi amministrativi, è wmic useraccount get name,sid
.
Prendendo ad esempio il SID che si vede nella prima immagine dell’articolo è completamente diverso da quelli che si vedono qui di seguito. L’idea che mi sono fatto, visto anche la cartella dove ho trovato l’account misterioso, è che sia stato creato dal supporto live che utilizzo per creare le immagini di backup del mio sistema operativo e che salvo proprio in quella cartella.
Ho trovato anche uno script che permette di estrarre, salvandoli in un file .CSV, i permessi assegnati a ogni cartella così da scoprire se ci sono utenti sconosciuti in posizioni strane. Lo script è in allegato all'articolo, va solo modificato il percorso da controllare, se volete verificare un intero disco fisso va messo C: per esempio, e poi indicato un percorso dove salvare il file .CSV.
Analizzando poi il file di report trovo che ci sono tanti account sconosciuti, però, tranne alcuni che sono in cartelle di Chrome, Opera e Edge, tutti gli altri sono in cartelle di App, o programmi Microsoft. Una buona parte di questi account hanno SID completamente diversi tra di loro.
Queste due cose mi hanno fatto accettare le due spiegazioni che ho ritenuto più plausibili sulla presenza di questi account sconosciuti.
Nel mio computer creo spesso degli account temporanei, per fare prove, e, almeno un paio di volte, mi sono collegato con un account Microsoft. La loro posizione poi, quasi tutti in cartelle Microsoft, mi ha fatto pensare all’account di servizio come ho detto prima.
Certo che se trovassi un account sconosciuto, in una cartella strana, con all’interno dei file di dubbia natura e provenienza, potrei iniziare a sospettare qualcosa di maligno e fare delle analisi più approfondite.
La presenza di questi account non dovrebbe causare problemi al sistema operativo, ma se volete proprio fare pulizia andate nella scheda Sicurezza, nelle proprietà della cartella, selezionate l’account sconosciuto e poi cliccate su Avanzate
.
Ora si clicca su Rimuovi
e si conferma.
L’account sconosciuto è così scomparso.
Sinceramente non saprei se eliminare gli account sconosciuti trovati nelle cartelle legati alle App Microsoft, ne ho eliminati alcuni e non si sono ricreati, però erano troppi e il mio interesse, per fare una pulizia totale, era rapidamente sceso a zero.