Lưu vào bộ đệm thông tin đăng nhập tên miền trên Windows

0
51

Khi người dùng miền đăng nhập vào Windows, thông tin đăng nhập của họ được lưu trên máy tính cục bộ theo mặc định (Thông tin đăng nhập được lưu trong bộ nhớ cache: tên người dùng và mã băm mật khẩu). Điều này cho phép người dùng đăng nhập vào máy tính ngay cả khi bộ điều khiển miền AD không khả dụng, tắt nguồn hoặc cáp mạng được rút khỏi máy tính. Bộ nhớ đệm thông tin xác thực tài khoản miền thuận tiện cho người dùng máy tính xách tay có thể truy cập dữ liệu cục bộ của họ trên thiết bị khi mạng công ty không khả dụng.

Nội dung:
  • Lưu vào bộ nhớ đệm thông tin đăng nhập của người dùng miền trên Windows
  • Định cấu hình thông tin đăng nhập được lưu trong bộ nhớ cache với chính sách nhóm
  • Rủi ro bảo mật của thông tin đăng nhập Windows được lưu trong bộ nhớ cache

Lưu vào bộ nhớ đệm thông tin đăng nhập của người dùng miền trên Windows

Thông tin đăng nhập được lưu trong bộ nhớ cache có thể được sử dụng để đăng nhập vào Windows nếu người dùng đã xác thực trên máy tính này ít nhất một lần và mật khẩu miền của họ không bị thay đổi kể từ đó. Mật khẩu người dùng dưới dạng thông tin đăng nhập bằng tiền mặt không bao giờ hết hạn. Nếu chính sách mật khẩu miền buộc người dùng thay đổi mật khẩu, thì mật khẩu đã lưu trong bộ đệm ẩn cục bộ sẽ không thay đổi cho đến khi người dùng đăng nhập bằng mật khẩu mới. Nếu mật khẩu người dùng trong AD đã được thay đổi sau lần đăng nhập cuối cùng vào máy tính và máy tính đã ngoại tuyến (không truy cập vào mạng miền), người dùng sẽ có thể đăng nhập máy tính bằng mật khẩu cũ.

Nếu miền Active Directory không khả dụng, Windows sẽ kiểm tra xem tên người dùng và mật khẩu đã nhập có khớp với bộ đệm ẩn cục bộ hay không và cho phép đăng nhập cục bộ vào máy tính.

Thông tin đăng nhập được lưu trong bộ nhớ cache được lưu trữ trong sổ đăng ký theo khóa đăng ký HKEY_LOCAL_MACHINE Security Cache ( %systemroot%System32configSECURITY ). Mỗi băm đã lưu được lưu trữ trong tham số NL $ x (trong đó x là chỉ mục dữ liệu được lưu trong bộ nhớ cache). Theo mặc định, ngay cả quản trị viên cũng không thể xem nội dung của khóa đăng ký này, nhưng bạn có thể có quyền truy cập nếu cần.

Mật khẩu băm được sửa đổi bằng cách sử dụng muối dựa trên tên người dùng và được lưu vào sổ đăng ký.

cached domain credentials in the registry key HKEY_LOCAL_MACHINESecurityCache NL$1 parameter

Nếu bạn xóa giá trị của NL $ x, thông tin đăng nhập của người dùng được lưu trong bộ nhớ cache sẽ bị xóa.

Nếu không có thông tin xác thực được lưu trong bộ nhớ cache cục bộ, bạn sẽ thấy thông báo sau khi cố gắng đăng nhập vào một máy tính ngoại tuyến:

Hiện tại không có máy chủ đăng nhập nào có sẵn để phục vụ yêu cầu đăng nhập.

Windows Logon error: There are currently no logon servers available to service the logon request.

Định cấu hình thông tin đăng nhập được lưu trong bộ nhớ cache với chính sách nhóm

Bạn có thể đặt số lượng người dùng duy nhất, có thông tin đăng nhập có thể được lưu trong bộ đệm ẩn cục bộ trên máy tính miền với tùy chọn Chính sách Nhóm. Để thông tin đăng nhập của người dùng được lưu trữ trong bộ đệm ẩn cục bộ, người dùng phải đăng nhập vào máy tính ít nhất một lần.

Theo mặc định, Windows 10 và Windows Server 2016 lưu trữ thông tin đăng nhập của 10 người dùng đã đăng nhập gần đây. Bạn có thể thay đổi giá trị này bằng tùy chọn GPO sau – Đăng nhập tương tác: Số lần đăng nhập trước đó vào bộ nhớ cache (trong trường hợp bộ điều khiển miền không khả dụng) . Bạn có thể tìm thấy nó trong Cấu hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Tùy chọn bảo mật. Bạn có thể đặt bất kỳ giá trị nào từ 0 đến 50 .

Nếu bạn đặt 0 , điều này sẽ ngăn Windows lưu thông tin đăng nhập của người dùng vào bộ nhớ đệm. Trong trường hợp này, khi miền không khả dụng và người dùng cố gắng đăng nhập, họ sẽ thấy lỗi: There are currently no logon servers available to service the logon request .

Interactive logon: Number of previous logons to cache (in case domain controller is not available) - GPO to restrict using of cached credentials on Windows

Bạn cũng có thể định cấu hình tùy chọn này thông qua tham số đăng ký CashedLogonsCount HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon .

Nếu người dùng đăng nhập bằng thông tin đăng nhập đã lưu, họ sẽ không thấy rằng bộ điều khiển miền không khả dụng. Sử dụng GPO, bạn có thể hiển thị thông báo về việc sử dụng thông tin đăng nhập được lưu trong bộ nhớ cache để đăng nhập. Để thực hiện, hãy bật tùy chọn GPO Báo cáo khi máy chủ đăng nhập không khả dụng trong chính sách đăng nhập của người dùng trong Cấu hình máy tính -> Chính sách -> Mẫu quản trị -> Thành phần Windows -> Tùy chọn đăng nhập Windows.

GPO - Report when logon server was not available during user logon

Sau đó, thông báo sau sẽ xuất hiện trong khay sau khi người dùng đăng nhập:

Không thể liên hệ với bộ điều khiển miền cho miền của bạn. Bạn đã đăng nhập bằng thông tin tài khoản được lưu trong bộ nhớ cache. Những thay đổi đối với hồ sơ của bạn kể từ khi bạn đăng nhập lần cuối có thể không khả dụng.
Tùy chọn này có thể được kích hoạt thông qua sổ đăng ký:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon

  • ValueName: ReportControllerMissing
  • Loại dữ liệu: REG_SZ
  • Giá trị: 1

Rủi ro bảo mật của thông tin đăng nhập Windows được lưu trong bộ nhớ cache

Bộ nhớ đệm thông tin xác thực cục bộ có một số rủi ro bảo mật. Sau khi có quyền truy cập vật lý vào máy tính / máy tính xách tay với dữ liệu được lưu trong bộ nhớ cache, kẻ tấn công có thể giải mã hàm băm mật khẩu của bạn bằng cách sử dụng một cuộc tấn công brute-force. Nó phụ thuộc vào độ dài và độ phức tạp của mật khẩu. Nếu một mật khẩu phức tạp, sẽ mất rất nhiều thời gian để xử lý mật khẩu. Vì vậy, không nên sử dụng bộ nhớ đệm cho người dùng có quyền quản trị viên cục bộ (hoặc hơn nữa là tài khoản quản trị miền).

Tìm hiểu thêm về cách giữ an toàn cho tài khoản quản trị viên trên mạng miền Windows.

Để giảm thiểu rủi ro bảo mật, bạn có thể tắt bộ nhớ đệm thông tin đăng nhập trên máy tính văn phòng và máy tính quản trị viên. Bạn nên giảm số lượng tài khoản được lưu trong bộ nhớ cache trên thiết bị di động xuống còn 1. Điều đó có nghĩa là ngay cả khi quản trị viên đã đăng nhập vào máy tính và dữ liệu của họ đã được lưu vào bộ nhớ cache, thì mật khẩu băm của quản trị viên sẽ bị ghi đè sau khi chủ sở hữu thiết bị ghi nhật ký. trên.

Đối với miền AD có cấp chức năng Windows Server 2012 R2 hoặc mới hơn, bạn có thể thêm tài khoản quản trị viên miền vào nhóm Người dùng được Bảo vệ. Bộ nhớ đệm thông tin xác thực cục bộ bị cấm đối với nhóm bảo mật này.

Bạn có thể tạo các GPO riêng biệt trong miền của mình để kiểm soát việc sử dụng thông tin đăng nhập được lưu trong bộ nhớ cache cho các thiết bị và danh mục người dùng khác nhau (ví dụ: sử dụng bộ lọc Bảo mật GPO, bộ lọc WMI hoặc triển khai thông số đăng ký CashedLogonsCount sử dụng nhắm mục tiêu cấp Mục GPP).

  • Đối với người dùng di động (máy tính xách tay): CashedLogonsCount = 1
  • Đối với máy tính để bàn văn phòng: CashedLogonsCount = 0

Các chính sách như vậy sẽ làm giảm cơ hội nhận được hàm băm của người dùng đặc quyền từ các thiết bị đã tham gia miền

Dịch từ: http://woshub.com/cached-domain-logon-credentials-windows/

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây