Windows 机密 缓存的凭据
Raymond Chen
如果您登录 到一个域的帐户计算机上更改您密码 (假设另一计算机),然后锁定您的工作站,可以取消锁定它与您的旧密码,即使已经更改了该密码。 原因是什么呢?
在登录时 Winlogon 服务将记住该的密码的哈希和褰撴偍灏濊瘯解除工作站锁定的锁定您输入的密码是哈希与您用于登录的密码的哈希进行比较。 如果与它们匹配然后 Winlogon 继续解除锁定的工作站,即使密码可能已过时。 这是一个网络性能优化,以避免 inundating 域控制器身份验证请求。 最解除锁定的操作是使用正确的密码并避免连接到域控制器减少了网络通信量显著提高通过慢速网络连接的性能。
但是,等待,这意味着您不能锁定出的网络用户通过更改其密码吗?
不,您仍可以通过更改其密码锁定出网络的用户。 缓存的密码哈希值仅用于访问本地工作站。 一旦在用户尝试访问网络资源,将该网络资源要求鍩熸帶鍒跺櫒"嘿,是这实际上他声明该专家?",在域控制器将"值得一试。
但等待,不会这是否意味着可以保持解锁您的工作站使用旧密码,并因此跳过密码在域控制器上更改和从而保留使用您的工作站?
这是,但您可能已经做的: 称为这一轮 不要在第一个位置锁定您的工作站。 如果您永远不会锁定您的工作站,然后无论工作站解锁算法的工作原理因为它甚至从不运行 !
如果您希望解除工作站锁定连接到的域控制器验证了密码过期,然后可以使用组策略编辑器中启用该 要求域控制器身份验证以解锁工作站策略。
请注意这一级别的密码缓存解除工作站锁定不同缓存的域登录凭据。 域控制器不可用,以验证密码时,将使用缓存的凭据。 在这些的情况下用户输入的密码与存储在缓存中,如果它们匹配 (或更准确的方式地如果哈希的哈希匹配),然后在登录被认为已成功。 而是缓存的解除工作站锁定以避免与域控制器联系 (即使它不可用) 优化性能,凭据缓存是一个回退时,使用域控制器不可用完全,但您仍要让用户访问本地计算机资源。
缂撳瓨鍑 嵁既可以是 blessing 又可以是一个 curse,取决于您正携带什么颜色眼镜。 便携式计算机的用户缓存的凭据是登录到便携式计算机的基本要求计算机断开连接从公司网络时。 没有它们,便携式计算机只需将 paperweights 不在办公室 counteracts 有便携式计算机在第一个位置的原因之一。
而在另一方面,缂撳瓨鍑 嵁允许凭据高速缓存中存储信息的脱机攻击。 如果便携式计算机属于人感不快的手,鏀诲嚮鑰呭可以花些时间所有世界上尝试查找域控制器没有猜测用户密码。 提醒您,凭据高速缓存不能包含密码或甚至在的密码的哈希,所以假设"破解"密码只 probabilistic 成功 (并且您可以在您优选倾斜可能性通过要求强密码)。 当然,膝上型计算机失窃授予不受限制的物理访问以便本身便携式计算机上的未加密的信息已受到黑客、 密码或没有密码。 即使这样,濡傛灉缂撳瓨鍑 嵁的概念为您提供 (或不保证) 在 heebie-jeebies,您可以设置该 CachedLogonsCount 到零,禁用它们。 如果您结合这要求域控制器身份验证以解锁工作站策略,了密码缓存在两个方向上都已关闭。
雷 Chen 网站" 旧的新内容"和相同标题的简介册 (Addison-Wesley,2007年) 处理 Windows 历史记录、 Win32 编程,和 Krashen 的易于理解的输入假设。