Confidencial de Windows Credenciales almacenadas en la caché
Raymond Chen
Si ha iniciado sesión en el equipo con una cuenta de dominio, cambiar su contraseña (por ejemplo desde otro equipo), entonces bloquear la estación de trabajo, puede desbloquear con la contraseña antigua, aunque la contraseña ha cambiado. ¿Por qué es?
Al iniciar sesión, el servicio Winlogon recuerda un hash de contraseña cuando intente desbloquear una estación de trabajo bloqueado, la contraseña que escriba se y hash comparado con el hash de la contraseña utilizada para iniciar una sesión. Si coinciden, Winlogon continúa para desbloquear la estación de trabajo, aunque la contraseña sea obsoleta. Este comportamiento es una optimización del rendimiento de red para evitar inundating el controlador de dominio con las solicitudes de autenticación. Desbloquear más operaciones son con la contraseña correcta y evitar la conexión con el controlador de dominio reduce el tráfico de red y mejora considerablemente el rendimiento conexiones de red lenta.
¿Pero espere, esto significa que no se puede bloquear los usuarios de la red cambiando sus contraseñas?
No, todavía puede bloquear los usuarios fuera de la red cambiando sus contraseñas. El hash de contraseña almacenada en caché se utiliza sólo para tener acceso a la estación de trabajo local. Una vez que el usuario intenta tener acceso a un recurso de red, ese recurso de red le pida el controlador de dominio, "oye, es esto realmente la persona que dice ser?" y el controlador de dominio se responder, "Try Niza".
¿Pero espere, significa que puede mantener desbloquear la estación de trabajo con una contraseña obsoleta y, por lo tanto, omitir una contraseña cambiar en el controlador de dominio y, por lo tanto, mantener utilizando su estación de trabajo?
Bueno, Sí, pero ya no se puede hacer que: se llama a la baza No bloquear la estación de trabajo en primer lugar. Si nunca se bloquea la estación de trabajo, a continuación, no importa cómo funciona el algoritmo de desbloquear estación de trabajo, ya que ni siquiera se ejecuta!
Si prefiere que desbloquear una estación de trabajo conectar con el controlador de dominio para que compruebe que no ha caducado la contraseña, puede utilizar el Editor de directivas de grupo para habilitar el Requerir la autenticación de controlador de dominio para desbloquear la directiva de la estación de trabajo.
Observe que esta caché de contraseña de nivel uno para desbloquear una estación de trabajo es diferente de credenciales de inicio de sesión de dominio almacenada en caché. Las credenciales almacenadas en caché se utilizan cuando un controlador de dominio no está disponible para comprobar una contraseña. En estas condiciones, se compara la contraseña escrita por el usuario a la almacenada en la caché, y si coinciden (o con más precisión, si los valores de los hash coinciden), a continuación, se considera el inicio de sesión ha realizado correctamente. Mientras que la caché para desbloquear una estación de trabajo es una optimización de rendimiento para evitar ponerse en contacto con el controlador de dominio (aunque esté disponible), las credenciales en caché es una reserva utiliza cuando el controlador de dominio disponible completamente, pero aún desea permitir que los usuarios acceso a recursos de equipo local.
Las credenciales almacenadas en caché pueden ser tanto una bendición y una palabrota, dependiendo de qué gafas de color está uso. Para usuarios de portátiles, las credenciales almacenadas en caché son esenciales para iniciar sesión en el equipo portátil cuando el equipo está desconectado de la red corporativa. Sin ellas, los equipos portátiles sólo sería paperweights cuando no está en la oficina, que contrarresta uno de los motivos para tener equipos portátiles en primer lugar.
Por otro lado, las credenciales almacenadas en caché permiten un ataque sin conexión en la información almacenada en la caché de credenciales. Si el equipo portátil se cae en manos hostiles, un atacante puede tardar todo el tiempo en el mundo para intentar adivinar la contraseña del usuario sin el controlador de dominio averiguar. Cuenta que la caché de credenciales no contiene las contraseñas o incluso los hash de las contraseñas, por lo que una contraseña "descifrada" verdadera es sólo un éxito probabilística (y puede inclinar las probabilidades en su favor exigiendo contraseñas seguras). Por supuesto, un equipo portátil robado concede acceso físico sin restricciones a pirata informático, por lo que ya está en peligro la información sin cifrar en el equipo portátil propio, contraseña o sin contraseña. Aún así, si la idea de las credenciales almacenadas en caché ofrece las heebie-jeebies (garantizados o no), puede establecer la CachedLogonsCount a cero para deshabilitarlos. Si combina esto con la autenticación requiere el controlador de dominio para desbloquear la estación de trabajo directiva, tenemos las cachés de contraseña desactivadas en ambas direcciones.
Raymond Chen Sitio Web " El Old New Thing"y tratar historial de Windows, programación de Win32 y comprensibles entrada hipótesis del Krashen libro titulado idéntica (Addison-Wesley, 2007).