Windows Confidential Credenziali memorizzate nella cache

Raymond Chen

Se si è connessi al computer con un account di dominio, modificare la password (ad esempio da un altro computer), quindi bloccare la workstation, è possibile sbloccare con la vecchia password anche se la password è stata modificata. Perché è?

Quando si accede, il servizio Winlogon memorizza un hash di password e quando si tenta di sbloccare una workstation bloccata, la password che immessa è stato eseguito l'hashing e rispetto all'hash della password utilizzati per accedere. Se corrispondono, Winlogon procede quindi per sbloccare la workstation, anche se la password potrebbe essere non aggiornata. Questo comportamento è un'ottimizzazione delle prestazioni di rete per evitare inundating controller di dominio con le richieste di autenticazione. Sbloccare più operazioni sono con la password corretta ed evitando la connessione a controller di dominio consente di ridurre il traffico di rete e consente di migliorare notevolmente le prestazioni connessioni di rete lente.

Ma in attesa, questo significa che è Impossibile bloccare gli utenti all'esterno della rete modificando le relative password?

No, è possibile bloccare comunque gli utenti all'esterno della rete modificando le relative password. L'hash di password memorizzata nella cache viene utilizzato solo per l'accesso alle workstation locale. Una volta che l'utente tenta di accedere a una risorsa di rete, tale risorsa di rete verrà chiedere il controller di dominio "Ehi, è questo realmente l'utente malintenzionato che dichiara di essere?" e il controller di dominio risponderà, "Correttezza try".

Ma attendere, questo significa che è possibile mantenere lo sblocco workstation con una password non aggiornata e quindi ignorare una password modificare sul controller di dominio e pertanto tenere utilizzando la propria workstation?

Bene, magari, ma è impossibile già che: viene chiamato il trucco non bloccare la workstation in primo luogo. Se non si blocca mai la workstation, quindi non è rilevante come funziona l'algoritmo di sblocco della workstation, perché non ancora!

Se si preferisce che lo sblocco di una workstation connettersi al controller di dominio per verificare che la password non è scaduta, quindi è possibile utilizzare Editor criteri di gruppo per attivare il Richiesta autenticazione di controller di dominio per sbloccare la workstation criteri.

Si noti che questa cache a livello di una password per lo sblocco di una workstation è diversa dal dominio memorizzate nella cache credenziali di accesso. Credenziali memorizzate nella cache vengono utilizzate quando un controller di dominio non è disponibile per verificare una password. In tali condizioni, la password immessa dall'utente viene confrontato con quello memorizzato nella cache, e se corrispondono (o più precisamente, se gli hash degli hash corrispondono), quindi viene ritenuta l'accesso con esito positivo. Mentre nella cache di sblocco di una workstation è un'ottimizzazione delle prestazioni per evitare di contattare il controller di dominio (anche se è disponibile), le credenziali della cache è un fallback utilizzato quando il controller di dominio è completamente disponibile, ma si desidera comunque consentono di accedere alle risorse locali.

Le credenziali memorizzate nella cache possono essere sia un blessing e un imprecazione, a seconda che sta wearing i bicchieri colore. Per gli utenti mobili, credenziali memorizzate nella cache sono essenziali per la registrazione per il computer portatile quando il computer è disconnesso dalla rete aziendale. Senza di essi, i computer portatili sarebbe solo più paperweights quando non sono in ufficio, che contrasta uno dei motivi di disporre di computer portatili in primo luogo.

Credenziali memorizzate nella cache consentono d'altra parte, un attacco non in linea le informazioni memorizzate nella cache delle credenziali. Se il computer portatile è non compatibili con mani, un utente malintenzionato può assumere tutto il tempo nel mondo per tentare di indovinare la password dell'utente senza scoprire il controller di dominio. Attenzione si cache delle credenziali non contiene le password o anche gli hash delle password, in modo che una password di "decifrata" purported è solo un successo probabilistica (e si possono geometrico le probabilità in favore di richiedendo le password complesse). Naturalmente, un computer portatile rubato concede accesso fisico illimitato al pirata informatico, in modo che informazioni sul computer portatile stesso non crittografate sono stato già attaccate, password o senza password. Anche in questo caso, se il concetto di credenziali memorizzate nella cache consente di ottenere il heebie-jeebies (possibile o non), è possibile impostare il CachedLogonsCount a zero per disattivarli. Se si combinano con l'autenticazione richiesta controller di dominio per sbloccare la workstation criteri, avete le cache della password disattivate in entrambe le direzioni.

Raymond Chen Sito Web " Old New Thing"e in modo identico intitolato libro (Addison-Wesley, 2007) gestire di cronologia di Windows, programmazione Win32 e comprensibile ipotesi del Krashen di input.