• [アーティクル]

Windows の社外秘 キャッシュされた資格情報

Raymond Chen

ログオンしている場合 ドメイン アカウントでコンピューター上に (たとえば別のコンピューター)] からパスワードを変更し、自分のワークステーションをロック、ロック解除できますが、古いパスワードで、パスワードが変更された場合でも。 なぜですか。

Winlogon サービスは、そのパスワードのハッシュを記憶するログオンしたときと、ロックされたワークステーションをロック解除するときは、入力したパスワードはハッシュ ログオンに使用するパスワードのハッシュと比較します。 一致した場合 [Winlogon プロセスに進みます、ワークステーションをロック解除場合でも、パスワードが古い場合があります。 この動作は、ネットワーク パフォーマンスの最適化では、認証要求に、ドメイン コントローラーの inundating を回避するものです。 ほとんどのロックを解除操作は、正しいパスワードおよびドメイン コントローラーへの接続を回避するネットワーク トラフィックが減少が大幅に低速ネットワーク接続を介してパフォーマンスを向上します。

しかし、待機、これは意味自分のパスワードを変更して、ネットワーク外のユーザーをロックすることはできませんがでしょうか。

いいえ、自分のパスワードを変更して、ネットワーク外のユーザーをロックするができます。 キャッシュされたパスワード ハッシュは、ローカル ワークステーションにアクセスするは、のみ使用されます。 ユーザーがネットワーク リソースにアクセスしようとするネットワーク リソースは、ドメイン コントローラーに問い合わせてください"さん、こんにちはこの本当に彼名乗っているしますか?"され、ドメイン コントローラーが返信、すばらしいみます。

待機は、古いパスワードを持つワークステーションをロック解除を保持し、そのため、パスワードをバイパスできることは、この平均ドメイン コントローラー上で変更し、それによって、自分のワークステーションを使用してを保持しますか。

まあ、そうを求めることができます既にが: のトリックが呼び出される 最初に、ワークステーションをロックしないでください。 ワークステーションをロックする場合しかまいません、ワークステーションのロックを解除アルゴリズムのしくみ、しない場合でも実行されるため!

パスワード期限が切れていない、グループ ポリシー エディターを使用して有効にすることができることを確認するドメイン コントローラーに接続するワークステーションをロック解除を行う場合、 ワークステーション ポリシー ロックを解除するドメイン コントローラー認証を義務付けます。

ワークステーションをロック解除のこの 1 つのレベルのパスワード キャッシュはキャッシュされたドメイン ログオンの資格情報を異なることに注意ください。 キャッシュされた資格情報には、ドメイン コントローラーが、パスワードの確認に使用できるできないときを使用は。 これら状況では、ユーザーによって入力されたパスワードが比較されますキャッシュに格納された 1 つと一致する場合 (またはより正確に、ハッシュ、ハッシュの一致する場合)、ログオンが成功したと判断します。 ワークステーションをロック解除のキャッシュは、それが利用可能な) にもかかわらず、ドメイン コントローラーに接続しないようにするパフォーマンスの最適化、キャッシュは、ドメイン コントローラーがまったく利用できないときに使用するフォールバック資格情報がするにはユーザーがローカル コンピューターのリソースにアクセスできるようにします。

祝福と、消耗しているどの色眼鏡に応じて、curse の両方キャッシュされた資格情報を指定することができます。 ラップトップ ユーザー、コンピューターが企業ネットワークから切断された場合キャッシュされた資格情報は、ラップトップ コンピューターにログオンに不可欠です。 ラップトップではせずとではなく、ラップトップ コンピューターを最初のいずれかを counteracts、オフィス、paperweights なりますだけ。

その一方で、キャッシュされた資格情報は、資格情報キャッシュに格納された情報へのオフライン攻撃を許可します。 敵の手に、ラップトップ場合、攻撃者すべて、時間がかかる、ドメイン コントローラーを検索せず、ユーザーのパスワードを推測しようとする、世界中。 念するには、資格情報キャッシュは意図「ひび割れた」パスワードは、probabilistic の成功だけ (および、おそらくは強力なパスワードの要求により、優先で傾けることができます)、パスワードや、パスワードのハッシュもがありません。 もちろん、盗難にあったラップトップ コンピューターは、ハッカー、自体ラップトップ上の暗号化されていない情報が既に侵害され、パスワードまたはパスワードなしの無制限の物理アクセスを許可します。 キャッシュされた資格情報の概念を設定するか保証されている heebie-jeebies 場合、は、CachedLogonsCount を 0 に無効にするに設定できます。 ワークステーション ポリシー ロックを解除するを必要とするドメイン コントローラーの認証とこれを結合する場合に、パスワード キャッシュが両方向でオフに既に手です。

Raymond Chen Web サイト" 以前、新しいに、[同じタイトルの本 (◆ セグ: 前の TU 含まれる 2007年) Windows 履歴、Win32 プログラミング、および Krashen のわかり入力仮説を扱うと。