Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)
Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена).
Справка
Параметр политики Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) определяет, сможет ли пользователь войти в домен Windows, используя данные учетной записи из кэша. В локальный кэш заносятся сведения обо всех предыдущих входах пользователей в систему, что позволяет им при последующих попытках войти в систему в случае отсутствия доступа к контроллеру домена. Этот параметр политики определяет количество уникальных пользователей, учетные данные которых занесены в кэш.
Если контроллер домена недоступен и учетные данные пользователя содержатся в кэше, пользователь получает следующее сообщение:
Не удалось установить связь с контроллером домена вашего домена. Вход выполнен с помощью информации об учетной записи, сохраненной в кэше. Если информация учетной записи была изменена со времени последнего входа в систему, эти изменения могут не отразиться в этом сеансе.
Если контроллер домена недоступен и учетных данных пользователя в кэше нет, пользователь получает следующее сообщение:
Не удалось выполнить вход в систему, поскольку домен DOMAIN NAME недоступен.
Значение этого параметра политики обозначает количество пользователей, учетные данные которых сервер кэширует локально. Если значением является 10, это значит, что сервер кэширует учетные данные 10 пользователей. Когда одиннадцатый пользователь выполняет вход на устройстве, сервер перезаписывает кэшированные данные самого первого сеанса входа.
Учетные данные для входа пользователей, осуществляющих доступ к консоли сервера, будут кэшироваться на этом сервере. Злоумышленник, у которого есть возможность получить доступ к файловой системе сервера, может найти эти кэшированные учетные данные и узнать пароли пользователей методом подбора. Windows устраняет атаки такого типа путем шифрования информации и хранения кэшированных учетных данных в системных реестрах, находящихся в многочисленных физических месторасположениях.
Возможные значения
Определяемое пользователем число от 0 до 50
Не определено
Рекомендации
Параметру Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) рекомендуется задавать значение 0. Когда параметру задается это значение, локальное кэширование учетных данных отключается. К дополнительным мерам защиты относятся применение политик надежных паролей и обеспечение физической защиты компьютеров. Когда значение равно 0, пользователи не смогут войти ни в один компьютер, если контроллер домена для проверки их подлинности недоступен. Организации может потребоваться задать параметру Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) значение 2 для систем конечных пользователей, в особенности для пользователей мобильных устройств. Если параметру задается это значение, учетные данные пользователя будут по-прежнему храниться в кэше, даже если сотрудник ИТ-отдела недавно выполнил вход на устройстве пользователя для проведения обслуживания системы. Таким образом, эти пользователи смогут выполнять вход на своих устройствах, когда они не подключены к корпоративной сети.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
10 входов в систему |
Действующие параметры контроллера домена по умолчанию |
10 входов в систему |
Действующие параметры рядового сервера по умолчанию |
10 входов в систему |
Действующие параметры клиентского компьютера по умолчанию |
10 входов в систему |
Управление политикой
В этом разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.
Вопросы, касающиеся конфликтов политик
Нет
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Значение, присваиваемое этому параметру политики, обозначает количество пользователей, учетные данные которых серверы кэшируют локально. Если значением является 10, это значит, что сервер кэширует учетные данные 10 пользователей. Когда одиннадцатый пользователь выполняет вход на устройстве, сервер перезаписывает кэшированные данные самого первого сеанса входа.
Учетные данные для входа пользователей, осуществляющих доступ к консоли сервера, кэшируются на этом сервере. Злоумышленник, у которого есть возможность получить доступ к файловой системе сервера, может найти эти кэшированные учетные данные и попытаться узнать пароли пользователей методом подбора.
Для устранения атак такого типа Windows шифрует информацию и скрывает ее физическое месторасположение.
Меры противодействия
Задайте параметру Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) значение 0, чтобы отключить локальное кэширование учетных данных. К дополнительным мерам защиты относятся применение политик надежных паролей и обеспечение физической защиты места, в котором расположены компьютеры.
Возможные последствия
Пользователи не смогут выполнить вход ни на одном устройстве, если контроллер домена для проверки их подлинности недоступен. Организация может задать этому параметру значение 2 для компьютеров конечных пользователей, в особенности для пользователей мобильных устройств Когда этому параметру задается значение 2, учетные данные пользователя будут по-прежнему храниться в кэше, даже если сотрудник ИТ-отдела недавно выполнил выход на устройстве пользователя для проведения обслуживания системы. Таким образом, пользователи смогут выполнять вход на своих компьютерах, когда они не подключены к сети организации.