Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности
Содержит описание рекомендаций, расположения, значений, управления политиками и вопросов безопасности для параметра политики безопасности Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности.
Справка
Этот параметр безопасности определяет, сохраняются ли диспетчером учетных данных пароли и учетные данные при проверке подлинности доменом (для последующего использования).
Возможные значения
Включено
Диспетчер учетных данных не сохраняет пароли и учетные данные на устройстве.
Отключено
Диспетчер учетных данных сохраняет пароли и учетные данные на компьютере для последующего использования при проверки подлинности доменом.
Не определено
Рекомендации
Рекомендуется отключить в операционной системе Windows кэширование учетных данных на всех устройствах, где учетные данные не требуются. Проанализируйте ваши серверы и рабочие станции, чтобы определить требования. Кэширование учетных данных предназначено главным образом для использования на ноутбуках, которым требуются учетные данные домена при работе без подключения к домену.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Отключено |
Политика контроллера домена по умолчанию |
Отключено |
Параметры автономного сервера по умолчанию |
Отключено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры объекта групповой политики по умолчанию на клиентских компьютерах |
Не определено |
Управление политикой
В этом разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Прежде чем эта политика вступит в силу после локального сохранения внесенных в нее изменений или распространения этих изменений через групповую политику, необходимо перезапустить устройство.
Групповая политика
Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) и распространять через объекты групповой политики (GPO). Если эта политика отсутствует в распространяемом объекте GPO, ее можно настроить на локальном компьютере с помощью оснастки «Локальная политика безопасности».
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Кэшированные пароли доступны пользователям, выполнившим вход на устройстве. Хотя эта информация может показаться очевидной, может возникнуть проблема, если пользователь случайно запустит вредоносное ПО, считывающее пароли и отправляющее их другому, неавторизованному пользователю.
Примечание
Вероятность успешного использования этой и других уязвимостей с помощью вредоносного ПО значительно снижается в организациях, эффективно внедряющих корпоративные антивирусные решения и управляющих ими, а также применяющих разумную политику ограниченного использования программ.
Независимо от алгоритма, используемого для шифрования средства проверки пароля, злоумышленник может перезаписать средство, чтобы пройти проверку подлинности как пользователь, которому это средство принадлежит. Это означает, что пароль администратора может быть перезаписан. Для выполнения этой процедуры необходим физический доступ к устройству. Существуют служебные программы, помогающие перезаписать кэшированное средство проверки пароля. С помощью одной из таких программ злоумышленник может пройти проверку подлинности, используя перезаписанное значение.
Перезапись пароля администратора не позволит злоумышленнику получить доступ к данным, зашифрованным с помощью этого пароля. Перезапись пароля также не позволит злоумышленнику получить доступ к данным шифрованной файловой системы (EFS), принадлежащим другим пользователям этого устройства. Перезапись пароля не позволит злоумышленнику заменить средство проверки пароля, потому что базовый ключевой материал указан неверно. Поэтому данные, зашифрованные с помощью файловой системы EFS или API защиты данных, расшифрованы не будут.
Меры противодействия
Включите параметр Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности.
Ограничить число измененных учетных данных домена, хранящихся на компьютере, можно с помощью записи реестра cachedlogonscount. По умолчанию в операционной системе кэшируется средство проверки пароля для 10 последних удачных входов в систему для каждого уникального пользователя. Это значение может быть любым в диапазоне от 0 до 50. По умолчанию во всех версиях операционной системы Windows кэшируется 10 попыток входа в систему, а в Windows Server 2008 и более поздних версиях — 25.
Если при попытке входа в домен с клиентского устройства под управлением Windows контроллер домена недоступен, сообщение об ошибке не выводится. Таким образом можно не заметить, что вход был выполнен с помощью кэшированных учетных данных домена. Уведомление о входе с использованием кэшированных учетных данных домена можно настроить в разделе реестра ReportDC.
Возможные последствия
Пользователи вынуждены вводить пароль при входе в учетную запись Майкрософт или на другие сетевые ресурсы, недоступные для учетной записи домена. Этот параметр политики не влияет на пользователей, которые получают доступ к сетевым ресурсам, настроенным для предоставления доступа по учетной записи домена с помощью Active Directory.