Чому я можу ввійти у поле, навіть якщо контролер домену AD не працює?

15

Сценарій:

  • Поки мій постійний струм працює, я входжу в довільну машину.
  • Я зупиняю постійний струм
  • Я виходжу з довільної машини. Давайте також відкинемо це на добру міру.
  • Коли машина повернеться до системи, я все одно можу ввійти в систему за допомогою облікових даних домену, навіть якщо DC не працює

Чому і як?

Чи існує якийсь локальний кеш-код довіри на "довільній" машині? Мій пароль якимось чином хешировано і зберігається на майбутнє у випадку, коли DC вибухає або знижується?

Чи працював би той самий процес, якби я намагався увійти до вікна, в яке я ніколи не входив, поки DC не працює?

windows  active-directory  domain-controller 
Рассел Крістофер
джерело
1
Цікавий цікавий момент: відключення мережного кабелю - це один із способів емуляції "постійного струму вниз". Я не впевнений, чи змінилося це за останні роки, але оскільки політика блокування користувачів реалізується DC, ви можете отримати безмежні спроби відгадати кешовані облікові дані, просто відключивши мережевий кабель.
Даніель Б

Відповіді:

33

За замовчуванням Windows буде кешувати останніх 10-25 користувачів для входу в машину (залежно від версії ОС). Така поведінка може бути налаштована за допомогою GPO і зазвичай вимикається повністю у випадках, коли безпека є критичною.

Якщо ви спробували увійти на робочу станцію або сервер-учасник, на який ви ніколи не входили, поки всі ваші постійні токи недоступні, ви отримаєте помилку із зазначенням There are currently no logon servers available to service the logon request

MDMarra
джерело
3
Кешування облікових даних проводиться з різних причин, але серед найпомітніших є випадки ноутбуків. Генеральний директор буде дуже нещасний, якщо (-ла) він не може працювати, поки (-ла) знаходиться в повітрі і не може підключитися до вашої мережі, тому вхід буде кешований, щоб він / її все ще могли увійти до свого комп’ютера.
user24313
1
Зазвичай потрібно входити в ОС інтерактивно перед початком з'єднання VPN. Якщо вхід неможливий без прямого доступу до постійного струму, а постійний струм доступний лише через VPN, а VPN доступний лише після входу, у вас неприємний привід-22. Кешовані облікові дані - це ефективне рішення для цього.
Брендон
@Brandon, що вони є. Я не рекомендував усім відключати це, я просто відзначав, що це звичайне місце, security is criticalоскільки це запобіжить проти офлайн-грубої атаки. Вирішення проблеми VPN полягає в підключенні при запуску за допомогою сертифікатів пристрою, а не після входу в систему з користувачем / проходом.
MDMarra
2

Так, ваші облікові дані кешуються на кожній машині, на якій ви входите. Якби ви не ввійшли в систему на певній машині до виходу з постійного струму, ви не змогли б увійти, оскільки ваші облікові дані не були б доступні.

Джон
джерело
7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- це не правда. Якщо для встановлення автентифікації вхід є DC, вони будуть незалежно від того, чи кешировані дані цього користувача на локальній робочій станції або сервері-члені. Кешовані облікові дані використовуються лише тоді, коли робоча станція або сервер-член не в змозі зв’язатися з одним або декількома контролерами домену для аутентифікації. Загальні сценарії, коли це відбувається, включають зняття ноутбуків за межі мережі, недоступність постійного струму через відключення мережі або будь-яке інше переривання служби.
MDMarra
Гаразд, я змінив відповідь, щоб видалити невірну інформацію.
Іван
-2

Варто також зазначити, що DC та клієнтська скринька синхронізації періодично входять в систему операцій групової політики, але лише в той час, як вони обидва в мережі.

Наприклад, ви можете зайти на свою робочу станцію (Alice) і відключити її від мережі, потім увійти на другу робочу станцію (Bob) і змінити пароль для входу в систему (через ctrl-alt-del) від Bob. Пароль оновлюється миттєво на Боба та DC (Charlie), але все ще є старим значенням (кешований) для Alice.

Якщо ви знову підключите Алісу до мережі, через хвилину чи дві ви, швидше за все, отримаєте сповіщення про міхур на панелі завдань із записом "Windows потребує ваших поточних даних". Це результат, коли Аліса та Чарлі синхронізували політику групи періодів. Введення нового пароля підтвердить ваш запис проти Чарлі та оновить кешовані облікові дані на Алісі.

Райан
джерело
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. зітхання, це не має нічого спільного з груповою політикою. Як тільки вам знадобиться доступ до мережевого ресурсу і ваші кешовані облікові дані будуть використані, вам потрібно буде підтвердити автентифікацію. Немає "синхронізації паролів" чи чогось подібного, особливо не з GPO. Ви, ймовірно, це побачите відразу, оскільки у вас відкриті постійні відображення диска або поштова скринька Exchange або щось подібне, для чого потрібні ваші облікові дані майже негайно.
MDMarra
1
Дякую, що вказали на його недолік стосовно групової політики. Я також хочу зазначити, що це дуже мало стосується синхронізації паролів один з одним, і більше стосується нових квитків / пар ключів, які запитуються / видаються. Дивіться це, якщо те, що я щойно сказав, не мало сенсу. msdn.microsoft.com/en-us/library/windows/desktop/… Ви, ймовірно, відкрили щось на зразок Outlook або відображення диска, як згадується MDMarra, оскільки вони негайно спробують перевірити автентифікацію, але оскільки у них є стара пара квитків / ключів, вони доведеться отримати новий, перш ніж вони зможуть продовжити
Бред Бушар
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.