Як Windows аутентифікує користувачів домену без підключення до мережі?

5

Якщо ви увійшли на машину Windows як користувач домену хоча б один раз, ви можете знову ввійти на цю машину, навіть якщо машина більше не має мережевого підключення.

Як це працює? Я припускаю, що Windows десь запам’ятовує пароль, а потім автентифікує користувача. Якщо це так, чи хтось знає, де його кеш?

Хіба це не небезпечно? Якщо припустити, що адміністратор домену змусив змінити пароль або видалив користувача, ця "лазівка" все одно дозволить користувачеві ввійти до машини.

windows  authentication 
бобілекс
джерело
1
Windows зберігає хеш пароля, а точніше хеш хеша пароля. Взагалі кажучи, якщо у вас є фізичний доступ до машини, ви завжди можете обійти безпеку входу, тому це насправді не має значення. У рідкісних ситуаціях, коли це відбувається, адміністратор може відключити функціональність, як уже пояснив Mayank.
Гаррі Джонстон,
Це небезпечно, і його можна використовувати як лазівку. Якщо ви не передбачаєте необхідності кешування, кешоване вхід слід вимкнути. Є чимало випадків, коли я спеціально відключив кабель Ethernet, увійшов у систему та знову підключив кабель Ethernet після завантаження робочого столу, спеціально для уникнення проблем, пов’язаних із
входом

Відповіді:

8
  1. Після того, як ви ввійдете на машину один раз, система Windows буде кешувати локальну інформацію про ваш рахунок.
  2. Якщо наступного разу, коли ви спробуєте ввійти до постійного струму, не вдасться досягти, він використовуватиме налаштування кешування. Це може бути корисно для ноутбуків, які можуть знадобитися для роботи в мережі.
  3. Щодо проблем безпеки, коли ви входите в Windows за допомогою кешованої інформації для входу, якщо контролер домену недоступний для перевірки вашого облікового запису, ви не можете отримати доступ до мережевих ресурсів, які потребують перевірки домену . Однак ви можете отримати доступ до мережевих ресурсів, які не потребують перевірки домену.
  4. (для сервера 2k8) Існує GPO для кешування кешування входу - Інтерактивний вхід: Кількість попередніх входів для кешування (якщо контролер домену недоступний). Ви можете знайти його в розділі [Конфігурація комп'ютера \ Налаштування Windows \ Налаштування безпеки \ Локальні політики \ Параметри безпеки] 4.
Shurmajee
джерело
Ви також можете знайти цей параметр в реєстрі окремої машини: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] CachedLogonsCount = 10. Змініть на нуль, щоб вимкнути функцію (групова політика може змінити це налаштування, я не впевнений).
Dan
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.