Când vă conectați la un computer cu un cont de domeniu, utilizatorul introduce acreditările, care sunt transmise celui mai apropiat controler de domeniu pentru autentificare. Dacă nu există controale de domeniu disponibile în mediul de rețea, atunci nu există nimeni care să verifice acreditările și utilizatorul nu se poate conecta la sistem.
Pentru a evita această situație, după o autentificare reușită, acreditările utilizatorului sunt stocate în memoria cache a computerului local. Aceasta vă permite să vă conectați cu acreditările de domeniu și să obțineți acces la resursele calculatorului local, chiar dacă nu aveți o conexiune de domeniu.
Notă. Pentru a fi mai exact, acreditările (datele de conectare și parola) nu sunt memorate în cache, ci rezultatul verificării lor. Mai exact, sistemul stochează un hash al parolei, modificat cu sare, care, la rândul său, este generat pe baza numelui de utilizator. Datele cache sunt stocate în cheia de registry HKLM \ SECURITY \ Cache, la care are acces doar sistemul.
Parametrul de registry CashedLogonsCount este responsabil pentru capacitatea de cache. localizat în secțiunea HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. Acest parametru specifică numărul de utilizatori unici ale căror acreditări sunt stocate local. În mod prestabilit, valoarea parametrului este de 10, ceea ce înseamnă următoarele: acreditările sunt stocate pentru ultimii 10 utilizatori conectați la sistem și atunci când al unsprezecelea utilizator se conectează la computer, acreditările primului utilizator vor fi suprascrise.
Puteți gestiona valoarea CashedLogonsCount la nivel central, utilizând Politica de grup. Pentru a face acest lucru, creați un nou GPO (sau deschide unul existent), trece la Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Local Policies \ Opțiuni de securitate și de a găsi logon interactivă setare: Număr de conectărilor anterioare în cache (în controler de domeniu caz nu este disponibil).
Deoarece teoretic, dacă există acces fizic la computer, un atacator are posibilitatea de a utiliza datele de identificare salvate, este recomandat să dezactivați caching-ul local pentru o mai bună securitate. O excepție poate fi făcută de utilizatorii de dispozitive mobile (laptopuri, tablete etc.) care utilizează dispozitive atât la locul de muncă, cât și în afara acestuia. Pentru astfel de utilizatori, numărul de intrări memorate în cache poate fi setat în intervalul 1-2. Acest lucru este suficient pentru muncă.
Și la sfârșitul câtorva puncte importante:
• Pentru ca acreditările să fie stocate în cache, este necesar ca utilizatorul să acceseze computerul cel puțin o dată sub contul său de domeniu cu un controler de domeniu accesibil.
• Destul de des, parametrul CashedLogonsCount este tratat ca numărul de conectări la sistem atunci când nu există acces la domeniu. Acest lucru nu este adevărat și dacă acreditările utilizatorului sunt stocate local, atunci se poate loga în sistem de nenumărate ori.
Articole similare
Trimiteți-le prietenilor: