Windows Confidential Zwischengespeicherte Anmeldeinformationen

Raymond Chen

Wenn Sie sind angemeldet an Ihrem Computer mit einem Domänenkonto ändern Sie Ihr Kennwort (z. B. von einem anderen Computer) und dann Ihre Arbeitsstation sperren, Sie können entsperren Sie mit Ihrem alten Kennwort, obwohl das Kennwort geändert wurde. Warum ist das?

Wenn Sie sich anmelden, speichert des Winlogon-Dienstes einen Hash des Kennworts und wenn Sie versuchen, eine gesperrte Arbeitsstation zu entsperren, das eingegebene Kennwort gehasht und im Vergleich zu den Hash des Kennworts anmelden werden verwendet. Wenn diese übereinstimmen, wird die Winlogon, die Arbeitsstation zu entsperren fortgesetzt, obwohl das Kennwort möglicherweise veraltete. Dieses Verhalten ist eine Leistungsoptimierung Netzwerk zu vermeiden, den Domänencontroller mit Authentifizierungsanforderungen inundating. Entsperren Sie die meisten Vorgänge sind mit dem richtigen Kennwort, und verringert den Netzwerkverkehr und erheblich verbessert die Leistung über langsame Netzwerkverbindungen vermeiden die Verbindung mit dem Domänencontroller.

Aber warten, bedeutet dies, dass Sie Benutzer im Netzwerk Sperren können nicht, indem Sie Ihre Kennwörter ändern?

Nein, können Sie Benutzer im Netzwerk weiterhin Sperren, indem ihre Kennwörter ändern. Der zwischengespeicherte Kennwort-Hashwert ist nur für den Zugriff auf die lokale Arbeitsstation verwendet. Sobald der Benutzer versucht, eine Netzwerkressource zugreifen, diese Netzwerkressource wird der Domänencontroller, bitten "kennen, ist dies wirklich die Angreifer, der er vorgibt zu sein?" und der Domänencontroller antwortet, "Schlecht".

Aber warten, diese Mittel können Sie Entsperren der Arbeitsstation mit einem veralteten Kennwort beibehalten und daher ein Kennwort zu umgehen auf dem Domänencontroller ändern und somit behalten mithilfe Ihrer Arbeitsstation?

Gut, Oh, jedoch könnte bereits mit: der Stich wird aufgerufen nicht Sperren der Arbeitsstation an erster Stelle. Wenn Sie niemals Ihre Arbeitsstation sperren, ist dann es unwichtig wie der Arbeitsstation entsperren Algorithmus funktioniert, da es noch nie ausgeführt wird!

Wenn Sie lieber, dass Entsperren einer Arbeitsstation die Verbindung mit dem Domänencontroller stellen Sie sicher, dass das Kennwort nicht abgelaufen und Sie den Gruppenrichtlinien-Editor aktivieren können der Domänencontrollerauthentifizierung zum Entsperren der Arbeitsstation Richtlinie erforderlich.

Hinweis, dass diese einer Ebene Kennwortcache nach Entsperren einer Arbeitsstation Anmeldeinformationen zwischengespeicherte Domäne unterscheidet. Zwischengespeicherte Anmeldeinformationen werden verwendet, wenn ein Domänencontroller nicht um ein Kennwort zu überprüfen verfügbar ist. Unter diesen Bedingungen wird das vom Benutzer eingegebene Kennwort verglichen, um im Cache gespeichert und wenn diese übereinstimmen (oder präziser, wenn die Hashwerte die Hashes übereinstimmen), dann die Anmeldung als erachtet wird, um erfolgreich ausgeführt wurden. Während der Cache Entsperren einer Arbeitsstation möchten eine Leistungsoptimierung, damit den Domänencontroller kontaktieren, (, obwohl es verfügbar ist), die Anmeldeinformationen der Cache ein Fallback verwendet ist, wenn der Domänencontroller vollständig nicht verfügbar ist, aber Sie noch Benutzer, die lokalen Ressourcen zugreifen können.

Zwischengespeicherte Anmeldeinformationen können sein, ein Segen und ein Fluch, je nachdem, welche Farbe Brille mit werden sind. Für Laptopbenutzer sind zwischengespeicherte Anmeldeinformationen für die Anmeldung an den Laptop unerlässlich, wenn der Computer vom Firmennetzwerk getrennt ist. Ohne werden Laptops nur Paperweights nicht in Office, die einer der Gründe für Laptops an erster Stelle mit counteracts.

Zwischengespeicherte Anmeldeinformationen ermöglichen die andererseits einen Offlineangriff auf die in den Cache für Anmeldeinformationen gespeicherten Informationen. Fällt der Laptop in unfreundliche Hände, kann ein Angreifer alle der in der Welt zu versuchen, das Kennwort des Benutzers ohne Ihres Domänencontrollers herausfinden erraten dauern. Dass Sie enthalten nicht der Anmeldeinformationscache die Kennwörter oder sogar die Hashwerte der Kennwörter, sodass ein purported "entschlüsselten" Kennwort nur ein probabilistic Erfolg ist (und Sie die Wahrscheinlichkeit in Ihrer bevorzugen kippen, können indem sichere Kennwörter). Natürlich gewährt ein gestohlener Laptop uneingeschränkten physischen Zugriff Hacker, damit die unverschlüsselte Informationen auf dem Laptop selbst bereits gefährdet ist, Kennwort oder kein Kennwort. Wenn das Konzept der zwischengespeicherten Anmeldeinformationen Sie die Heebie-jeebies (oder nicht gerechtfertigt) zuweisen, können Sie dennoch die CachedLogonsCount auf NULL, um diese zu deaktivieren festlegen. Wenn Sie diese mit der Domänencontroller erforderlich Authentifizierung zum Entsperren der Arbeitsstation Richtlinie kombinieren, haben Sie die Kennwort-Caches in beide Richtungen deaktiviert, was.

Raymond Chen Website" Old New Thing"und gleichnamiges Buch (Addison-Wesley, 2007) befassen sich mit Windows-Geschichte, der Win32-Programmierung und der Krashen des verständlich Eingabe Hypothese.