Коли доменний користувач входить в Windows, за замовчуванням його облікові дані (Cached Credentials: ім’я користувача і хеш пароля) зберігаються на локальному комп’ютері. Завдяки цьому, користувач зможе увійти на локальний комп’ютер, навіть якщо контролери домену AD недоступні, вимкнені або на комп’ютері відключений мережевий кабель. Функціонал кешування облікових даних доменних акаунтів зручний для користувачів ноутбуків, які можуть отримати доступ до своїх локальних даних на комп’ютері, коли немає доступу до корпоративної мережі.

Збережено кеш доменної облікового запису в Windows

Вхід на комп’ютер під кешуватися даними для користувача доступний, якщо він раніше хоча б один раз авторизувався на цьому комп’ютері, і пароль в домені ні змінений з моменту входу. Пароль користувача в cashed credentials ніколи не закінчується. Якщо доменна політика паролів змусить користувача змінити пароль, збережений пароль користувача в локальному кеші комп’ютера не зміниться, поки користувач не увійде на комп’ютер під новим паролем. Тобто якщо пароль користувача в AD був змінений після останнього входу на комп’ютер, і комп’ютер знаходився весь час в офлайн режимі без доступу в мережу, то користувач зможе увійти на цей комп’ютер під старим паролем.

Якщо домен Active Directory недоступний, Windows перевіряє, що введені ім’я користувача та пароль відповідають збереженому локальному хешу і дозволяє локальний вхід на комп’ютер.

Збережені паролі зберігаються в гілці реєстру HKEY_LOCAL_MACHINE Security Cache (Файл% systemroot% System32 config SECURITY). Кожен збережений хеш міститься в Reg_Binary параметрі NL $ x (Де x – індекс кешованих даних). За замовчуванням навіть у адміністратора немає прав на перегляд вмісту цієї гілки реєстру, але при бажанні їх можна легко отримати.

До реєстру зберігає хеш пароля, модифікований з допомогу salt, створеної на основі імені користувача.

HKEY_LOCAL_MACHINE  Security  Cache збережений хеш пароля в реєстрі

Очищення значення параметра NL $ x призведе до видалення кешованих даних.

Якщо в локальному кеші для користувача немає збережених облікових даних, то при вході на офлайн комп’ютер, з’явиться повідомлення:

There are currently no logon servers available to service the logon request.
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

Відсутні сервери, які могли б обробити запит на вхід в мережу.

Налаштування Cached Credentials за допомогою групових політик

За допомогою параметрів групових політик ви можете задати кількість унікальних користувачів, чиї облікові дані можуть бути збережені в локальний кеш на комп’ютерах домену. Щоб дані потрапили в кеш, користувач повинен хоча б один раз залогінитися на комп’ютер.

За замовчуванням в Windows 10 / Windows Server 2016 зберігаються облікові дані для 10 користувачів. Щоб змінити цю кількість, використовується параметр GPO Інтерактивний вхід: Кількість попередніх входів в кеш (у випадку, якщо контролер домену недоступний) (Інтерактивний вхід в систему: кількість попередніх підключень до кешу в разі відсутності доступу до контролера домену), який знаходиться в розділі Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Можна задати значення від 0 до 50.

якщо задати 0, Це заборонить Windows кешувати облікові дані користувачів. В цьому випадку при недоступності домену, при вході користувача з’явиться помилка “There are currently no logon servers available to service the logon request”.

групова політика Інтерактивний вхід в систему: кількість попередніх підключень до кешу в разі відсутності доступу до контролера домену

Цей параметр також можна налаштувати за допомогою REG_SZ параметра реєстру CashedLogonsCount з гілки HKLM Software Microsoft Windows NT CurrentVersion Winlogon

При вході під збереженими даними, користувач не бачить, що контролер домену недоступний. За допомогою GPO можна вивести повідомлення про вхід під кешуватися даними. Для цього потрібно включити політику Повідомте, коли сервер входу в систему не був доступний під час входу користувача (Запитувати, якщо сервер входу недоступний при вході користувача) в розділі Compute configuration -> Policies -> Administrative templates -> Windows Components -> Windows Logon Options.

політика Запитувати, якщо сервер входу недоступний при вході користувача

В цьому випадку при вході користувача в треї буде з’являтися повідомлення:

Не удается подключиться к серверу входа (контроллеру домена). Вход выполнен с помощью ранее сохраненных сведений об учетной записи.
A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes to your profile since you last logged on might not be available.

Неможливо з'єднатися з сервером входу (контролеру домену).  Вхід виконаний за допомогою раніше збережених відомостей про обліковий запис.

Цю настройку можна включити через реєстр:
HKEY_LOCAL_MACHINE / ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ / Microsoft / Windows NT / Поточна версія / Winlogon

  • ValueName: ReportControllerMissing
  • Тип даних: REG_SZ
  • Значення: TRUE

Безпека кешованих облікових даних в Windows

Локальне кешування облікових даних несе низку ризиків безпеки. Зловмисник, отримавши фізичний доступ до комп’ютера / ноутбука з кешуватися даними, може за допомогою брутфорса розшифрувати хеш пароля (тут все залежить від складності та довжини пароля, для складних паролів час підбору величезна). Тому не рекомендується використовувати кешування для облікових записів з правами локального адміністратора (або, тим більше, доменного адміністратора).

Для зменшення ризиків безпеки, можна відключити кешування облікових записів на офісних комп’ютерах і комп’ютерах адміністраторів. Для мобільних пристроїв бажано зменшити кількість Кешована акаунтів до 1. Тобто навіть якщо адміністратор заходив на комп’ютер і його облікові дані потрапили в кеш, при вході користувача-власника пристрою, хеш пароля адміністратора буде видалений.

Для доменів з функціональним рівнем Windows Server 2012 R2 або вище можна додати облікові записи адміністраторів домену в групу Protected Users. Для таких користувачів заборонено локальне збереження кешованих даних для входу.

Можна створити в домені окремі політики з використання кешованих облікових даних для різних пристроїв і категорій користувачів (наприклад, за допомогою GPO Security filters, WMI фільтрів, або поширенню налаштувань параметра реєстру CashedLogonsCount через GPP Item level targeting).

Для мобільних користувачів – CashedLogonsCount = 1
Для звичайних комп’ютерів – CashedLogonsCount = 0

Такі політики знизять ймовірність отримання хеша привілейованих користувачів з персональних комп’ютерів.

Leave a Reply

Your email address will not be published. Required fields are marked *