Кэшированные хэши входа в систему
NT локально кэширует информацию о входе в систему предыдущих пользователей, чтобы они могли войти в систему в случае, если сервер входа в систему будет недоступен во время последующих попыток входа в систему. Если контроллер домена недоступен, а информация о входе пользователя кэширована, пользователю будет предложено диалоговое окно, в котором говорится:
Не удалось связаться с контроллером домена для вашего домена. Вы вошли в систему, используя кэшированные данные учетной записи. Изменения в вашем профиле с момента вашего последнего входа в систему могут быть недоступны.
Если кеширование отключено, пользователю выдается следующее сообщение:
Система не может войти в систему сейчас, потому что домен NT 2000 по умолчанию подавляет сообщение Контроллер домена для вашего домена не может быть установлен. Чтобы подавить сообщение в NT4 Куст: HKEY_CURRENT_USER По умолчанию Windows NT запоминает 10 последних попыток входа в систему. Допустимый диапазон значений этого параметра — от 0 до 50. Существует возможность раскрытия мощных паролей учетных записей домена, поскольку хэши хранятся локально на рабочей станции. Значение 0 отключает кэширование входа (подходит для среды с высоким уровнем безопасности), а любое значение выше 50 кэширует только 50 попыток входа. Для рабочих станций я рекомендую установить для CachedLogonsCount значение 1, так как это обеспечивает наилучший баланс между функциональными потребностями и требованиями безопасности. См. Секреты LSA для получения дополнительной информации. Я не хочу давать учебник по конкретному методу, но скажем, JoeDummy обращается за помощью, заявляя, что у него проблемы со входом в систему. Приходит установщик или администратор домена, входит в систему, чтобы решить проблему (оставляя копию хэша своей мощной учетной записи в кэше на рабочей станции). Вы уходите, а JoeDummynowHacker запускает атаку по словарю на хэш (при условии, что он/она узнает, как добраться до хэша). Чтобы предотвратить эту атаку, я рекомендую установить количество кэшируемых паролей равным 1. Человек с мощной доменной учетной записью заходит на ПК, исправляет проблему, оставляет кэшированный хэш. У этого человека есть владелец ПК, который немедленно входит в систему, уничтожая мощный хэш учетной записи, или человек с мощной учетной записью входит в систему с бессильной учетной записью в домене, оставляя бесполезный хэш учетной записи в кэше. Установка кэшированных хэшей на ноль более безопасна, но установка на 1 обеспечивает хороший баланс между функциональностью и безопасностью ( при условии, что персонал с мощными учетными записями понимает риск и не подвергает свои мощные учетные записи атаке ). Куст: HKEY_LOCAL_MACHINE Этот параметр лучше всего установить с помощью RegKey.exe из Resource Kit. По возможности избегайте прямого редактирования реестра и используйте косвенные модификаторы реестра, такие как RegKey и TweakUI. Другой хак отключает кеширование пароля домена в том смысле, что если вам нужно получить доступ к новому ресурсу, вы будете вынуждены повторно вводить свой пароль для каждого нового доступного ресурса. Это сведет ваших пользователей с ума. Для среды с высоким уровнем безопасности — у него есть реальный потенциал. Возможно, это имеет смысл для рабочих станций администратора. Куст: HKEY_LOCAL_MACHINE Существует глобальная настройка для Windows NT/Windows 2000/Windows XP для отключения кэширования паролей в целом: Куст: HKEY_CURRENT_USER
Ключ: SoftwareMicrosoftWindowsNTCurrentVersionWinlogon
Название: ReportDC
Тип: REG_DWORD
Значение: 0 подавлять сообщение контроллера домена.
Значение: 1 не подавлять сообщение контроллера домена
Ключ: SoftwareMicrosoftWindows NTCurrentVersionWinlogon
Имя: Кэшедлогонскаунт
Тип: REG_SZ
Значение: 0 без кэширования pw
Значение: 1 моя рекомендация
Значение: 2-50
Значение: 51 — что бы ни кэшировало 50 хэшей
Ключ: СетьВход
Имя: Нодомаинпвдкачинг
Тип: REG_DWORD
Значение: 1
Куст: HKEY_LOCAL_MACHINE
Ключ: SoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
Имя: Дисаблепвдкачинг
Тип: REG_DWORD
Значение: 0 отключить