Khi người dùng miền đăng nhập vào Windows, thông tin xác thực của họ được lưu trên máy tính cục bộ theo mặc định (Thông tin đăng nhập được lưu trong bộ nhớ cache:tên người dùng và mã băm mật khẩu). Điều này cho phép người dùng đăng nhập vào máy tính ngay cả khi bộ điều khiển miền AD không khả dụng, bị tắt nguồn hoặc cáp mạng được rút khỏi máy tính. Bộ nhớ đệm thông tin xác thực tài khoản miền thuận tiện cho người dùng máy tính xách tay có thể truy cập dữ liệu cục bộ của họ trên thiết bị khi mạng công ty không khả dụng.
Lưu thông tin đăng nhập của người dùng miền vào bộ nhớ đệm trên Windows
Thông tin đăng nhập được lưu trong bộ nhớ cache có thể được sử dụng để đăng nhập vào Windows nếu người dùng đã xác thực trên máy tính này ít nhất một lần và mật khẩu miền của họ không bị thay đổi kể từ đó. Mật khẩu người dùng dưới dạng thông tin đăng nhập bằng tiền mặt không bao giờ hết hạn. Nếu chính sách mật khẩu miền buộc người dùng thay đổi mật khẩu, thì mật khẩu đã lưu trong bộ nhớ cache cục bộ sẽ không thay đổi cho đến khi người dùng đăng nhập bằng mật khẩu mới. Nếu mật khẩu người dùng trong AD đã được thay đổi sau lần đăng nhập cuối cùng vào máy tính và máy tính ở chế độ ngoại tuyến (không có quyền truy cập vào mạng miền), người dùng sẽ có thể đăng nhập máy tính bằng mật khẩu cũ.
Nếu miền Active Directory không khả dụng, Windows sẽ kiểm tra xem tên người dùng và mật khẩu đã nhập có khớp với bộ đệm cục bộ hay không và cho phép đăng nhập cục bộ vào máy tính.
Thông tin đăng nhập vào bộ nhớ đệm được lưu trữ trong sổ đăng ký theo khóa đăng ký HKEY_LOCAL_MACHINE \ Security \ Cache (%systemroot%\System32\config\SECURITY ). Mỗi hàm băm đã lưu được lưu trữ trong NL $ x tham số (trong đó x là một chỉ mục dữ liệu được lưu trong bộ nhớ cache). Theo mặc định, ngay cả quản trị viên cũng không thể xem nội dung của khóa đăng ký này, nhưng bạn có thể có quyền truy cập nếu cần.
Nếu không có thông tin đăng nhập được lưu trong bộ nhớ cache cục bộ, bạn sẽ thấy thông báo sau khi cố gắng đăng nhập vào một máy tính ngoại tuyến:
There are currently no logon servers available to service the logon request.
Định cấu hình thông tin đăng nhập được lưu trong bộ nhớ cache bằng chính sách nhóm
Bạn có thể đặt số lượng người dùng duy nhất, có thông tin đăng nhập của họ có thể được lưu trong bộ đệm ẩn cục bộ trên máy tính miền với tùy chọn Chính sách Nhóm. Để thông tin đăng nhập của người dùng được lưu trữ trong bộ đệm ẩn cục bộ, người dùng phải đăng nhập vào máy tính ít nhất một lần.
Theo mặc định, Windows 10 và Windows Server 2016 lưu trữ thông tin đăng nhập của 10 người dùng đã đăng nhập gần đây. Bạn có thể thay đổi giá trị này bằng tùy chọn GPO sau - Đăng nhập tương tác:Số lần đăng nhập trước đó vào bộ nhớ cache (trong trường hợp bộ điều khiển miền không khả dụng) . Bạn có thể tìm thấy nó trong Cấu hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Chính sách cục bộ -> Tùy chọn bảo mật. Bạn có thể đặt bất kỳ giá trị nào từ 0 thành 50 .
There are currently no logon servers available to service the logon request .
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon . Nếu người dùng đăng nhập bằng thông tin đăng nhập đã lưu, họ sẽ không thấy rằng bộ điều khiển miền không khả dụng. Sử dụng GPO, bạn có thể hiển thị thông báo về việc sử dụng thông tin đăng nhập được lưu trong bộ nhớ cache để đăng nhập. Để thực hiện, hãy bật tùy chọn GPO Báo cáo khi máy chủ đăng nhập không khả dụng trong quá trình đăng nhập của người dùng trong cấu hình Máy tính -> Chính sách -> Mẫu quản trị -> Thành phần Windows -> Tùy chọn đăng nhập Windows.
Sau đó, thông báo sau sẽ xuất hiện trong khay sau khi người dùng đăng nhập:
A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes to your profile since you last logged on might not be available.Tùy chọn này có thể được kích hoạt thông qua sổ đăng ký:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon
- ValueName:
ReportControllerMissing - Loại Dữ liệu:
REG_SZ - Giá trị:
1
Rủi ro Bảo mật của Thông tin đăng nhập Windows được lưu trong Bộ nhớ cache
Bộ nhớ đệm thông tin xác thực cục bộ có một số rủi ro bảo mật. Sau khi có quyền truy cập vật lý vào máy tính / máy tính xách tay với dữ liệu đã lưu trong bộ nhớ cache, kẻ tấn công có thể giải mã hàm băm mật khẩu của bạn bằng cách sử dụng một cuộc tấn công brute-force. Nó phụ thuộc vào độ dài và độ phức tạp của mật khẩu. Nếu một mật khẩu phức tạp, sẽ mất rất nhiều thời gian để xử lý mật khẩu. Vì vậy, không nên sử dụng bộ nhớ đệm cho người dùng có quyền quản trị viên cục bộ (hoặc hơn nữa là tài khoản quản trị miền).
Tìm hiểu thêm về cách giữ an toàn cho tài khoản quản trị viên trên mạng miền Windows.Để giảm thiểu rủi ro bảo mật, bạn có thể tắt bộ nhớ đệm thông tin đăng nhập trên máy tính văn phòng và máy tính quản trị viên. Bạn nên giảm số lượng tài khoản được lưu trong bộ nhớ cache trên thiết bị di động xuống còn 1. Điều đó có nghĩa là ngay cả khi quản trị viên đã đăng nhập vào máy tính và dữ liệu của họ đã được lưu vào bộ nhớ cache, thì mật khẩu băm của quản trị viên sẽ bị ghi đè sau khi chủ sở hữu thiết bị ghi nhật ký. trên.
Đối với miền AD có cấp chức năng Windows Server 2012 R2 trở lên, bạn có thể thêm tài khoản quản trị viên miền vào Người dùng được bảo vệ tập đoàn. Bộ nhớ đệm thông tin đăng nhập cục bộ bị cấm đối với nhóm bảo mật này.
Bạn có thể tạo các GPO riêng biệt trong miền của mình để kiểm soát việc sử dụng thông tin xác thực đã lưu trong bộ nhớ cache cho các thiết bị và danh mục người dùng khác nhau (ví dụ:sử dụng bộ lọc Bảo mật GPO, bộ lọc WMI hoặc triển khai thông số đăng ký CashedLogonsCount bằng cách sử dụng nhắm mục tiêu cấp Mục GPP).
- Đối với người dùng điện thoại di động (máy tính xách tay):
CashedLogonsCount = 1 - Đối với máy tính để bàn văn phòng:
CashedLogonsCount = 0
Các chính sách như vậy sẽ làm giảm cơ hội nhận được hàm băm của người dùng đặc quyền từ các thiết bị tham gia miền