Computer >> คอมพิวเตอร์ >  >> ระบบ >> Windows 10

การแคชข้อมูลรับรองการเข้าสู่ระบบโดเมนบน Windows

เมื่อผู้ใช้โดเมนเข้าสู่ระบบ Windows ข้อมูลประจำตัวของพวกเขาจะถูกบันทึกไว้ในเครื่องคอมพิวเตอร์โดยค่าเริ่มต้น (Cached Credentials:ชื่อผู้ใช้และแฮชรหัสผ่าน) ซึ่งช่วยให้ผู้ใช้สามารถเข้าสู่ระบบคอมพิวเตอร์ได้แม้ว่าตัวควบคุมโดเมน AD จะไม่พร้อมใช้งาน ปิดอยู่ หรือถอดสายเคเบิลเครือข่ายออกจากคอมพิวเตอร์ การแคชข้อมูลประจำตัวของบัญชีโดเมนสะดวกสำหรับผู้ใช้แล็ปท็อปที่สามารถเข้าถึงข้อมูลในเครื่องของตนบนอุปกรณ์เมื่อเครือข่ายขององค์กรไม่พร้อมใช้งาน

แคชข้อมูลรับรองผู้ใช้โดเมนบน Windows

ข้อมูลประจำตัวที่แคชไว้อาจถูกใช้เพื่อเข้าสู่ระบบ Windows ถ้าผู้ใช้ได้รับรองความถูกต้องบนคอมพิวเตอร์เครื่องนี้อย่างน้อยหนึ่งครั้ง และรหัสผ่านโดเมนของพวกเขาไม่มีการเปลี่ยนแปลงตั้งแต่นั้นมา รหัสผ่านผู้ใช้ในข้อมูลรับรองที่เป็นเงินสดไม่มีวันหมดอายุ หากนโยบายรหัสผ่านโดเมนบังคับให้ผู้ใช้เปลี่ยนรหัสผ่าน รหัสผ่านที่บันทึกไว้ในแคชในเครื่องจะไม่เปลี่ยนจนกว่าผู้ใช้จะเข้าสู่ระบบด้วยรหัสผ่านใหม่ หากรหัสผ่านผู้ใช้ใน AD มีการเปลี่ยนแปลงหลังจากการเข้าสู่ระบบคอมพิวเตอร์ครั้งสุดท้ายและคอมพิวเตอร์ออฟไลน์ (โดยไม่สามารถเข้าถึงเครือข่ายโดเมน) ผู้ใช้จะสามารถเข้าสู่ระบบคอมพิวเตอร์ด้วยรหัสผ่านเก่าได้

หากไม่มีโดเมน Active Directory Windows จะตรวจสอบว่าชื่อผู้ใช้และรหัสผ่านที่ป้อนตรงกับแคชในเครื่องหรือไม่ และอนุญาตให้เข้าสู่ระบบคอมพิวเตอร์ในเครื่อง

ข้อมูลประจำตัวที่แคชถูกเก็บไว้ในรีจิสทรีภายใต้คีย์ reg HKEY_LOCAL_MACHINE\Security\Cache (%systemroot%\System32\config\SECURITY ). แต่ละแฮชที่บันทึกไว้จะถูกเก็บไว้ใน NL$x พารามิเตอร์ (โดยที่ x เป็นดัชนีข้อมูลแคช) โดยค่าเริ่มต้น แม้แต่ผู้ดูแลระบบก็ไม่สามารถดูเนื้อหาของคีย์รีจิสทรีนี้ได้ แต่คุณสามารถเข้าถึงได้หากต้องการ

แฮชรหัสผ่านได้รับการแก้ไขโดยใช้ salt ตามชื่อผู้ใช้และบันทึกไว้ในรีจิสทรี

การแคชข้อมูลรับรองการเข้าสู่ระบบโดเมนบน Windows

หากคุณล้างค่า NL$x ข้อมูลประจำตัวของผู้ใช้ที่แคชไว้จะถูกลบออก

หากไม่มีข้อมูลประจำตัวที่แคชในแคชในเครื่อง คุณจะเห็นข้อความต่อไปนี้เมื่อคุณพยายามเข้าสู่ระบบคอมพิวเตอร์แบบออฟไลน์:

There are currently no logon servers available to service the logon request.

การแคชข้อมูลรับรองการเข้าสู่ระบบโดเมนบน Windows

การกำหนดค่าข้อมูลรับรองที่แคชด้วยนโยบายกลุ่ม

คุณสามารถกำหนดจำนวนผู้ใช้ที่ไม่ซ้ำ ซึ่งข้อมูลประจำตัวอาจถูกบันทึกไว้ในแคชในเครื่องบนคอมพิวเตอร์โดเมนด้วยตัวเลือกนโยบายกลุ่ม เพื่อให้ข้อมูลประจำตัวของผู้ใช้ถูกเก็บไว้ในแคชในเครื่อง ผู้ใช้ต้องเข้าสู่ระบบคอมพิวเตอร์อย่างน้อยหนึ่งครั้ง

ตามค่าเริ่มต้น Windows 10 และ Windows Server 2016 จะจัดเก็บข้อมูลรับรอง 10 ผู้ใช้ที่เข้าสู่ระบบล่าสุด คุณสามารถเปลี่ยนค่านี้ด้วยตัวเลือก GPO ต่อไปนี้ – การเข้าสู่ระบบแบบโต้ตอบ:จำนวนการเข้าสู่ระบบก่อนหน้าที่จะแคช (ในกรณีที่ไม่มีตัวควบคุมโดเมน) . คุณสามารถค้นหาได้ในการกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> ตัวเลือกความปลอดภัย คุณสามารถตั้งค่าใดก็ได้จาก 0 ถึง 50 .

หากคุณตั้งค่า 0 ซึ่งจะป้องกันไม่ให้ Windows แคชข้อมูลรับรองผู้ใช้ ในกรณีนี้ เมื่อโดเมนไม่พร้อมใช้งานและผู้ใช้พยายามเข้าสู่ระบบ พวกเขาจะเห็นข้อผิดพลาด:There are currently no logon servers available to service the logon request .

การแคชข้อมูลรับรองการเข้าสู่ระบบโดเมนบน Windows

คุณยังสามารถกำหนดค่าตัวเลือกนี้ผ่านทาง CashLogonsCount พารามิเตอร์รีจิสทรี REG_SZ ใน HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon .

ถ้าผู้ใช้ล็อกออนด้วยข้อมูลประจำตัวที่บันทึกไว้ พวกเขาจะไม่เห็นว่าตัวควบคุมโดเมนไม่พร้อมใช้งาน เมื่อใช้ GPO คุณสามารถแสดงการแจ้งเตือนการใช้ข้อมูลประจำตัวที่แคชเพื่อเข้าสู่ระบบ เมื่อต้องการทำสิ่งนี้ ให้เปิดใช้งานตัวเลือก GPO รายงานเมื่อเซิร์ฟเวอร์การเข้าสู่ระบบไม่พร้อมใช้งานในระหว่างการเข้าสู่ระบบของผู้ใช้ นโยบายภายใต้การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> เทมเพลตการดูแล -> คอมโพเนนต์ของ Windows -> ตัวเลือกการเข้าสู่ระบบ Windows

การแคชข้อมูลรับรองการเข้าสู่ระบบโดเมนบน Windows

จากนั้นการแจ้งเตือนต่อไปนี้จะปรากฏในถาดหลังจากผู้ใช้เข้าสู่ระบบ:

A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes to your profile since you last logged on might not be available.
ตัวเลือกนี้สามารถเปิดใช้งานได้ผ่านทางรีจิสทรี:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon

  • ชื่อค่า:ReportControllerMissing
  • ประเภทข้อมูล:REG_SZ
  • ค่า:1

ความเสี่ยงด้านความปลอดภัยของข้อมูลรับรอง Windows ที่แคชไว้

การแคชข้อมูลประจำตัวในเครื่องมีความเสี่ยงด้านความปลอดภัย หลังจากได้รับการเข้าถึงทางกายภาพไปยังคอมพิวเตอร์/แล็ปท็อปที่มีข้อมูลที่แคชไว้ ผู้โจมตีสามารถถอดรหัสแฮชรหัสผ่านของคุณโดยใช้การโจมตีแบบเดรัจฉาน ขึ้นอยู่กับความยาวและความซับซ้อนของรหัสผ่าน หากรหัสผ่านซับซ้อน จะต้องใช้เวลามากในการทำลายรหัสผ่าน ดังนั้นจึงไม่แนะนำให้ใช้การแคชสำหรับผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบภายใน (หรือยิ่งไปกว่านั้น บัญชีผู้ดูแลระบบโดเมน)

เรียนรู้เพิ่มเติมเกี่ยวกับวิธีรักษาบัญชีผู้ดูแลระบบให้ปลอดภัยบนเครือข่ายโดเมน Windows

เพื่อลดความเสี่ยงด้านความปลอดภัย คุณสามารถปิดใช้งานการแคชข้อมูลประจำตัวบนคอมพิวเตอร์ในสำนักงานและผู้ดูแลระบบ ขอแนะนำให้ลดจำนวนบัญชีที่แคชไว้บนอุปกรณ์มือถือลงเหลือ 1 บัญชี หมายความว่าแม้ว่าผู้ดูแลระบบจะเข้าสู่ระบบคอมพิวเตอร์และข้อมูลของพวกเขาถูกแคชไว้ แฮชรหัสผ่านของผู้ดูแลระบบจะถูกเขียนทับหลังจากบันทึกเจ้าของอุปกรณ์ บน.

สำหรับโดเมน AD ที่มีระดับการทำงาน Windows Server 2012 R2 หรือใหม่กว่า คุณสามารถเพิ่มบัญชีผู้ดูแลระบบโดเมนใน ผู้ใช้ที่ได้รับการป้องกัน กลุ่ม. ห้ามแคชข้อมูลรับรองในเครื่องสำหรับกลุ่มความปลอดภัยนี้

คุณสามารถสร้าง GPO แยกกันในโดเมนของคุณเพื่อควบคุมการใช้ข้อมูลประจำตัวที่แคชไว้สำหรับอุปกรณ์และหมวดหมู่ผู้ใช้ที่แตกต่างกัน (เช่น การใช้ตัวกรอง GPO Security, ตัวกรอง WMI หรือการปรับใช้พารามิเตอร์รีจิสทรี CashedLogonsCount โดยใช้การกำหนดเป้าหมายระดับรายการ GPP)

  • สำหรับผู้ใช้มือถือ (แล็ปท็อป):CashedLogonsCount = 1
  • สำหรับเดสก์ท็อปในสำนักงาน:CashedLogonsCount = 0

นโยบายดังกล่าวจะลดโอกาสในการได้รับแฮชของผู้ใช้ที่มีสิทธิ์จากอุปกรณ์ที่เข้าร่วมโดเมน