Como posso limpar credenciais de domínio em cache?

11

Relacionado: Como ativar a autenticação de domínio sem fio no Windows 7 / 2k8?

Para testar o recurso de conexão de domínio através de conexão sem fio que estou tentando configurar na pergunta acima, preciso de uma conta que não tenha suas credenciais de domínio em cache no sistema local. Infelizmente, existem tantas pessoas no meu escritório que podem me ajudar a testar isso, e mesmo assim eu prefiro não incomodá-las por isso. Portanto, gostaria de poder limpar minhas próprias credenciais em cache após cada login.

Como posso limpar o cache local, mantendo a capacidade de armazenar credenciais em cache no futuro?

Iszi
fonte

Respostas:

10

A resposta de David Yu está praticamente no alvo, mas existe uma maneira de fazer isso sem editar o registro diretamente. Mais uma vez, porém, isso funcionará apenas se a configuração não estiver definida pelo GPO.

Primeiro, gostaria de apontar onde os dados das credenciais em cache estão armazenados. Isso ajudará a demonstrar (e, para fins de solução de problemas, verificar) o efeito das alterações na configuração.

AVISO: Encontrei essas informações em vários lugares da Internet, muitos dos quais recomendados contra a modificação manual desses valores.

A chave do Registro que armazena logins de domínio em cache fica oculta até mesmo dos Administradores. Só é acessível pela conta SYSTEM. Portanto, para visualizá-lo, você precisará de uma ferramenta como psexec(disponível na Microsoft, mas não instalada por padrão) que permitirá a execução regeditcomo SYSTEM. A linha de comando para fazer isso (supondo que esteja instalada e na sua %PATH%) é:

psexec -d -i -s regedit

Quando estiver lá, navegue até HKLM\SECURITY\Cache\. Aqui, você deve ver vários valores BINARY. Haverá um nomeado NL $ Control e outros nomeados NL $ ## para cada slot disponível para credenciais em cache. (Padrão 10)

HKLM \ SECURITY \ Cache no Server 2003

Mais uma vez, quero enfatizar aqui que você não deve modificar ou excluir manualmente essa chave ou seus valores.

Então, agora que sabemos onde os dados estão armazenados em cache e que não devemos tocá-los , como podemos limpá-los?

Mais uma vez, a resposta de David Yu indicará a chave de registro correta. Mas, se você preferir não modificar o registro diretamente, há outra maneira de fazer isso através da Diretiva de Segurança Local.

secpol.msc

Na árvore Configurações de segurança, navegue para Local Policies\Security Options. Aqui será chamada uma política Interactive logon: Number of previous logons to cache (in case domain controller is not available).

Diretiva de segurança local no Server 2003

Por padrão, isso está definido como 10 logons. Para limpar o cache, defina-o como zero e clique em OK. No Server 2008, isso entrará em vigor imediatamente. Para o Server 2003, você precisará reiniciar. O efeito pode ser visto em HKLM\SECURITY\Cache\que não haverá mais valores NL $ ##.

Cache de credencial limpo no Server 2003

Para reativar o cache de credenciais, edite a mesma Política para refletir seu valor preferido e pressione OK. Novamente, se você estiver no Server 2008, isso entrará em vigor imediatamente. Server 2003 exigirá uma reinicialização. Observe que, se você estiver fazendo isso no Server 2008 e ainda não tiver desconectado ou reiniciado, poderá ver que os slots de cache foram restaurados, mas não há dados reais neles.

Slots de cache de credenciais vazios no Server 2008

Fazer isso sem logoff ou reinicialização no Server 2008 pode ser útil se você quiser apenas fazer uma verificação rápida e única de qualquer função que exija cache de credenciais temporariamente desabilitado. Também ajuda a garantir que você não se esqueça de reverter a alteração após seu próximo login.

Iszi
fonte
6

Você pode modificar o registro do sistema para desativar as credenciais de logon em cache. Defina a chave do Registro como 0. Isso exigirá uma reinicialização após cada alteração. Isso também pressupõe que você não tenha um GPO que defina essa chave.

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ Versão Atual \ Winlogon \

ValueName: CachedLogonsCount

Tipo de Dados: REG_SZ

Valores: 0 - 50

David Yu
fonte
Lembre-se de que essa alteração precisaria ser revertida posteriormente, se você deseja manter o cache de credenciais após a conclusão do teste. A reversão da alteração não restaurará credenciais em cache antigas, mas permitirá o cache de novos logons.
Iszi
Receio que a resposta de David seja a melhor que você pode obter. Não parece ser uma maneira de logons de domínio em cache "claras" para um único usuário além de desabilitar-los completamente, definindo esse valor do Registro para 0.
Yanick Girouard
@YanickGirouard Existe uma maneira mais fácil, que não requer uma reinicialização ou edição bruta do registro - pelo menos, não no Servidor 2k8. Eu já tinha descoberto quando publiquei essa pergunta, mas achei que daria algum tempo para alguém postar. Se ninguém mais o fez, provavelmente postarei minha resposta ainda hoje.
Iszi 30/03/12
Poste sua resposta e aceite-a o mais rápido possível. É disso que se trata estes fóruns: compartilhar conhecimento! Obrigado :)
Yanick Girouard
@YanickGirouard Foi por isso que publiquei este tópico, para que o conhecimento pudesse ser compartilhado. Também gosto de compartilhar o representante, se alguém quiser aproveitar a oportunidade. Estou coletando screenshots para a minha resposta agora.
Iszi
2

A maneira de modificar credenciais armazenadas em cache é (por incrível que pareça), modificando as opções de segurança \ Logon interativo: número de logons anteriores para armazenar em cache a política por meio do editor de política de grupo (gpedit)

Jim B
fonte
-1

Consegui limpar todas as senhas armazenadas, definindo todas as entradas NL $ da mesma forma que a última (as últimas entradas NL $ eram as mesmas, então parece que são apenas espaços reservados). Eu testei isso em computadores com Windows 7 PRO de 64 bits, não testei em mais nada.

Apenas copie o texto abaixo no bloco de notas e salve-o como .reg e execute

regedit / s yourfilename.reg

como a conta do sistema.

 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SECURITY\Cache]
"NL$1"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$2"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$3"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$4"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$5"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$6"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$7"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$8"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$9"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$10"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
Greg
fonte
1
Sua suposição sobre "os últimos NL $" é inválida, a menos que você tenha realizado testes completos. É mais provável que você simplesmente não tenha 10 ou mais usuários (ou qualquer que seja o limite de cache definido) faça logon no sistema desde a última vez em que o cache foi limpo. Dito isso, se você estiver realmente se sentindo aventureiro o suficiente para modificar esses valores "manualmente", poderá escrever um script bastante simples com o PowerShell para lidar com isso (executado como SYSTEM, é claro) em vez de ter um grande arquivo .reg que você deseja precisa ajustar manualmente, dependendo da configuração do sistema.
Iszi 18/05
-2

A maneira mais prática de remover credenciais armazenadas é executar o MSTSC e inserir o nome ou o endereço IP do servidor de terminal em cache. Se ele foi armazenado em cache como o nome de domínio totalmente qualificado, é isso que você deve inserir, provavelmente preencherá o campo para você e seu domínio \ nome de usuário. Depois clique em Opções. Se credenciais estiverem armazenadas, você poderá editá-las ou excluí-las.

Para impedir que o sistema armazene em cache as credenciais, edite o arquivo RDP com o bloco de notas e altere o parâmetro PromptCredentialOnce: i: 1 para PromptCredentialOnce: i: 0

Jim A Fieser
fonte
Isso remove a "memória" de credenciais do cliente RDP, mas não limpa o cache do sistema de destino.
Iszi 18/05