Como o Windows autentica os usuários do domínio sem uma conexão de rede?

5

Se você fez logon em uma máquina Windows como usuário de domínio pelo menos uma vez, poderá efetuar logon novamente nessa máquina, mesmo que a máquina não tenha mais uma conexão de rede.

Como é que isso funciona? Presumo que o Windows armazene em cache a senha em algum lugar e depois autentique o usuário. Se for esse o caso, alguém sabe onde está armazenado em cache?

Isso não é inseguro? Supondo que o administrador do domínio forçou uma alteração de senha ou removeu um usuário, essa 'brecha' ainda permitirá que o usuário faça logon na máquina.

windows authentication bobbyalex
fonte
1
O Windows armazena um hash da senha ou, mais precisamente, um hash da senha. De um modo geral, se você tiver acesso físico a uma máquina, poderá sempre ignorar a segurança do logon de qualquer maneira, para que isso realmente não importe. Nas raras situações em que ocorre, o administrador pode desativar a funcionalidade, como o Mayank já explicou.
Harry Johnston,
Isso é inseguro e pode ser usado como uma brecha. Se você não antecipar a necessidade de armazenamento em cache, o logon em cache deverá ser desativado. Há muitos casos onde eu tenho on-propósito desligou o cabo Ethernet, logado, e voltei a ligar o cabo Ethernet após a área de trabalho carregado, especificamente para evitar problemas relacionados logon-
interligados

Respostas:

8
  1. O Windows armazenará em cache as informações da sua conta localmente após o login na máquina uma vez.
  2. Se da próxima vez que você tentar fazer login, o controlador de domínio não puder ser alcançado, ele usará as configurações em cache. Isso pode ser útil para laptops necessários para trabalhar fora da rede.
  3. Sobre os problemas de segurança, quando você faz logon no Windows usando informações de logon em cache, se o controlador de domínio não estiver disponível para validar sua conta, você não poderá acessar os recursos de rede que requerem validação de domínio . No entanto, você pode acessar recursos de rede que não requerem validação de domínio.
  4. (para servidor 2k8) Há um GPO para controlar o cache de logon - Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível). Você pode encontrá-lo em [Configuração do computador \ Configurações do Windows \ Configurações de segurança \ Diretivas locais \ Opções de segurança] 4.
Shurmajee
fonte
Você também pode encontrar essa configuração no registro da máquina individual: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] CachedLogonsCount = 10. Altere para zero para desativar o recurso (as políticas de grupo podem substituir essa configuração, não tenho certeza).
Dan