Windows Confidential: Cached Credentials

Article
08/24/2016

Vie secrète de Windows Informations d'identification mises en cache

Raymond Chen

Si vous avez ouvert une session sur votre ordinateur avec un compte de domaine, modifiez votre mot de passe (par exemple à partir d'un autre ordinateur), puis verrouiller votre station de travail, vous pouvez le déverrouiller avec votre ancien mot de passe même si le mot de passe a été modifié. Pourquoi est-ce ?

Lorsque vous ouvrez une session, le service Winlogon mémorise un hachage de mot de passe, et lorsque vous essayez de déverrouiller une station de travail verrouillée, le mot de passe que vous entrez est haché et comparé au hachage du mot de passe utilisé pour l'ouverture de session. Si elles correspondent, Winlogon se poursuit pour déverrouiller la station de travail, même si le mot de passe peut être périmé. Ce comportement est une optimisation des performances réseau pour éviter l'envoi paralyser le contrôleur de domaine avec les demandes d'authentification. Plus déverrouiller les opérations sont avec le mot de passe correct, et éviter la connexion du contrôleur de domaine réduit le trafic réseau et améliore considérablement les performances sur les connexions réseau lentes.

Mais attendez, cela signifie-t-il que vous ne pouvez pas verrouiller des utilisateurs hors du réseau en modifiant leur mot de passe ?

Non, vous pouvez toujours verrouiller les utilisateurs hors du réseau en modifiant leur mot de passe. Le hachage de mot de passe mis en cache est utilisé uniquement pour accéder à la station de travail locale. Une fois que l'utilisateur essaie d'accéder à une ressource réseau, cette ressource réseau va demande le contrôleur de domaine, «Hé, est ce réellement la personne qu'il prétend être?» et répondra le contrôleur de domaine, «Essayez de Nice».

Mais attendez, ceci signifie-t-il que vous pouvez conserver le déverrouillage de votre station de travail avec un mot de passe périmé et par conséquent contourner un mot de passe changer sur le contrôleur de domaine et conserver ainsi l'utilisation de votre station de travail ?

Eh bien, Oui, mais vous pouvez déjà qui : l'astuce est appelée ne pas verrouiller votre station de travail en premier lieu. Si vous ne verrouillez votre station de travail, puis il importe peu comment fonctionne l'algorithme de déverrouillage station de travail, car il s'exécute jamais même !

Si vous préférez que déverrouiller une station de travail se connecter au contrôleur de domaine pour vérifier que le mot de passe n'a pas expiré, puis que vous pouvez utiliser l'éditeur de stratégie de groupe pour activer le Nécessite l'authentification par le domaine contrôleur pour le déverrouillage de stratégie de station de travail.

Notez que ce cache de niveau d'un mot de passe pour déverrouiller une station de travail est différent du domaine mis en cache d'identification. Informations d'identification mises en cache sont utilisées lorsqu'un contrôleur de domaine n'est pas disponible pour vérifier un mot de passe. Dans ces conditions, le mot de passe entré par l'utilisateur est comparé à celui stocké dans le cache, et s'ils correspondent (ou plus précisément, si les hachages des hachages correspondent), puis l'ouverture de session est jugé à ont réussi. Alors que le cache pour déverrouiller une station de travail est une optimisation des performances pour éviter de contacter le contrôleur de domaine (même s'il est disponible), les informations d'identification cache est un secours utilisé lorsque le contrôleur de domaine est entièrement disponible, mais vous toujours vouloir permettre aux utilisateurs d'accéder aux ressources de l'ordinateur local.

Informations d'identification mises en cache peuvent être à la fois une bénédiction et une malédiction, selon les lunettes de couleur vous êtes porte. Pour les ordinateurs portables, les informations d'identification mises en cache sont essentielles pour se connecter à l'ordinateur portable lorsque l'ordinateur est déconnecté du réseau d'entreprise. Sans elles, les ordinateurs portables devient simplement paperweights lorsque pas dans le bureau, counteracts une des raisons des ordinateurs portables en premier lieu.

En revanche, les informations d'identification mises en cache permettent une attaque hors connexion sur les informations stockées dans le cache d'informations d'identification. Si l'ordinateur portable devient mains hostiles, un attaquant peut prendre tout le temps dans le monde pour essayer de deviner le mot de passe de l'utilisateur sans votre contrôleur de domaine savoir. Le cache d'informations d'identification ne contient pas les mots de passe ou même les hachages des mots de passe, un mot de passe «piratée» prétendu est uniquement un succès probabiliste (et vous pouvez incliner les chances en votre faveur en imposant des mots de passe forts). Bien entendu, un ordinateur portable volé accorde un accès physique illimité à pirate, afin que les informations non cryptées sur le portable lui-même sont déjà compromises, mot de passe ou sans mot de passe. Même dans ce cas, si l'idée d'informations d'identification mises en cache vous heebie-jeebies (assurées ou non), vous pouvez définir la CachedLogonsCount à zéro pour les désactiver. Si vous combinez cela avec l'authentification nécessite des contrôleurs de domaine pour déverrouiller la stratégie de station de travail, vous avez les caches de mot de passe désactivés dans les deux directions.

Raymond Chen Site Web» Old New Thing«et gérer les identique intitulée livre (Addison-Wesley, 2007) de l'historique de Windows, programmation Win32 et compréhensible saisie hypothèse de Krashen.

Partager via

Ressources supplémentaires