共用方式為


Windows 機密 快取的認證

Raymond Chen

如果您登 到您的電腦使用網域帳戶,變更您的密碼 (假設是從另一部電腦) 則鎖定您的工作站,您可以解除鎖定它與您的舊密碼即使密碼已經變更。 為何的?

登入時,Winlogon 服務會記住該的密碼的雜湊並當您嘗試解除鎖定鎖定的工作站時,您輸入的密碼是雜湊相較於您用來登入密碼的雜湊。 如果兩者相符,然後 Winlogon 進行來解除鎖定的工作站,即使密碼可能會過時。 這個行為是為了避免 inundating 網域控制站的驗證要求一個網路效能最佳化。 最解除鎖定作業以正確的密碼和避免連線到網域控制站可降低網路流量和大幅改善效能,透過慢速網路連線。

但是,等候,這意思您無法藉由變更其密碼鎖定的網路上的使用者嗎?

否,您仍然可以藉由變更其密碼鎖定出網路的使用者。 快取的密碼雜湊只能用於存取本機工作站。 一旦使用者嘗試存取網路資源時,該網路的資源將會要求網域控制站,「 嘿,是這真的他所宣稱是份子? 」,及網域控制站會回覆,"想法不錯。

但等候,這表示您可以保留解除鎖定您的工作站使用過時的密碼,並因此略過密碼在網域控制站上變更並藉此保留使用您的工作站嗎?

嗯嗯,但您可能已經做的: 技巧稱為 一開始就沒有鎖定您的工作站。 如果您永遠不會鎖定工作站,然後不論工作站解除鎖定演算法的運作方式,因為甚至永遠不會執行!

如果您想解除鎖定工作站連線至網域控制站來驗證用尚未過期密碼,然後您可以使用 「 群組原則編輯器 」 來啟用 需要網域控制站驗證以解除鎖定工作站的原則。

請注意此一層級密碼快取解除鎖定工作站不同於快取的網域登入認證。 當網域控制站無法使用驗證密碼時,會使用快取的認證。 在這些的情況下使用者輸入的密碼相較於一個儲存在快取,如果兩者相符 (或更精確地如果在雜湊的雜湊相符),然後登入視為已成功。 而解除鎖定工作站的快取是一個效能最佳化,以避免 (即使有的話),請連絡網域控制站,認證快取是後援時,使用網域控制站無法使用完全,但您仍然想要讓使用者存取本機資源。

快取的認證可以是一個保佑和罵,取決於您正在穿什麼色彩眼鏡。 膝上型電腦的使用者快取的認證是不可或缺的登入膝上型電腦當電腦從公司網路中斷連線時。 沒有它們,膝上型電腦就只會成為 paperweights 不在辦公室 counteracts 一開始就擁有膝上型電腦的原因。

在另一方面,快取的認證會允許資訊儲存在認證快取中的離線攻擊。 如果膝上型電腦屬於 unfriendly 手,攻擊就可以取得一直在世界中嘗試找出您網域控制站沒有猜測使用者的密碼。 提醒就您的認證快取不包含密碼或甚至將的密碼雜湊因此 purported"破解的密碼是只 probabilistic 成功 (您可以藉由要求增強式密碼您偏好的傾斜可能性)。 竊取膝上型電腦的就說授與,未加密的資訊在本身的膝上型電腦已經受到駭客、 密碼或密碼不受限制的實體存取權。 即使就因此如果的快取的認證可讓您 (或不保證) 在 heebie-jeebies,您可以設定 [CachedLogonsCount 為零以停用它們。 如果您結合這與要求的網域控制站驗證以解除鎖定工作站原則,你有兩個方向關閉密碼快取。

Raymond Chen 的 Web 站台 」 舊的新項目"和標題相同的活頁簿 (Addison-Wesley,2007年) 處理 Windows 歷程記錄、 Win32 的程式設計和 Krashen 的懂輸入假設。