Dlaczego mogę zalogować się do skrzynki, nawet jeśli kontroler domeny AD jest wyłączony?

15

Scenariusz:

  • Gdy mój kontroler domeny działa, loguję się na dowolnym komputerze.
  • Zatrzymuję DC
  • Wylogowuję się z dowolnej maszyny. Odbijmy to również dla pewności.
  • Po powrocie komputera mogę nadal logować się przy użyciu poświadczeń mojej domeny, nawet jeśli kontroler domeny jest wyłączony

Dlaczego i jak?

Czy na „arbitralnej” maszynie jest jakiś lokalny bufor pamięci podręcznej poświadczeń? Moje hasło zostało w jakiś sposób zakodowane i zapisane na wypadek, gdyby DC wybuchło lub zostało wyłączone?

Czy ten sam proces działałby, gdybym próbował zalogować się do skrzynki, w której nigdy się nie logowałem, gdy kontroler domeny był wyłączony?

windows active-directory domain-controller Russell Christopher
źródło
1
Ciekawy, pokrewny punkt: odłączenie kabla sieciowego to jeden ze sposobów emulacji „braku prądu stałego”. Nie jestem pewien, czy zmieniło się to w ostatnich latach, ale ponieważ zasady blokowania użytkowników są wdrażane przez kontroler domeny, możesz podejmować nieskończone próby odgadnięcia buforowanych danych uwierzytelniających po prostu odłączając kabel sieciowy.
Daniel B

Odpowiedzi:

33

Domyślnie system Windows buforuje ostatnich 10–25 użytkowników, aby zalogować się do komputera (w zależności od wersji systemu operacyjnego). To zachowanie można skonfigurować za pomocą obiektu GPO i zwykle jest ono całkowicie wyłączone w przypadkach, w których bezpieczeństwo ma kluczowe znaczenie.

Jeśli spróbujesz zalogować się na stacji roboczej lub serwerze członkowskim, do którego nigdy się nie zalogowałeś, gdy wszystkie kontrolery domeny są nieosiągalne, możesz otrzymać komunikat o błędzie There are currently no logon servers available to service the logon request

MDMarra
źródło
3
Buforowanie poświadczeń odbywa się z różnych powodów, ale wśród najbardziej znaczących jest przypadek laptopów. Dyrektor generalny będzie bardzo niezadowolony, jeśli nie będzie mógł pracować, gdy będzie w powietrzu i nie będzie mógł połączyć się z siecią, więc dane logowania są przechowywane w pamięci podręcznej, aby umożliwić mu / jej zalogowanie się na ich komputerze.
user24313,
1
Często konieczne jest interaktywne logowanie do systemu operacyjnego przed zainicjowaniem połączenia VPN. Jeśli logowanie nie jest możliwe bez dostępu do kontrolera na żywo, a kontroler domeny jest dostępny tylko przez VPN, a VPN jest dostępny tylko po zalogowaniu, masz paskudne catch-22. Pamięci podręczne to skuteczne rozwiązanie tego problemu.
Brandon
@Brandon, że są. Nie zalecałem, aby wszyscy go wyłączali, po prostu zauważyłem, że często zdarza się, security is criticalże zapobiegnie to atakowi brutalnej siły offline. Rozwiązaniem problemu VPN jest połączenie przy uruchamianiu przy użyciu certyfikatów urządzenia, a nie po zalogowaniu z użytkownikiem / hasłem.
MDMarra
2

Tak, twoje dane logowania są buforowane na każdym komputerze, na którym się logujesz. Jeśli nie zalogowałeś się na danym komputerze przed awarią kontrolera domeny, nie będziesz mógł się zalogować, ponieważ twoje dane uwierzytelniające nie byłyby dostępne.

Jan
źródło
7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- to nie jest prawda. Jeśli istnieją kontrolery domeny dostępne do uwierzytelnienia logowania, będą one niezależnie od tego, czy dane uwierzytelniające tego użytkownika są buforowane na lokalnej stacji roboczej lub serwerze członkowskim. Pamięci podręczne są używane tylko wtedy, gdy stacja robocza lub serwer członkowski nie może skontaktować się z jednym lub kilkoma kontrolerami domeny w celu uwierzytelnienia. Typowe scenariusze, w których tak się dzieje, to odłączanie laptopów od sieci, nieosiąganie kontrolerów domeny z powodu awarii sieci lub innych zakłóceń w działaniu.
MDMarra
Ok, zmodyfikowałem odpowiedź, aby usunąć nieprawidłowe informacje.
John
-2

Warto również zauważyć, że kontroler domeny i skrzynka klienta synchronizują logowania okresowo w ramach operacji zasad grupy, ale tylko wtedy, gdy są one w trybie online.

Na przykład możesz zalogować się na stacji roboczej (Alice) i odłączyć ją od sieci, a następnie zalogować się na drugiej stacji roboczej (Bob) i zmienić hasło AD logowania (przez ctrl-alt-del) od Boba. Hasło jest natychmiast aktualizowane na Bob i DC (Charlie), ale wciąż jest starą wartością (buforowaną) na Alice.

Jeśli ponownie połączysz Alice z siecią, po chwili prawdopodobnie zobaczysz bąbelkowe powiadomienie na pasku zadań z informacją „Windows potrzebuje twoich aktualnych danych uwierzytelniających”. Jest to wynik synchronizacji zasad grupy okresowej przez Alice i Charliego. Wpisanie nowego hasła spowoduje zatwierdzenie wpisu przeciwko Charliemu i zaktualizowanie poświadczeń przechowywanych w pamięci podręcznej Alice.

Ryan
źródło
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. westchnienie, to nie ma nic wspólnego z Zasadami Grupy. Gdy tylko będziesz potrzebować dostępu do zasobu sieciowego, a twoje buforowane poświadczenia będą w użyciu, będzie wymagać uwierzytelnienia. Nie ma „synchronizacji haseł” ani nic podobnego, szczególnie nie z GPO. Prawdopodobnie zobaczysz to od razu, ponieważ masz trwałe mapowania dysków lub otwartą skrzynkę pocztową Exchange lub coś takiego, co wymaga twoich poświadczeń prawie natychmiast.
MDMarra
1
Dziękujemy za zwrócenie uwagi na jego wadę dotyczącą zasad grupy. Powinienem również zauważyć, że ma to niewiele wspólnego z synchronizacją haseł, a więcej z żądaniem / wydawaniem nowych biletów / par kluczy. Zobacz to, jeśli to, co powiedziałem, nie miało sensu. msdn.microsoft.com/en-us/library/windows/desktop/ ... Prawdopodobnie miałeś coś takiego jak Outlook lub mapowania dysków otwarte jak wspomniano MDMarra, ponieważ będą one natychmiast próbować się uwierzytelnić, ale ponieważ mają starą parę bilet / klucz, będą musieli otrzymać nowy, zanim będą mogli kontynuować
Brad Bouchard