Perché posso accedere a una casella anche se il controller di dominio AD non è attivo?

15

Scenario:

  • Mentre il mio controller di dominio è in esecuzione, accedo a una macchina arbitraria.
  • Fermo la DC
  • Disconnetto la macchina arbitraria. Rimbalziamo anche per buona misura.
  • Quando la macchina torna su, posso ancora accedere con le mie credenziali di dominio anche se DC è inattivo

Perché e come?

Esiste una sorta di cache delle credenziali locali in gioco sulla macchina "arbitraria"? La mia password è stata in qualche modo sottoposta a hash e archiviata per il futuro in CASO la DC esplode o non funziona?

Lo stesso processo funzionerebbe se tentassi di accedere a una casella a cui non avevo mai effettuato l'accesso prima che il controller di dominio fosse spento?

windows  active-directory  domain-controller 
Russell Christopher
fonte
1
Solo un punto interessante e correlato: scollegare un cavo di rete è un modo per emulare "il DC inattivo". Non sono sicuro che questo sia cambiato negli ultimi anni, ma poiché la politica di blocco dell'utente è implementata dal controller di dominio, è possibile ottenere infiniti tentativi di indovinare le credenziali memorizzate nella cache semplicemente scollegando il cavo di rete.
Daniel B,

Risposte:

33

Per impostazione predefinita, Windows memorizzerà nella cache gli ultimi 10-25 utenti per accedere a una macchina (a seconda della versione del sistema operativo). Questo comportamento è configurabile tramite GPO ed è generalmente completamente disattivato nei casi in cui la sicurezza è fondamentale.

Se si tenta di accedere a una workstation o a un server membro a cui non si è mai effettuato l'accesso mentre tutti i controller di dominio sono irraggiungibili, viene visualizzato un errore che indica There are currently no logon servers available to service the logon request

MDMarra
fonte
3
La memorizzazione nella cache delle credenziali viene eseguita per una serie di motivi, ma tra i più notevoli si annovera il caso dei laptop. Il CEO sarà molto infelice se non è in grado di lavorare mentre è in aria e non è in grado di connettersi alla rete, quindi l'accesso viene memorizzato nella cache per consentirgli di accedere ancora al proprio computer.
user24313,
1
È comune accedere in modo interattivo al sistema operativo prima di avviare una connessione VPN. Se l'accesso è impossibile senza accesso in tempo reale a un controller di dominio e un controller di dominio è disponibile solo tramite VPN e una VPN è disponibile solo dopo il login, hai un cattivo catch-22. Le credenziali memorizzate nella cache rappresentano una soluzione efficace.
Brandon,
@Brandon che sono. Non stavo raccomandando a tutti di disabilitarlo, stavo semplicemente notando che è comune dove security is criticalpoiché impedirà un attacco di forza bruta offline. La soluzione al problema VPN è connettersi all'avvio utilizzando i certificati dei dispositivi anziché post-accesso con utente / pass.
MDMarra,
2

Sì, le tue credenziali vengono memorizzate nella cache su ogni macchina a cui accedi. Se non si fosse effettuato l'accesso a un determinato computer prima che il controller di dominio non funzionasse, non si sarebbe in grado di accedere perché le credenziali non sarebbero disponibili.

John
fonte
7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- questo non è vero. Se sono disponibili controller di dominio per autenticare l'accesso, indipendentemente dal fatto che i crediti dell'utente siano memorizzati nella cache o meno sulla workstation locale o sul server membro. Le credenziali memorizzate nella cache vengono utilizzate solo quando la workstation o il server membro non è in grado di contattare uno o più controller di dominio per l'autenticazione. Scenari comuni in cui ciò accade includono i laptop che vengono tolti dalla rete, i controller di dominio non sono raggiungibili a causa di un'interruzione della rete o qualsiasi altra interruzione del servizio.
MDMarra,
Ok, ho modificato la risposta per rimuovere le informazioni errate.
Giovanni,
-2

Vale anche la pena notare che DC e la casella client sincronizzano periodicamente gli accessi come parte delle operazioni dei criteri di gruppo, ma solo mentre sono entrambi online.

Ad esempio, è possibile accedere alla propria stazione di lavoro (Alice) e disconnetterla dalla rete, quindi accedere a una seconda stazione di lavoro (Bob) e modificare la password AD di accesso (tramite ctrl-alt-del) da Bob. La password viene aggiornata immediatamente su Bob e DC (Charlie), ma è ancora il vecchio valore (memorizzato nella cache) su Alice.

Se ricolleghi Alice alla rete, dopo un momento o due probabilmente riceverai una notifica a bolle sulla barra delle applicazioni che dice "Windows ha bisogno delle tue credenziali attuali". Questo è il risultato di Alice e Charlie che eseguono la sincronizzazione delle politiche di gruppo del periodo. L'immissione della nuova password convaliderà l'immissione contro Charlie e aggiornerà le credenziali memorizzate nella cache su Alice.

Ryan
fonte
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. sospiro, questo non ha nulla a che fare con i Criteri di gruppo. Non appena avrai bisogno di accedere a una risorsa di rete e le tue credenziali memorizzate nella cache saranno in uso, dovrai autenticarti. Non esiste una "sincronizzazione password" o qualcosa del genere, in particolare non dall'oggetto Criteri di gruppo. Probabilmente lo vedi subito perché hai mappature di unità persistenti o una cassetta postale di Exchange aperta o qualcosa del genere che ha bisogno delle tue credenziali quasi immediatamente.
MDMarra,
1
Grazie per aver sottolineato il suo difetto in merito a Criteri di gruppo. Vorrei anche sottolineare che ha ben poco a che fare con la sincronizzazione delle password tra loro e più a che fare con la richiesta / emissione di nuovi ticket / coppie di chiavi. Vedi questo se ciò che ho appena detto non ha senso. msdn.microsoft.com/en-us/library/windows/desktop/… Probabilmente hai avuto qualcosa come Outlook o i mapping delle unità aperti come menzionato MDMarra in quanto questi tenteranno immediatamente di autenticarsi ma poiché hanno una vecchia coppia ticket / chiave, hanno dovrà concederne uno nuovo prima di poter procedere
Brad Bouchard,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.