ทำไมฉันสามารถเข้าสู่กล่องแม้ว่าตัวควบคุมโดเมนโฆษณาไม่ทำงาน


15

สถานการณ์:

  • ในขณะที่ DC ของฉันกำลังทำงานฉันลงชื่อเข้าใช้เครื่องโดยพลการ
  • ฉันหยุด DC
  • ฉันออกจากระบบโดยพลการ ลองเด้งกันดีกว่า
  • เมื่อเครื่องกลับมาฉันยังคงสามารถเข้าสู่ระบบด้วยข้อมูลรับรองโดเมนของฉันแม้ว่า DC จะไม่ทำงาน

ทำไมและอย่างไร

มีการเล่นแคชข้อมูลประจำตัวบางส่วนในเครื่อง "โดยพลการ" หรือไม่? รหัสผ่านของฉันถูกแฮชและเก็บไว้อย่างใดอย่างหนึ่งในอนาคตในกรณีที่ DC ระเบิดขึ้นหรือลง?

กระบวนการเดียวกันนี้จะทำงานได้หรือไม่ถ้าฉันพยายามลงชื่อเข้าใช้ในกล่องที่ฉันไม่เคยลงชื่อเข้าใช้มาก่อนในขณะที่ DC หยุดทำงาน


1
จุดที่น่าสนใจและเกี่ยวข้อง: การถอดสายเคเบิลเครือข่ายเป็นวิธีหนึ่งในการเลียนแบบ "DC กำลังตก" ฉันไม่แน่ใจว่าสิ่งนี้มีการเปลี่ยนแปลงในปีที่ผ่านมาหรือไม่ แต่เนื่องจากนโยบายการล็อคผู้ใช้ถูกนำไปใช้โดย DC คุณสามารถพยายามเดาข้อมูลประจำตัวที่แคชได้โดยไม่ต้องถอดสายเคเบิลเครือข่าย
Daniel B

คำตอบ:


33

โดยค่าเริ่มต้น Windows จะแคชผู้ใช้ 10-25 คนสุดท้ายเพื่อเข้าสู่เครื่อง (ขึ้นอยู่กับเวอร์ชั่นของระบบปฏิบัติการ) ลักษณะการทำงานนี้สามารถกำหนดค่าได้ผ่าน GPOและโดยทั่วไปจะปิดอย่างสมบูรณ์ในกรณีที่ความปลอดภัยมีความสำคัญ

หากคุณพยายามล็อกอินเข้าสู่เวิร์กสเตชันหรือเซิร์ฟเวอร์สมาชิกที่คุณไม่เคยลงชื่อเข้าใช้ในขณะที่ DC ทั้งหมดของคุณไม่สามารถเข้าถึงได้คุณจะพบข้อผิดพลาดที่ระบุ There are currently no logon servers available to service the logon request


3
การแคชข้อมูลรับรองทำด้วยเหตุผลหลายประการ แต่ที่สำคัญที่สุดคือกรณีของแล็ปท็อป CEO จะไม่มีความสุขมากถ้าเขาไม่สามารถทำงานได้ในขณะที่เขาอยู่ในอากาศและไม่สามารถเชื่อมต่อกับเครือข่ายของคุณได้ดังนั้นการลงชื่อเข้าใช้จะถูกเก็บในแคชเพื่อให้เขา / เธอยังคงเข้าสู่ระบบคอมพิวเตอร์ของพวกเขา
user24313

1
เป็นเรื่องปกติที่จะต้องลงชื่อเข้าใช้ระบบปฏิบัติการแบบโต้ตอบก่อนที่จะเริ่มการเชื่อมต่อ VPN หากการเข้าสู่ระบบเป็นไปไม่ได้หากไม่มีการเข้าถึง DC และ DC จะใช้งานได้ผ่าน VPN เท่านั้นและ VPN จะพร้อมใช้งานหลังจากเข้าสู่ระบบเท่านั้นคุณจะมี catch-22 ที่น่ารังเกียจ ข้อมูลประจำตัวที่แคชไว้เป็นโซลูชันที่มีประสิทธิภาพ
แบรนดอน

@ แบรนดอนว่าพวกเขาเป็น ฉันไม่ได้แนะนำให้ทุกคนปิดการใช้งานฉันก็แค่สังเกตว่ามันเป็นเรื่องธรรมดาที่security is criticalจะป้องกันการโจมตีกำลังดุร้ายออฟไลน์ ทางออกของปัญหา VPN คือการเชื่อมต่อเมื่อเริ่มต้นโดยใช้ใบรับรองอุปกรณ์แทนการล็อกออนด้วย user / pass
MDMarra

2

ใช่ข้อมูลประจำตัวของคุณถูกแคชไว้ในแต่ละเครื่องที่คุณเข้าสู่ระบบ หากคุณไม่ได้ลงชื่อเข้าใช้เครื่องที่กำหนดก่อนที่ DC จะลงคุณจะไม่สามารถเข้าสู่ระบบได้เพราะข้อมูลประจำตัวของคุณจะไม่สามารถใช้ได้


7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- นี่ไม่เป็นความจริง. ถ้ามี DC ที่พร้อมใช้งานสำหรับการรับรองความถูกต้องเข้าสู่ระบบพวกเขาจะคำนึงถึงว่าเครดิตของผู้ใช้นั้นถูกแคชหรือไม่บนเวิร์กสเตชันท้องถิ่นหรือเซิร์ฟเวอร์สมาชิก ข้อมูลประจำตัวที่แคชจะใช้เฉพาะเมื่อเวิร์กสเตชันหรือเซิร์ฟเวอร์สมาชิกไม่สามารถติดต่อตัวควบคุมโดเมนอย่างน้อยหนึ่งตัวสำหรับการตรวจสอบความถูกต้อง สถานการณ์ทั่วไปที่สิ่งนี้เกิดขึ้นรวมถึงแล็ปท็อปที่ถูกนำออกนอกเครือข่าย DCs ไม่สามารถเข้าถึงได้เนื่องจากเครือข่ายขัดข้องหรือบริการขัดข้องอื่น ๆ
MDMarra

ตกลงฉันได้แก้ไขคำตอบเพื่อลบข้อมูลที่ไม่ถูกต้อง
John

-2

นอกจากนี้ยังเป็นที่น่าสังเกตว่าการซิงค์ DC และกล่องไคลเอนต์เป็นระยะเข้าเป็นส่วนหนึ่งของการดำเนินการตามนโยบายกลุ่ม แต่เฉพาะในขณะที่พวกเขากำลังออนไลน์ทั้งสอง

ตัวอย่างเช่นคุณอาจเข้าสู่เวิร์กสเตชัน (อลิซ) และตัดการเชื่อมต่อจากเครือข่ายจากนั้นเข้าสู่เวิร์กสเตชันที่สอง (Bob) และเปลี่ยนรหัสผ่าน AD ของล็อกอิน (ผ่าน ctrl-alt-del) จาก Bob รหัสผ่านจะได้รับการอัพเดตทันทีบน Bob และ DC (Charlie) แต่ยังคงเป็นค่าเก่า (แคช) ใน Alice

หากคุณเชื่อมต่ออลิซกับเครือข่ายอีกครั้งหลังจากนั้นสักครู่หรือสองครั้งคุณอาจได้รับการแจ้งเตือนจากแถบงานว่า "Windows ต้องการข้อมูลรับรองปัจจุบันของคุณ" นี่คือผลลัพธ์ของ Alice และ Charlie ที่ทำการซิงค์นโยบายกลุ่มรอบระยะเวลา การป้อนรหัสผ่านใหม่ของคุณจะตรวจสอบรายการของคุณกับ Charlie และอัปเดตข้อมูลประจำตัวที่แคชใน Alice


3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. ถอนหายใจสิ่งนี้ไม่เกี่ยวข้องกับนโยบายกลุ่ม ทันทีที่คุณต้องการเข้าถึงทรัพยากรเครือข่ายและใช้งานข้อมูลประจำตัวที่แคชไว้แล้วคุณจะต้องตรวจสอบสิทธิ์ ไม่มี "การซิงค์รหัสผ่าน" หรืออะไรทำนองนั้นโดยเฉพาะจาก GPO คุณน่าจะเห็นสิ่งนี้ได้ทันทีเนื่องจากคุณมีการแมปไดรฟ์แบบถาวรหรือเปิดกล่องจดหมาย Exchange หรือสิ่งที่ต้องการข้อมูลประจำตัวของคุณเกือบจะในทันที
MDMarra

1
ขอบคุณสำหรับการชี้ให้เห็นข้อบกพร่องของเขาเกี่ยวกับนโยบายกลุ่ม ฉันควรชี้ให้เห็นว่ามันมีส่วนเกี่ยวข้องกับการซิงค์รหัสผ่านซึ่งกันและกันน้อยมากและเกี่ยวข้องกับตั๋ว / คู่กุญแจใหม่ที่มีการร้องขอ / ออก ดูสิ่งนี้ถ้าสิ่งที่ฉันเพิ่งพูดไม่เข้าท่า msdn.microsoft.com/en-us/library/windows/desktop/คุณอาจมีบางอย่างเช่น Outlook หรือการแมปไดรฟ์เปิดเป็น MDMarra ที่กล่าวถึงเนื่องจากสิ่งเหล่านี้จะพยายามพิสูจน์ตัวตนทันที แต่เนื่องจากมีคู่ตั๋ว / รหัสเก่า จะต้องได้รับใหม่ก่อนที่พวกเขาจะสามารถดำเนินการได้
Brad Bouchard
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.