Önbelleğe alınmış alan adı kimlik bilgilerini nasıl temizleyebilirim?

11

İlgili: Windows 7 / 2k8'de kablosuz üzerinden etki alanı kimlik doğrulamasını nasıl etkinleştirebilirim?

Kablosuz bağlantı özelliği üzerinden etki alanı oturum açma özelliğini sınamak için Yukarıdaki soruda kurmaya çalışıyorum, etki alanı kimlik bilgilerinin yerel sistemde önbelleğe alınmamış bir hesaba ihtiyacım var. Ne yazık ki, ofisimde bunu test etmeme yardımcı olabilecek çok fazla insan var ve o zaman bile onları rahatsız etmemeyi tercih ederim. Bu nedenle, her girişten sonra kendi önbelleğe alınmış kimlik bilgilerimi temizleyebilmek istiyorum.

İleride kimlik bilgilerini önbelleğe alma özelliğini korurken yerel önbelleği nasıl temizleyebilirim?

windows-server-2008  active-directory  windows-7  authentication 
Iszi
kaynak

Yanıtlar:

10

David Yu'nun cevabı hemen hemen hedefte, ancak bunu doğrudan kayıt defterini düzenlemeden yapmanın bir yolu var. Yine de, bu yalnızca ayar GPO tarafından yapılandırılmamışsa çalışır.

İlk olarak, önbelleğe alınmış kimlik bilgilerinin nerede saklandığını belirtmek istiyorum. Bu, yapılandırma değişikliklerinin etkisini göstermeye (ve sorun giderme amacıyla doğrulamaya) yardımcı olacaktır.

UYARI: Ben tavsiye çoğu internette çeşitli yerlerde, bu bilgileri buldum karşı elle bu değerleri değiştirerek.

Önbelleğe alınmış etki alanı girişlerini depolayan kayıt defteri anahtarı, Yöneticiler tarafından bile gizlenir. Yalnızca SYSTEM hesabı tarafından erişilebilir. Bu nedenle, görüntülemek için SİSTEM olarak psexecçalışmanıza izin verecek (Microsoft'tan edinilebilir, ancak varsayılan olarak yüklenmez) gibi bir araca ihtiyacınız olacaktır regedit. Bunu yapmak için komut satırı (yüklü ve varsayalım %PATH%):

psexec -d -i -s regedit

Oraya girdikten sonra adresine gidin HKLM\SECURITY\Cache\. Burada birkaç BINARY değeri görmelisiniz. Önbelleğe alınmış kimlik bilgileri için kullanabileceğiniz her bir yuva için NL $ Control adlı bir tane ve NL $ ## adlı başka bir tane olacaktır. (Varsayılan 10)

Server 2003'te HKLM \ SECURITY \ Cache

Burada, bu anahtarı veya değerlerini manuel olarak değiştirmemeniz veya silmemeniz gerektiğini vurgulamak istiyorum.

Şimdi, verilerin nerede önbelleğe alındığını bildiğimize ve orada ona dokunmamamız gerektiğine göre , bunu nasıl temizleyebiliriz?

Yine, David Yu'nun cevabı sizi doğru kayıt anahtarına yönlendirecektir. Ancak, kayıt defterini doğrudan değiştirmek istemiyorsanız, bunu Yerel Güvenlik İlkesi aracılığıyla yapmanın başka bir yolu vardır.

secpol.msc

Güvenlik Ayarları ağacında öğesine gidin Local Policies\Security Options. İşte adında bir politika olacak Interactive logon: Number of previous logons to cache (in case domain controller is not available).

Server 2003'te Yerel Güvenlik İlkesi

Varsayılan olarak bu, olarak ayarlanır 10 logons. Önbelleği temizlemek için sıfıra ayarlayın ve Tamam'a tıklayın. Server 2008'de bu hemen yürürlüğe girecektir. Server 2003 için yeniden başlatmanız gerekir. Etkisi HKLM\SECURITY\Cache\artık NL $ ## değerlerinin olmayacağı yerlerde görülebilir .

Server 2003'te kimlik bilgileri önbelleği temizlendi

Kimlik bilgileri önbelleğini yeniden etkinleştirmek için, aynı İlkeyi tercih ettiğiniz değeri yansıtacak şekilde düzenleyin ve Tamam'a basın. Yine, Server 2008 kullanıyorsanız, bu hemen yürürlüğe girecektir. Server 2003'ün yeniden başlatılması gerekir. Bunu Server 2008'de yapıyorsanız ve henüz oturumu kapatmadıysanız veya yeniden başlatmadıysanız, önbellek yuvalarının geri yüklendiğini, ancak gerçek veriler olmadığını görebilirsiniz.

Server 2008'deki boş kimlik bilgisi önbellek yuvaları

Geçici olarak devre dışı bırakılan kimlik bilgileri önbelleğe almayı gerektiren herhangi bir işlevin hızlı ve tek seferlik bir denetimini yapmak istiyorsanız, bunu Server 2008'de oturum kapatmadan veya yeniden başlatmadan yapmak yararlı olabilir. Ayrıca, bir sonraki girişinizden sonra değişikliği geri almayı unutmayın.

Iszi
kaynak
6

Önbelleğe alınmış oturum açma kimlik bilgilerini devre dışı bırakmak için sistemin kayıt defterini değiştirebilirsiniz. Kayıt defteri anahtarını 0 olarak ayarlayın. Bu, her değişiklikten sonra yeniden başlatılmasını gerektirir. Bu ayrıca, bu anahtarı ayarlayan bir GPO'nuz olmadığını varsayar.

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ Mevcut Sürüm \ Winlogon \

DeğerAdı: CachedLogonsCount

Veri Türü: REG_SZ

Değerler: 0 - 50

David Yu
kaynak
Test tamamlandıktan sonra kimlik bilgileri önbelleğini korumak istiyorsanız, bu değişikliğin daha sonra geri döndürülmesi gerektiğini unutmayın. Değişikliği geri almak eski önbelleğe alınmış kimlik bilgilerini geri yüklemez, ancak yeni oturum açma işlemlerini önbelleğe almanıza olanak tanır.
Iszi
Korkarım David'in cevabı alabileceğin en iyisi. Bu kayıt defteri değerini 0 olarak ayarlayarak tek bir kullanıcı için önbelleğe alınmış alan adı oturum açma işlemlerini "tamamen" devre dışı bırakmanın bir yolu yok gibi görünüyor
Yanick Girouard
@YanickGirouard Yeniden başlatma veya ham kayıt defteri düzenlemesi gerektirmeyen daha kolay bir yol var - en azından Sunucu 2k8'de değil. Bu soruyu gönderdiğim zaman anladım, ama başka birinin göndermesi için biraz zaman vereceğimi düşündüm. Eğer başka kimse bunu yapmadıysa, muhtemelen cevabımı bugün daha sonra göndereceğim.
Iszi
Lütfen cevabınızı gönderin ve mümkün olan en kısa sürede kabul edin. Bu forumların hepsi bununla ilgilidir: bilgi paylaşımı! Teşekkür ederim :)
Yanick Girouard
@YanickGirouard Bu yüzden bilgi paylaşılabilmesi için bu konuyu yayınladım. Birisi fırsatı değerlendirmek isterse temsilcisi de paylaşmak istiyorum. Şimdi cevabım için ekran görüntüleri topluyorum.
Iszi
2

Depolanan önbelleğe alınmış kimlik bilgilerini değiştirmenin yolu (garip bir şekilde) güvenlik seçenekleri değiştirilerek \ Etkileşimli oturum açma: Grup ilkesi düzenleyicisi (gpedit) aracılığıyla önbellek ilkesine önceki oturum açma sayısı

Jim B
kaynak
-1

Tüm NL $ girişlerini sonuncusu ile aynı ayarlayarak tüm saklanan şifreleri temizlemek mümkün (son birkaç NL $ girişleri sadece yer tutucular gibi görünüyor aynı idi). Bunu Windows 7 PRO 64bit bilgisayarlarda test ettim, başka bir şey üzerinde test etmedim.

Aşağıdakileri not defterine kopyalayın ve bir .reg olarak kaydedin ve çalıştırın

regedit / s dosya adınız.reg

sistem hesabı olarak.

 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SECURITY\Cache]
"NL$1"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$2"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$3"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$4"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$5"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$6"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$7"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$8"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$9"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$10"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
Greg
kaynak
1
Kapsamlı bir test yapmadıkça "son birkaç NL $" hakkındaki varsayınız geçersiz. Önbellek son kez temizlendiğinden bu yana, kullanıcıların sisteme giriş yapması 10 veya daha fazla (veya önbellek sınırı ne olursa olsun) olmadı. Bununla birlikte, bu değerleri "manuel olarak" değiştirecek kadar maceraperest hissediyorsanız, büyük bir .reg dosyası kullanmak yerine PowerShell ile oldukça basit bir komut dosyası yazabilirsiniz (elbette SYSTEM olarak çalıştırın). sistem yapılandırmasına bağlı olarak manuel olarak ayarlanması gerekir.
Iszi
-2

Depolanan kimlik bilgilerini kaldırmanın en kolay yolu MSTSC'yi çalıştırmak ve önbelleğe alınan terminal sunucusunun adını veya ip adresini girmektir. Tam etki alanı adı olarak önbelleğe alındıysa, girmeniz gereken buysa, alanı sizin için ve etki alanı \ kullanıcı adınızı da doldurur. Ardından Seçenekler'e tıklayın. Kimlik bilgileri saklanırsa, bunları düzenleyebilir veya silebilirsiniz.

Sistemin kimlik bilgilerini önbelleğe almasını engellemek için RDP dosyasını not defteri ile düzenleyin ve PromptCredentialOnce: i: 1 parametresini PromptCredentialOnce: i: 0 olarak değiştirin

Jim A Fieser
kaynak
Bu, RDP istemcisinin kimlik bilgilerinin "belleğini" kaldırır, ancak önbelleği hedef sistemden temizlemez.
Iszi
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.