AD Etki Alanı denetleyicisi kapalı olsa bile neden bir kutuya giriş yapabilirim?

15

Senaryo:

  • DC'm çalışırken, isteğe bağlı bir makinede oturum açıyorum.
  • DC'yi durduruyorum
  • Ben keyfi makineden çıkıyorum. İyi bir ölçü için de hemen geri dönelim.
  • Makine geri geldiğinde, DC kapalı olsa bile alan adı bilgilerimle giriş yapabilirim

Neden ve nasıl?

"Keyfi" makinede oyunda bir çeşit yerel kimlik önbelleği var mı? Şifrem bir şekilde karma hale getirildi ve gelecek için DC'nin patladığı veya kapatıldığı durumda saklandı?

DC kapalıyken daha önce hiç giriş yapmadığım bir kutuya giriş yapmaya çalışırsam aynı süreç işe yarar mı?

windows  active-directory  domain-controller 
Russell Christopher
kaynak
1
İlginç, ilgili bir nokta: bir ağ kablosunun çıkarılması "DC devrede" yi taklit etmenin bir yoludur. Bunun son yıllarda değişip değişmediğinden emin değilim, ancak kullanıcı kilitleme politikası DC tarafından uygulandığından, yalnızca ağ kablosunu çıkararak önbelleğe alınmış kimlik bilgilerini tahmin etmek için sonsuz denemeler yapabilirsiniz.
Daniel B

Yanıtlar:

33

Varsayılan olarak, Windows bir makinede oturum açmak için son 10-25 kullanıcıyı önbelleğe alır (işletim sistemi sürümüne bağlı olarak). Bu davranış GPO aracılığıyla yapılandırılabilir ve güvenliğin kritik olduğu durumlarda genellikle tamamen kapatılır.

Tüm DC'lerinize erişilemez durumdayken hiç giriş yapmadığınız bir iş istasyonuna veya üye sunucuya giriş yapmaya çalıştıysanız, şunu belirten bir hata alırsınız: There are currently no logon servers available to service the logon request

MDMarra
kaynak
3
Kimlik bilgisi önbelleği çeşitli nedenlerle yapılır, ancak en dikkat çekici olanı dizüstü bilgisayarlar örneğidir. CEO havadayken çalışamazsa ve ağınıza bağlanamazsa çok mutsuz olacaktır.
user24313
1
Bir VPN bağlantısı başlatmadan önce işletim sistemine etkileşimli olarak giriş yapmanız yaygındır. Bir DC'ye canlı erişim olmadan giriş yapmak mümkün değilse ve bir DC yalnızca VPN üzerinden kullanılabilir ve bir VPN yalnızca giriş yaptıktan sonra kullanılabilirse, kötü bir catch-22'ye sahip olursunuz. Önbelleğe alınmış kimlik bilgileri bunun için etkili bir çözümdür.
Brandon
@Brandon onlar. Herkesin devre dışı bırakmasını önermiyordum, sadece security is criticalçevrimdışı bir kaba kuvvet saldırısına karşı önleyeceği için yaygın olduğunu fark ettim . VPN sorununun çözümü, başlangıçta kullanıcı / geçiş ile oturum açma sonrası aygıt sertifikalarını kullanarak bağlanmaktır.
MDMarra
2

Evet, kimlik bilgileriniz oturum açtığınız her makinede önbelleğe alınır. DC kapatılmadan önce belirli bir makinede oturum açmamış olsaydınız, kimlik bilgileriniz kullanılamayacağı için oturum açamazsınız.

John
kaynak
7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- Bu doğru değil. Oturum açmanın kimliğini doğrulamak için kullanılabilir DC'ler varsa, kullanıcının kredilerinin yerel iş istasyonunda veya üye sunucuda önbelleğe alınıp alınmamasına bakılmaksızın. Önbelleğe alınmış kimlik bilgileri yalnızca iş istasyonu veya üye sunucu kimlik doğrulaması için bir veya daha fazla etki alanı denetleyicisiyle iletişim kuramadığında kullanılır. Bunun gerçekleştiği yaygın senaryolar arasında dizüstü bilgisayarların ağ dışında alınması, DC'lerin bir ağ kesintisi nedeniyle erişilememesi veya hizmette herhangi bir kesinti vardır.
MDMarra
Tamam, yanlış bilgileri kaldırmak için cevabı değiştirdim.
John
-2

Ayrıca, DC ve istemci kutusunun senkronize edilmesi, grup politikası işlemlerinin bir parçası olarak periyodik olarak, ancak her ikisi de çevrimiçi durumdayken oturum açtıklarını belirtmek gerekir.

Örneğin, iş istasyonunuza (Alice) giriş yapabilir ve ağ ile bağlantısını kesebilir, ardından ikinci bir iş istasyonuna (Bob) giriş yapabilir ve girişinizin AD şifresini (ctrl-alt-del ile) Bob'dan değiştirebilirsiniz. Parola Bob ve DC'de (Charlie) anında güncellenir, ancak yine de Alice'in eski önbelleğidir (önbelleğe alınır).

Alice'i ağa yeniden bağlarsanız, bir veya iki dakika sonra muhtemelen "Windows geçerli kimlik bilgilerinize ihtiyaç duyar" yazan bir görev çubuğu balonu bildirimi alırsınız. Bu Alice ve Charlie'nin dönem grubu politika senkronizasyonunu gerçekleştirmesinin bir sonucudur. Yeni şifrenizi girmeniz, Charlie'ye karşı girişinizi doğrular ve Alice üzerindeki önbelleğe alınmış kimlik bilgilerini günceller.

Ryan
kaynak
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. iç çekiş bu Grup İlkesi ile ilgisi yoktur. Bir ağ kaynağına erişmeniz gerektiğinde ve önbelleğe alınmış kimlik bilgileriniz kullanılır kullanılmaz kimlik doğrulaması yapmanız gerekir. "Şifre senkronizasyonu" veya bunun gibi bir şey yoktur, özellikle GPO'dan değil. Kalıcı sürücü eşlemeleriniz veya Exchange posta kutunuz açık olduğundan veya kimlik bilgilerinize hemen ihtiyaç duyan bir şeye sahip olduğunuz için bunu hemen görüyorsunuz.
MDMarra
1
Grup İlkesi ile ilgili kusurunu belirttiğiniz için teşekkür ederiz. Ayrıca, şifreleri birbiriyle senkronize etmekle çok az ilgisi olduğunu ve talep edilen / düzenlenen yeni biletler / anahtar çiftleri ile ilgisi olduğunu belirtmeliyim. Az önce söylediğim şey mantıklı gelmediyse bunu görün. msdn.microsoft.com/tr-tr/library/windows/desktop/… Muhtemelen Outlook veya MDMarra'nın açıkladığı sürücü eşlemeleri hemen doğrulanmaya çalışacağından, ancak eski bir bilet / anahtar çifti bulunduğundan, devam etmeden önce yeni bir tane verilmesi gerekecek
Brad Bouchard
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.