Mengapa saya bisa masuk ke kotak bahkan jika pengontrol Domain AD turun?

15

Skenario:

  • Ketika DC saya sedang berjalan, saya masuk ke mesin sewenang-wenang.
  • Saya menghentikan DC
  • Saya logout dari mesin arbitrer. Mari kita bouncing juga untuk ukuran yang baik.
  • Ketika mesin muncul kembali, saya masih bisa masuk dengan kredensial domain saya meskipun DC sedang down

Kenapa dan bagaimana?

Apakah ada semacam cache kredensial lokal yang dimainkan di mesin "arbitrer"? Kata sandi saya entah bagaimana di-hash dan disimpan untuk masa depan dalam KASUS DC meledak atau turun?

Apakah proses yang sama akan berhasil jika saya mencoba masuk ke kotak yang belum pernah saya masuki sebelumnya ketika DC sedang down?

windows active-directory domain-controller Russell Christopher
sumber
1
Hanya satu hal yang menarik, terkait: mencabut kabel jaringan adalah salah satu cara untuk meniru "DC sedang turun". Saya tidak yakin apakah ini telah berubah dalam beberapa tahun terakhir, tetapi karena kebijakan penguncian pengguna diimplementasikan oleh DC, Anda bisa mendapatkan upaya tak terbatas dalam menebak kredensial yang di-cache hanya dengan mencabut kabel jaringan.
Daniel B

Jawaban:

33

Secara default, Windows akan membuat cache 10-25 pengguna terakhir untuk masuk ke mesin (tergantung pada versi OS). Perilaku ini dapat dikonfigurasi melalui GPO dan umumnya dimatikan sepenuhnya dalam kasus di mana keamanan sangat penting.

Jika Anda mencoba masuk ke workstation atau server anggota yang belum pernah Anda masuki sementara semua DC Anda tidak dapat dijangkau, Anda akan mendapatkan pesan kesalahan yang menyatakan There are currently no logon servers available to service the logon request

MDMarra
sumber
3
Caching kredensial dilakukan karena berbagai alasan, tetapi di antara yang paling terkenal adalah kasus laptop. CEO akan sangat tidak senang jika dia tidak dapat bekerja sementara dia sedang mengudara dan tidak dapat terhubung ke jaringan Anda, jadi login di-cache untuk memungkinkan dia masih masuk ke komputer mereka.
user24313
1
Biasanya perlu masuk ke OS secara interaktif sebelum memulai koneksi VPN. Jika masuk tidak mungkin tanpa akses langsung ke DC, dan DC hanya tersedia melalui VPN dan VPN hanya tersedia setelah login, Anda memiliki tangkapan jahat-22. Kredensial cache adalah solusi efektif untuk itu.
Brandon
@ Merkon mereka. Saya tidak merekomendasikan semua orang menonaktifkannya, saya hanya mencatat bahwa itu adalah hal yang biasa security is criticalkarena akan mencegah serangan brute force offline. Solusi untuk masalah VPN adalah untuk terhubung saat startup menggunakan sertifikat perangkat daripada pasca-logon dengan pengguna / pass.
MDMarra
2

Ya, kredensial Anda disimpan dalam cache pada setiap mesin yang Anda masuki. Jika Anda belum masuk ke mesin yang diberikan sebelum DC turun, Anda tidak akan bisa masuk karena kredensial Anda tidak akan tersedia.

John
sumber
7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- ini tidak benar. Jika ada DC yang tersedia untuk mengotentikasi masuk, mereka akan terlepas dari apakah kredibilitas pengguna itu di-cache atau tidak di workstation lokal atau server anggota. Kredensial yang di-cache hanya digunakan ketika workstation atau server anggota tidak dapat menghubungi satu atau lebih pengontrol domain untuk otentikasi. Skenario umum di mana ini terjadi termasuk laptop yang diambil dari jaringan, DC menjadi tidak terjangkau karena pemadaman jaringan, atau gangguan lainnya terhadap layanan.
MDMarra
Oke, saya sudah memodifikasi jawaban untuk menghapus informasi yang salah.
John
-2

Perlu dicatat juga bahwa DC dan kotak klien menyinkronkan login secara berkala sebagai bagian dari operasi kebijakan grup, tetapi hanya ketika keduanya online.

Misalnya, Anda dapat masuk ke workstation Anda (Alice) dan melepaskannya dari jaringan, kemudian masuk ke workstation kedua (Bob) dan mengubah kata sandi AD login Anda (via ctrl-alt-del) dari Bob. Kata sandi diperbarui secara instan pada Bob dan DC (Charlie), tetapi masih merupakan nilai lama (di-cache) pada Alice.

Jika Anda menyambungkan kembali Alice ke jaringan, setelah beberapa saat Anda mungkin akan mendapatkan pemberitahuan gelembung bilah tugas yang mengatakan "Windows memerlukan kredensial Anda saat ini". Ini adalah hasil dari Alice dan Charlie yang melakukan sinkronisasi kebijakan grup periode. Memasukkan kata sandi baru Anda akan memvalidasi entri Anda terhadap Charlie dan memperbarui kredensial yang di-cache di Alice.

Ryan
sumber
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. sigh ini tidak ada hubungannya dengan Kebijakan Grup. Segera setelah Anda membutuhkan akses ke sumber daya jaringan dan kredensial cache Anda sedang digunakan, itu akan mengharuskan Anda untuk mengotentikasi. Tidak ada "sinkronisasi kata sandi" atau semacamnya, terutama tidak dari GPO. Anda mungkin melihat ini segera karena Anda memiliki pemetaan drive yang persisten atau kotak surat Exchange terbuka, atau sesuatu seperti itu yang membutuhkan kredensial Anda segera.
MDMarra
1
Terima kasih telah menunjukkan kelemahannya mengenai Kebijakan Grup. Saya juga harus menunjukkan bahwa tidak ada hubungannya dengan sinkronisasi kata sandi satu sama lain dan lebih berkaitan dengan tiket baru / pasangan kunci yang diminta / dikeluarkan. Lihat ini jika apa yang baru saja saya katakan tidak masuk akal. msdn.microsoft.com/en-us/library/windows/desktop/... Anda mungkin memiliki sesuatu seperti Outlook atau pemetaan drive yang terbuka seperti yang disebutkan MDMarra karena ini akan segera mencoba untuk mengautentikasi tetapi karena mereka memiliki pasangan tiket / kunci yang lama, mereka harus diberikan yang baru sebelum mereka dapat melanjutkan
Brad Bouchard