Налаштування Cached Credentials з допомогою групових політик
За допомогою параметрів групових політик ви можете задати кількість унікальних користувачів, чиї облікові дані можуть бути збережені в локальний кеш на комп’ютерах домену. Щоб дані потрапили в кеш, користувач повинен хоча б один раз залогінитися на комп’ютер.
За замовчуванням в Windows 10 / Windows Server 2016 зберігаються облікові дані для 10 користувачів. Щоб змінити цю кількість, використовується параметр GPO(Interactive logon: Number of previous logons to cache (in case domain controller is not available)(Інтерактивний вхід в систему: кількість попередніх підключень до кешу в разі відсутності доступу до контролера домену), який знаходиться в розділі Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Можна задати значення від 0 до 50.
Якщо задати 0, це заборонить Windows кешувати облікові дані користувачів. В цьому випадку при недоступності домену, при вході користувача з’явиться помилка “There are currently no logon servers available to service the logon request”.
Цей параметр також можна налаштувати за допомогою REG_SZ параметра реєстру CashedLogonsCount из ветки HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
При вході під збереженими даними, користувач не бачить, що контролер домену недоступний. За допомогою GPO можна вивести повідомлення про вхід під кешуватися даними. Для цього потрібно включити політику Report when logon server was not available during user logon (Запитувати, якщо сервер входу недоступний при вході користувача) в розділі Compute configuration -> Policies -> Administrative templates -> Windows Components -> Windows Logon Options.
В цьому випадку при вході користувача в треї буде з’являтися повідомлення:
Неможливо з’єднатися з сервером входу (контролеру домену). Вхід виконаний за допомогою раніше збережених відомостей про обліковий запис.
A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes to your profile since you last logged on might not
be available.
Цю настройку можна включити через реєстр: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon
- ValueName: ReportControllerMissing
- Data Type: REG_SZ
- Values: TRUE
Безпека кешованих облікових даних в Windows
Локальне кешування облікових даних несе низку ризиків безпеки. Зловмисник, отримавши фізичний доступ до комп’ютера / ноутбука з кешуватися даними, може за допомогою брутфорса розшифрувати хеш пароля (тут все залежить від складності та довжини пароля, для складних паролів час підбору величезна). Тому не рекомендується використовувати кешування для облікових записів з правами локального адміністратора (або, тим більше, доменного адміністратора).
Для зменшення ризиків безпеки, можна відключити кешування облікових записів на офісних комп’ютерах і комп’ютерах адміністраторів. Для мобільних пристроїв бажано зменшити кількість Кешована акаунтів до 1. Тобто навіть якщо адміністратор заходив на комп’ютер і його облікові дані потрапили в кеш, при вході користувача-власника пристрою, хеш пароля адміністратора буде видалений.
Для доменів з функціональним рівнем Windows Server 2012 R2 або вище можна додати облікові записи адміністраторів домену в групу Protected Users. Для таких користувачів заборонено локальне збереження кешованих даних для входу.
Можна створити в домені окремі політики з використання кешованих облікових даних для різних пристроїв і категорій користувачів (наприклад, за допомогою GPO Security filters, WMI фільтрів, або поширенню налаштувань параметра реєстру CashedLogonsCount через GPP Item level targeting).
Для мобільних користувачів – CashedLogonsCount = 1
Для звичайних комп’ютерів – CashedLogonsCount = 0
Такі політики знизять ймовірність отримання хеша привілейованих користувачів з персональних комп’ютерів.