Por que posso fazer login em uma caixa mesmo se o controlador de domínio do AD estiver inativo?

15

Cenário:

Enquanto meu controlador de domínio está em execução, eu entro em uma máquina arbitrária.
Eu paro o DC
Eu desligo a máquina arbitrária. Vamos devolvê-lo por uma boa medida também.
Quando a máquina volta a funcionar, ainda consigo fazer login com minhas credenciais de domínio, mesmo que o DC esteja inoperante

Porquê e como?

Existe algum tipo de cache de credenciais local em jogo na máquina "arbitrária"? Minha senha foi de algum modo armazenada e armazenada para o futuro no CASE, o controlador de domínio explode ou está inoperante?

O mesmo processo funcionaria se eu tentasse entrar em uma caixa na qual nunca havia feito login enquanto o controlador de domínio estivesse inativo?

windows active-directory domain-controller

— Russell Christopher
fonte

1

Apenas um ponto interessante e relacionado: desconectar um cabo de rede é uma maneira de emular "o DC está inoperante". Não tenho certeza se isso mudou nos últimos anos, mas como a política de bloqueio de usuário é implementada pelo controlador de domínio, você pode obter inúmeras tentativas de adivinhar as credenciais em cache, simplesmente desconectando o cabo de rede.

— Daniel B

33

Por padrão, o Windows armazena em cache os últimos 10 a 25 usuários para fazer login em uma máquina (dependendo da versão do SO). Esse comportamento é configurável via GPO e geralmente é desativado completamente nos casos em que a segurança é crítica.

Se você tentasse efetuar login em uma estação de trabalho ou servidor membro em que nunca havia efetuado login enquanto todos os seus controladores de domínio estivessem inacessíveis, você receberia um erro informando There are currently no logon servers available to service the logon request

— MDMarra
fonte

3

O cache de credenciais é feito por vários motivos, mas entre os mais notáveis está o caso dos laptops. O CEO ficará muito insatisfeito se não conseguir trabalhar enquanto estiver no ar e não conseguir se conectar à sua rede; portanto, o logon é armazenado em cache para permitir que ele / ela ainda faça logon no computador.

— User24313

1

É comum precisar acessar o SO interativamente antes de iniciar uma conexão VPN. Se o login for impossível sem acesso ao vivo a um controlador de domínio, e um controlador de domínio estiver disponível apenas via VPN e uma VPN estiver disponível apenas após o login, você terá um problema grave. As credenciais em cache são uma solução eficaz para isso.

— Brandon

@Brandon que eles são. Eu não estava recomendando que todos desabilitassem, estava apenas observando que é comum onde, security is criticaluma vez que impedirá contra um ataque offline de força bruta. A solução para o problema da VPN é conectar-se na inicialização usando certificados de dispositivo em vez de pós-logon com usuário / senha.

— MDMarra

2

Sim, suas credenciais são armazenadas em cache em cada máquina em que você faz login. Se você não tivesse efetuado login em uma determinada máquina antes da queda do controlador de domínio, não seria possível efetuar login porque suas credenciais não estariam disponíveis.

— John
fonte

7

This is done to avoid unnecessary network usage if you log in to a given machine frequently.- isso não é verdade. Se houver controladores de domínio disponíveis para autenticar o logon, eles serão independentemente de os cleds do usuário estarem em cache ou não na estação de trabalho local ou no servidor membro. As credenciais em cache são usadas apenas quando a estação de trabalho ou o servidor membro não consegue entrar em contato com um ou mais controladores de domínio para autenticação. Os cenários comuns em que isso acontece incluem laptops sendo retirados da rede, controladores de domínio inacessíveis devido a uma interrupção na rede ou qualquer outra interrupção no serviço.

— MDMarra

Ok, modifiquei a resposta para remover as informações incorretas.

— João

-2

Também é importante notar que o controlador de domínio e a caixa do cliente sincronizam logins periodicamente como parte das operações da diretiva de grupo, mas apenas enquanto os dois estão online.

Por exemplo, você pode fazer login na sua estação de trabalho (Alice) e desconectá-la da rede, depois fazer login em uma segunda estação de trabalho (Bob) e alterar a senha do AD do seu login (via ctrl-alt-del) de Bob. A senha é atualizada instantaneamente em Bob e no DC (Charlie), mas ainda é o valor antigo (armazenado em cache) em Alice.

Se você reconectar Alice à rede, após um momento ou dois, provavelmente receberá uma notificação de bolha da barra de tarefas dizendo "O Windows precisa de suas credenciais atuais". Isso é resultado de Alice e Charlie fazendo a sincronização da política de grupo do período. Digitar sua nova senha validará sua entrada em relação a Charlie e atualizará as credenciais em cache em Alice.

— Ryan
fonte

3

It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online.

suspiro, isso não tem nada a ver com a Diretiva de Grupo. Assim que você precisar acessar um recurso de rede e suas credenciais em cache estiverem em uso, será necessário que você se autentique. Não há "sincronização de senha" ou algo parecido, especialmente o GPO. Você provavelmente verá isso imediatamente porque possui mapeamentos de unidade persistentes ou uma caixa de correio do Exchange aberta ou algo parecido com o que precisa de suas credenciais quase que imediatamente.

— MDMarra

1

Obrigado por apontar sua falha em relação à Diretiva de Grupo. Devo também salientar que isso tem muito pouco a ver com a sincronização de senhas entre si e muito mais a ver com novos tickets / pares de chaves sendo solicitados / emitidos. Veja isso se o que eu disse não fez sentido. msdn.microsoft.com/en-us/library/windows/desktop/... Você provavelmente tinha algo como Outlook ou os mapeamentos de unidade aberto como MDMarra mencionado como estes irão imediatamente tentar autenticar, mas uma vez que eles têm um par de bilhetes de idade / key, eles terá que receber um novo antes que eles possam continuar #

— Brad Bouchard