¿Por qué puedo iniciar sesión en un cuadro incluso si el controlador de dominio AD está inactivo?

15

Guión:

  • Mientras mi DC se está ejecutando, inicio sesión en una máquina arbitraria.
  • Detengo el DC
  • Cierro la máquina arbitraria. Rebotemos por si acaso, también.
  • Cuando la máquina vuelve a funcionar, aún puedo iniciar sesión con mis credenciales de dominio aunque DC esté inactivo

¿Porque y como?

¿Hay algún tipo de caché de credenciales local en juego en la máquina "arbitraria"? ¿Mi contraseña fue de alguna manera cifrada y almacenada para el futuro en CASO de que el DC explote o esté inactivo?

¿Funcionaría el mismo proceso si intentara iniciar sesión en un cuadro en el que nunca antes había iniciado sesión mientras el DC está inactivo?

Russell Christopher
fuente
1
Solo un punto interesante y relacionado: desenchufar un cable de red es una forma de emular "el DC está inactivo". No estoy seguro de si esto ha cambiado en los últimos años, pero dado que DC implementa la política de bloqueo de usuarios, puede obtener infinitos intentos de adivinar las credenciales almacenadas en caché simplemente desconectando el cable de red.
Daniel B

Respuestas:

33

De forma predeterminada, Windows almacenará en caché a los últimos 10-25 usuarios para iniciar sesión en una máquina (según la versión del sistema operativo). Este comportamiento es configurable a través de GPO y normalmente se desactiva por completo en los casos en que la seguridad es crítica.

Si intentó iniciar sesión en una estación de trabajo o servidor miembro en el que nunca había iniciado sesión mientras no se puede acceder a todos sus DC, obtendrá un error que indica There are currently no logon servers available to service the logon request

MDMarra
fuente
3
El almacenamiento en caché de credenciales se realiza por una variedad de razones, pero una de las más notables es el caso de las computadoras portátiles. El CEO se sentirá muy descontento si no puede trabajar mientras está en el aire y no puede conectarse a su red, por lo que el inicio de sesión se almacena en caché para permitirle iniciar sesión en su computadora.
user24313
1
Es común tener que iniciar sesión en el sistema operativo de forma interactiva antes de iniciar una conexión VPN. Si el inicio de sesión es imposible sin acceso en vivo a un DC, y un DC solo está disponible a través de VPN y una VPN solo está disponible después del inicio de sesión, tiene un desagradable catch-22. Las credenciales almacenadas en caché son una solución efectiva para eso.
Brandon
@Brandon que son. No estaba recomendando a todos que lo desactiven, simplemente noté que es común donde security is criticalevitará un ataque de fuerza bruta fuera de línea. La solución al problema de VPN es conectarse al inicio utilizando certificados de dispositivo en lugar de post-inicio de sesión con usuario / pase.
MDMarra
2

Sí, sus credenciales se almacenan en caché en cada máquina en la que inicia sesión. Si no había iniciado sesión en una máquina determinada antes de que el DC dejara de funcionar, no podrá iniciar sesión porque sus credenciales no estarán disponibles.

John
fuente
77
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- esto no es verdad. Si hay DC disponibles para autenticar el inicio de sesión, lo harán independientemente de si los créditos de ese usuario están en caché o no en la estación de trabajo local o en el servidor miembro. Las credenciales almacenadas en caché solo se usan cuando la estación de trabajo o el servidor miembro no pueden comunicarse con uno o más controladores de dominio para la autenticación. Los escenarios comunes en los que esto sucede incluyen computadoras portátiles que se desconectan de la red, no se puede acceder a los DC debido a una interrupción de la red o cualquier otra interrupción del servicio.
MDMarra
Ok, he modificado la respuesta para eliminar la información incorrecta.
John
-2

También vale la pena señalar que DC y el cuadro de cliente sincronizan los inicios de sesión periódicamente como parte de las operaciones de la política de grupo, pero solo mientras ambos están en línea.

Por ejemplo, puede iniciar sesión en su estación de trabajo (Alice) y desconectarla de la red, luego iniciar sesión en una segunda estación de trabajo (Bob) y cambiar la contraseña AD de su inicio de sesión (a través de ctrl-alt-del) de Bob. La contraseña se actualiza instantáneamente en Bob y DC (Charlie), pero sigue siendo el valor anterior (almacenado en caché) en Alice.

Si vuelve a conectar a Alice a la red, después de un momento o dos probablemente recibirá una notificación de burbuja de la barra de tareas que dice "Windows necesita sus credenciales actuales". Este es el resultado de que Alice y Charlie realizan la sincronización de la política de grupo de período. Ingresar su nueva contraseña validará su entrada contra Charlie y actualizará las credenciales almacenadas en caché en Alice.

Ryan
fuente
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. suspiro esto no tiene nada que ver con la Política de grupo. Tan pronto como necesite acceso a un recurso de red y sus credenciales en caché estén en uso, requerirá que se autentique. No hay "sincronización de contraseña" ni nada por el estilo, especialmente no de GPO. Es probable que vea esto de inmediato porque tiene asignaciones de unidades persistentes o un buzón de Exchange abierto, o algo así que necesita sus credenciales casi de inmediato.
MDMarra
1
Gracias por señalar su defecto con respecto a la Política de grupo. También debo señalar que tiene muy poco que ver con la sincronización de contraseñas entre sí y más con nuevos tickets / pares de claves que se solicitan / emiten. Mira esto si lo que acabo de decir no tiene sentido. msdn.microsoft.com/en-us/library/windows/desktop/… Es probable que haya abierto algo como Outlook o las asignaciones de unidades como mencionó MDMarra, ya que tratarán de autenticarse de inmediato, pero como tienen un par de tickets / claves antiguo, tendrá que recibir uno nuevo antes de que puedan proceder
Brad Bouchard