desativa o cache de credenciais de administradores de domínio

Navegue suas respostas
3

As máquinas no AD (domínio) armazenam em cache as credenciais de usuário do domínio no padrão, e eu gosto desse comportamento, não apenas porque é especialmente útil no caso de laptops. O número de últimos logons a serem armazenados em cache pode ser facilmente alterado por meio do GPO.

MAS, aqui está a coisa. Eu estou procurando uma maneira como não permitir que a senha dos administradores de domínio seja armazenada em cache em qualquer computador na rede. A razão pela qual eu quero isso é malware - nós não queremos ter todo o domínio comprometido apenas por causa de uma máquina infectada, certo?!

Pergunta 1:

Como desativar corretamente o cache de credenciais apenas para usuários administradores de domínio (e deixá-lo habilitado para "usuários autenticados" normais) no GPO ?

Acredito que seja alcançado definindo Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options GPO container\Interactive logon: Number of previous logons to cache (in case domain controller is not available) para 0

Mas ainda não descobri como aplicá-lo com êxito apenas para administradores de domínio: (

-

Pergunta 2:

Além disso ... estou ciente de que preciso definir políticas de senha / credenciais na ramificação do GPO "Diretiva de Domínio Padrão" apenas para permitir que elas realmente sejam ativadas / executadas? Mas ... Essa é a única exceção? Quais políticas são aquelas para ter essa exceção? É toda a ramificação "Configurações de segurança"? Ou apenas alguns de seus sub-ramos? Ou alguma outra coisa? Como isso é indicado no console de Gerenciamento de Diretiva de Grupo?

Usando o Windows Server 2012R2

    
por crysman 06.03.2017 / 17:41

1 resposta

2

Se o nível funcional do seu domínio for o Windows Server 2012 R2 ou superior e os computadores clientes forem o Windows 8.1 ou mais recente, você poderá oferecer proteção adicional aos usuários selecionados adicionando-os ao Grupo de Usuários Protegidos .

Members of the Protected Users group who authenticate to a Windows Server 2012 R2 domain can no longer authenticate by using:

  • ...
  • Sign-in offline. A cached verifier is not created at sign-in.

Cuidado! Certifique-se de que nem todas as contas com privilégios são membros de Usuários Protegidos antes que você termine de testar a alteração. É possível bloquear-se em algumas circunstâncias ( leitura adicional ).

Em resposta à sua segunda pergunta: as políticas que devem ser aplicadas aos controladores de domínio são aquelas que afetam o banco de dados de contas e a autenticação. Por exemplo, as diretivas de senha devem ser aplicadas em um controlador de domínio porque não faz sentido que uma única estação de trabalho esteja gerenciando credenciais para uma conta de domínio. A resposta da falha do servidor vinculada por Twisty nos comentários é útil.

    
por 06.03.2017 / 18:14

Tags

Por que o sed só funciona na saída direta do eco? Subdomínio de curinga retornando ERR_NAME_NOT_RESOLVED