No Windows XP, é possível desabilitar o cache de credenciais do usuário para usuários específicos

Navegue suas respostas
1

Eu entendo que quando o Windows armazena em cache as credenciais do usuário, às vezes elas podem ser usadas por partes mal-intencionadas para acessar outras máquinas, uma vez que uma máquina contendo credenciais em cache é comprometida, um método conhecido como "passar o hash" [1]. Por esse motivo, gostaria de ter controle sobre o que é armazenado em cache para reduzir o risco de que as credenciais em cache sejam usadas de maneira mal-intencionada.

É possível evitar todo o cache zerando HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount , mas isso é indiscriminado: os usuários de laptops precisam ser capazes de fazer o login quando estiverem longe da rede. O que eu gostaria de fazer é impedir o armazenamento em cache de credenciais de determinados usuários, como administradores - existe alguma maneira de fazer isso no Windows XP?

  1. link
por kdt 21.05.2010 / 16:38

3 respostas

1

A melhor prática, como mencionado em muitos artigos sobre o assunto, é definir CachedLogonsCount = 1. Quando o usuário fizer login no laptop, as credenciais de administrador serão liberadas. Certifique-se de explicar ao usuário que ele precisa fazer o login enquanto estiver conectado à rede antes de sair ou será bloqueado.

Também vale notar que o Pass-The-Hash não funciona no Kerberos. É recomendável desativar a autenticação NTLM onde for conveniente.

Desenvolvimentos recentes:
Programas que aproveitam as GPUs (placas gráficas) para quebrar senhas NTLM estão se tornando mais populares e extremamente rápidas. Uma senha NTLM de 7 caracteres pode ser quebrada em < 20 minutos com um computador doméstico razoável. Desativar o armazenamento em cache do NTLM está se tornando mais importante à medida que a recuperação da senha do hash se torna mais fácil (o que pode ser usado para Kerberos, http-digest ou outros métodos de autenticação).

Com o surgimento da computação em nuvem, a quebra de senhas NTLM na nuvem tornou possível "alugar" os recursos para violar praticamente qualquer hash NTLM em um período de tempo razoável (embora a custo total). Considerando esses desenvolvimentos, todos devem reavaliar suas políticas de tamanho e complexidade de senha; limitando o uso e armazenamento de hashes NTLM; e cuidadosamente avaliando (ou adivinhando) o quanto uma organização nefasta (concorrente) pagaria para ter acesso aos seus sistemas.

    
por 14.01.2011 / 14:42
0

configurações de gPO em laptops versus desktops!

    
por 21.05.2010 / 17:15
0

A melhor opção é excluir todos os caches depois de usar o administrador e deixar o usuário fazer o login novamente.

Para exibir as credenciais em cache no registro, inicie o regedit como sistema (a menos que você altere as permissões na chave que será modificada)

Faça logon como administrador, carregue um prompt de comando e digite:

em xx: xx / interactive "regedit.exe", que usa o sistema como seu proprietário

navegue até HKLM \ SECURITY \ CACHE

Sobrescreva os dados em NL $ 1 a 10 com zeros. Não os exclua e não brinque com outras chaves.

Eu ainda não fiz isso, mas você também deve ser capaz de programar os comandos reg.exe para fazer a mesma coisa.

    
por 21.05.2010 / 17:12

Tags

Como posso instalar o servidor Ubuntu em um ambiente chroot? caminho do diretório mod_rewrite para diretório mais profundo