Windowsでのドメインログオン資格情報のキャッシュ
ドメインユーザーがWindowsにログオンすると、その資格情報はデフォルトでローカルコンピューターに保存されます(キャッシュされた資格情報:ユーザー名とパスワードハッシュ)。これにより、ADドメインコントローラーが使用できない、電源がオフになっている、またはネットワークケーブルがコンピューターから抜かれている場合でも、ユーザーはコンピューターにログオンできます。ドメインアカウントの資格情報のキャッシュは、企業ネットワークが利用できないときにデバイス上のローカルデータにアクセスできるラップトップユーザーにとって便利です。
ユーザーがこのコンピューターで少なくとも1回認証され、それ以降ドメインパスワードが変更されていない場合は、キャッシュされた資格情報を使用してWindowsにログオンできます。キャッシュされたクレデンシャルのユーザーパスワードは期限切れになりません。ドメインパスワードポリシーによってユーザーがパスワードを強制的に変更された場合、ローカルキャッシュに保存されているパスワードは、ユーザーが新しいパスワードでログオンするまで変更されません。コンピューターへの最後のログオン後にADのユーザーパスワードが変更され、コンピューターがオフライン(ドメインネットワークにアクセスできない)の場合、ユーザーは古いパスワードでコンピューターにログインできます。
Active Directoryドメインが使用できない場合、Windowsは、入力されたユーザー名とパスワードがローカルキャッシュと一致するかどうかを確認し、コンピューターへのローカルログオンを許可します。
キャッシュされたクレデンシャルは、regキー HKEY_LOCAL_MACHINE \ Security \ Cacheの下のレジストリに保存されます。 (%systemroot%\System32\config\SECURITY )。保存された各ハッシュはNL$ xに保存されます パラメータ(ここでx キャッシュされたデータインデックスです)。デフォルトでは、管理者でさえこのレジストリキーの内容を表示することはできませんが、必要に応じてアクセスできます。
ローカルキャッシュにキャッシュされた資格情報がない場合、オフラインのコンピューターにログオンしようとすると、次のメッセージが表示されます。
There are currently no logon servers available to service the logon request.
グループポリシーオプションを使用して、ドメインコンピューターのローカルキャッシュに資格情報を保存できる一意のユーザーの数を設定できます。ユーザーの資格情報をローカルキャッシュに保存するには、ユーザーは少なくとも1回はコンピューターにログオンする必要があります。
デフォルトでは、Windows10およびWindowsServer2016は10の資格情報を保存します 最近ログインしたユーザー。この値は、次のGPOオプションで変更できます– 対話型ログオン:キャッシュする以前のログオンの数(ドメインコントローラーが使用できない場合) 。これは、[コンピューターの構成]->[ポリシー]->[Windowsの設定]->[セキュリティの設定]->[ローカルポリシー]->[セキュリティオプション]にあります。 0から任意の値を設定できます 50へ 。
There are currently no logon servers available to service the logon request 。
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinlogonのREG_SZレジストリパラメータ 。 ユーザーが保存された資格情報を使用してログオンした場合、ドメインコントローラーが使用できないことはわかりません。 GPOを使用すると、キャッシュされた資格情報を使用してログオンするという通知を表示できます。これを行うには、GPOオプションユーザーのログオン中にログオンサーバーが利用できなかったときにレポートするを有効にします。 [コンピューターの構成]->[ポリシー]->[管理用テンプレート]->[Windowsコンポーネント]->[Windowsログオンオプション]のポリシー。
ユーザーがログオンすると、次の通知がトレイに表示されます。
A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes to your profile since you last logged on might not be available.このオプションは、レジストリから有効にできます:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon
- ValueName:
ReportControllerMissing - データ型:
REG_SZ - 値:
1
ローカルクレデンシャルキャッシングには、いくつかのセキュリティリスクがあります。キャッシュされたデータを使用してコンピューター/ラップトップに物理的にアクセスした後、攻撃者はブルートフォース攻撃を使用してパスワードハッシュを復号化できます。パスワードの長さと複雑さによって異なります。パスワードが複雑な場合、パスワードを侵害するのに非常に長い時間がかかります。したがって、ローカル管理者権限(またはドメイン管理者アカウント)を持つユーザーにキャッシュを使用することはお勧めしません。
セキュリティリスクを軽減するために、オフィスおよび管理者のコンピューターで資格情報のキャッシュを無効にすることができます。モバイルデバイスにキャッシュされるアカウントの数を1に減らすことをお勧めします。これは、管理者がコンピューターにログオンしてデータがキャッシュされた場合でも、デバイス所有者がログに記録した後、管理者のパスワードハッシュが上書きされることを意味します。オン。
機能レベルがWindowsServer2012 R2以降のADドメインの場合、ドメイン管理者アカウントを保護されたユーザーに追加できます。 グループ。このセキュリティグループでは、ローカルクレデンシャルのキャッシュは禁止されています。
ドメインに個別のGPOを作成して、さまざまなデバイスやユーザーカテゴリのキャッシュされた資格情報の使用を制御できます(たとえば、GPOセキュリティフィルター、WMIフィルターを使用する、またはGPPアイテムレベルのターゲティングを使用してCashedLogonsCountレジストリパラメーターを展開する)。
このようなポリシーにより、ドメインに参加しているデバイスから特権ユーザーのハッシュを取得する可能性が低くなります
CashedLogonsCount = 1 CashedLogonsCount = 0
-
Windows ログオン アプリケーションとは?
Windows オペレーティング システムでは、コンピューターでの作業中に多くのプロセスが実行されています。 Runtime Broker、システム割り込み、DWM などのプロセスに精通している必要があります。これらのすべてのプロセスには独自の重要性があり、Windows コンピューターの通常の操作に関与しています。 知っておくべき最も重要なプロセスの 1 つは、Windows ログオン アプリケーションまたは winlogon.exe です。 Windows ログオン アプリケーションとは何か、そしてその重要性について疑問に思っているはずです。そのすべてを知っておきましょう! Windo
-
「ユーザー プロファイル サービスがログオンに失敗しました」を修正する方法
Windows 10 または 7 にログインできませんか? 「ユーザー プロファイル サービスはログオンに失敗しました」というエラー メッセージによって停止されていますか?パニックにならないでください! ユーザー プロファイルが破損しているか、権限が正しくない可能性があります。ここでは、問題を修正する方法、または必要に応じて新しい問題を作成する方法について説明します。 100% の CPU 使用率、100% のディスク使用率、ほぼ満杯のディスクなど、Windows ユーザーは同様の問題に遭遇します。しかし、最もイライラするのは、破損したユーザー プロファイルです。ユーザー プロファイル