Вхід в систему при недоступності контролера домену
При вході на комп'ютер з доменної обліковим записом користувач вводить свої облікові дані, які передаються на найближчий контролер домену для перевірки автентичності. Якщо в мережевому оточенні не доступно жодних певних контролери домену, то облікові дані перевірити нікому і в систему користувач увійти не зможе.
Щоб уникнути подібної ситуації, після успішного входу в систему облікові дані користувача зберігаються в кеш на локальному комп'ютері. Це дозволяє увійти в систему з доменними обліковими даними і отримати доступ до ресурсів локального комп'ютера навіть за відсутності підключення до домену.
Примітка. Якщо бути точним, то кешування не власними облікові дані (логін і пароль), а результат їх перевірки. Ще точніше система зберігає хеш пароля, модифікований за допомогою солі (salt), яка в свою чергу, генерується на основі імені користувача. Кешовані дані зберігаються в розділі реєстру HKLM \ SECURITY \ Cache, доступ до якого має тільки система.
За можливість кешування відповідає параметр реєстру CashedLogonsCount, що знаходиться в розділі HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. Цей параметр визначає кількість унікальних користувачів, чиї облікові дані зберігаються локально. За замовчуванням значення параметра дорівнює 10, що означає наступне: облікові дані зберігаються для останніх 10 користувачів, що заходили в систему, а при вході на комп'ютер одинадцятого користувача облікові дані першого налаштування будуть перезаписані.
Управляти значенням CashedLogonsCount можна централізовано, за допомогою групових політик. Для цього необхідно створити новий GPO (або відкрити існуючий), перейти в розділ Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Local Policies \ Security Options і знайти параметр Interactive logon: Number of previous logons to cache (in case domain controller is not available).
За замовчуванням цей параметр не визначений (Not Defined), відповідно на всіх комп'ютерах використовується дефолтний значення. Для його зміни треба включити параметр і вказати необхідне значення в межах від 0 до 50. Значення, рівне 0, означає заборону на кешування облікових даних, відповідно при цьому значенні вхід в систему при недоступності контролера домену неможливий.
Оскільки теоретично при наявності фізичного доступу до комп'ютера у зловмисника є можливість скористатися збереженими обліковими даними, то для підвищення безпеки рекомендується відключати локальне кешування. Виняток можуть скласти користувачі мобільних пристроїв (ноутбуків, планшетів і т.п.), які користуються пристроями як на роботі, так і поза нею. Для таких користувачів кількість кешованих входів можна задати в межах 1-2. Цього цілком достатньо для роботи.
І на завершення пара важливих моментів:
• Для того, щоб облікові дані були закеширувалася необхідно, щоб користувач хоча-б раз зайшов на комп'ютер під своєю доменної обліковим записом при доступному контролері домену.
• Досить часто параметр CashedLogonsCount трактують як кількість входів в систему при відсутності доступу до домену. Це не так, і якщо облікові дані користувача закеширувалася локально, то він зможе заходити в систему необмежену кількість разів.