Einschränken zwischengespeicherter Anmeldeinformationen in Windows

Windows-Betriebssysteme, einschließlich 2000, XP und 2003, speichern die Anmeldeinformationen für die letzten 10 Benutzer im Cache. Diese…

Ermöglicht dem Benutzer die erneute Anmeldung zu einem späteren Zeitpunkt, auch wenn zum Zeitpunkt der Anmeldung nicht auf den Domänencontroller zugegriffen werden kann. Dies stellt zwar eine Fehlertoleranz gegenüber DC-Ausfallzeiten und Netzwerküberlastungen dar, ist jedoch ein schlechter Sicherheitszustand. Wenn Benutzer mit zwischengespeicherten Anmeldeinformationen angemeldet sind, verwenden sie veraltete Sicherheitsanmeldeinformationen. Neue Gruppenmitgliedschaften, Änderungen an Gruppenrichtlinienobjekten, Änderungen an Benutzerrechten usw. werden nicht angewendet. Dies ist eine ernsthafte Bedrohung für eine wirklich gesicherte Umgebung.
Um zwischengespeicherte Anmeldeinformationen zu deaktivieren, ändern Sie einfach die entsprechenden Gruppenrichtlinienobjekte, sodass jedes System in der Umgebung über die Steuerung “Computerkonfiguration”, “Windows-Einstellungen”, “Lokale Richtlinie” und “Sicherheitsoptionen” von “Interaktive Anmeldung: Anzahl der zuvor zwischenzuspeichernden Anmeldungen” verfügt (falls der Domänencontroller nicht verfügbar ist ) “zu 0 Anmeldungen (von der Standardeinstellung 10).
Ein weiteres wichtiges Problem bei zwischengespeicherten Anmeldungen ist das Entsperren einer Workstation. Eine Workstation kann gesperrt werden, wenn der Bildschirmschoner erfordert, dass das Kennwort des Benutzers auf dem Desktop angezeigt wird, oder wenn der Befehl Computer sperren im Menü Herunterfahren des Task-Managers oder im Dialogfeld Abmelden verwendet wird. In beiden Fällen überprüft das lokale System standardmäßig das Kennwort des Benutzers anhand der zwischengespeicherten Anmeldeinformationen. Selbst wenn das System so konfiguriert ist, dass zwischengespeicherte Anmeldeinformationen nicht beibehalten werden, werden die Anmeldeinformationen des aktuell angemeldeten Benutzers im aktiven Speicher zwischengespeichert, da der Benutzer an der Workstation angemeldet ist. Genau wie beim Problem der Domänenanmeldung über zwischengespeicherte Anmeldeinformationen wird ein Domänencontroller nicht konsultiert, wenn eine Workstation mit zwischengespeicherten Anmeldeinformationen entsperrt wird.
Um die Workstation zu zwingen, beim Entsperren einen Domänencontroller zu konsultieren, setzen Sie das Steuerelement Computerkonfiguration, Windows-Einstellung, Lokale Richtlinie, Sicherheitsoptionen auf “Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Entsperren der Workstation erforderlich” auf aktiviert.
Es sollte offensichtlich sein, dass diese Einstellungen zwar für Domänenbenutzer im Allgemeinen wichtig sind, sie jedoch besonders wichtig für Benutzerkonten auf Verwaltungsebene sind. In einer wirklich sicheren Umgebung möchten Sie jedes Mal, wenn ein Anmeldeereignis auftritt (einschließlich des Entsperrens einer Workstation), dass ein Domänencontroller kontaktiert wird. Das Verlassen auf zwischengespeicherte Anmeldeinformationen ist zwar effizienter, aber nicht sicherer.


James Michael Stewart ist Partner und Forscher bei ITinfopros, einer technologieorientierten Schreib- und Schulungsorganisation.

Similar Posts

Leave a Reply