我理解,当 Windows 缓存用户凭据时,一旦包含缓存凭据的计算机受到攻击,恶意方有时会使用这些凭据访问其他计算机,这种方法称为“传递哈希”[1]。因此,我希望控制缓存的内容,以降低缓存凭据被恶意使用的风险。
可以通过将 归零来阻止所有缓存HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount,但这太不分青红皂白了:笔记本电脑用户需要能够在离开网络时登录。我想要做的是阻止缓存某些用户(例如管理员)的凭据——在 Windows XP 中有什么方法可以做到这一点吗?
答案1
正如许多关于该主题的文章中提到的那样,最佳做法是设置 CachedLogonsCount=1。当用户登录笔记本电脑时,管理员凭据将被刷新。务必向用户解释,他们需要在离开前连接到网络并登录,否则他们将被锁定。
另外值得注意的是,Pass-The-Hash 在 Kerberos 上不起作用。建议您在方便的地方禁用 NTLM 身份验证。
最近的发展:
利用 GPU(显卡)破解 NTLM 密码的程序越来越流行,而且速度极快。使用一台普通家用电脑,可以在不到 20 分钟的时间内破解 7 个字符的 NTLM 密码。禁用 NTLM 缓存变得越来越重要,因为从哈希中恢复密码变得更加容易(然后可以将其用于 Kerberos、http-digest 或其他身份验证方法)。
随着云计算的兴起,破解云中的 NTLM 密码使得“租用”资源在合理的时间内破解几乎任何 NTLM 哈希成为可能(尽管需要付出一定的代价)。鉴于这些发展,每个人都应该重新评估他们的密码长度和复杂性政策;限制 NTLM 哈希的使用和存储;并仔细评估(或猜测)一个邪恶的组织(竞争对手)愿意支付多少钱来访问您的系统。
答案2
笔记本电脑与台式机上的 gpo 设置!
答案3
最好的办法是使用管理员身份后删除所有缓存,然后让用户重新登录。
为了查看注册表中缓存的凭据,请以系统身份启动 regedit(除非您更改要修改的键的权限)
以管理员身份登录,加载命令提示符并输入:
在 xx:xx /interactive“regedit.exe”使用系统作为其所有者
导航至 HKLM\SECURITY\CACHE
用零覆盖 NL$1 至 10 中的数据。不要删除它们,也不要使用任何其他键。
我实际上没有这样做过,但您也应该能够安排 reg.exe 命令来执行同样的事情。