计算机网络密码凭据,网络访问: 不允许存储网络身份验证的密码和凭据

网络访问: 不允许存储网络身份验证的密码和凭据

04/01/2016

本文内容

介绍了有关“网络访问: 不允许存储网络身份验证的密码和凭据”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。

参考

此安全设置确定凭据管理器在获得域身份验证后是否可以保存密码和凭据以供以后使用。

可能值

已启用

凭据管理器不会在设备上存储密码和凭据

已禁用

凭据管理器会在此计算机上存储密码和凭据以供以后用于域身份验证。

未定义

最佳做法

建议禁用 Windows 操作系统在任何不需要凭据的设备上缓存凭据的功能。对你的服务器和工作站进行评估以确定要求。缓存的凭据主要设计用于在与域断开连接后要求提供域凭据的笔记本电脑。

位置

计算机配置\Windows 设置\安全设置\本地策略\安全选项

默认值

下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。

服务器类型或组策略对象 (GPO)

默认值

默认域策略

禁用

默认域控制器策略

禁用

独立服务器默认设置

禁用

域控制器有效默认设置

未定义

成员服务器有效默认设置

未定义

客户端计算机上的有效 GPO 默认设置

未定义

策略管理

本部分介绍可用于帮助管理此策略的功能和工具。

重新启动要求

当以本地方式保存或通过组策略分配对本策略的更改时，无需重新启动设备即可使此策略生效。

组策略

此策略设置可使用组策略管理控制台 (GPMC) 配置为通过组策略对象 (GPO) 进行分配。如果此策略未包含在分配的 GPO 中，可以在本地计算机上通过使用本地安全策略管理单元来配置此策略。

安全注意事项

本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。

漏洞

用户在登录到设备时可以访问缓存的密码。虽然此信息可能看上去毫无问题，但当用户在不知情的情况下运行用于读取密码并将其转发给其他未经授权的用户的恶意软件时会引发问题。

注意

对于有效地实现和管理组合使用合理的软件限制策略的企业防病毒解决方案的组织，将显著降低此攻击和涉及恶意软件的其他攻击的成功几率。

无论使用何种加密算法来加密密码验证程序，都可以覆盖密码验证程序，如此攻击者就可以作为验证程序所属的用户进行身份验证。因此，可能会覆盖管理员的密码。此过程需要具有对设备的物理访问权限。存在可帮助覆盖缓存的验证程序的实用程序。通过使用这些实用程序之一，攻击者可以通过使用覆盖的值进行身份验证。

覆盖管理员的密码不会帮助攻击者访问使用该密码加密的数据。此外，覆盖密码不会帮助攻击者访问属于该设备上的其他用户的任何加密文件系统 (EFS) 数据。覆盖密码不会帮助攻击者替换验证程序，因为基本的密钥材料不正确。因此，不会解密通过使用加密文件系统或数据保护 API (DPAPI) 加密的数据。

对策

启用“网络访问: 不允许存储网络身份验证的密码和凭据”设置。

若要限制计算机上存储的域凭据的更改数量，请设置 cachedlogonscount 注册表条目。默认情况下，操作系统会为每个唯一用户的十个最近有效登录缓存验证程序。可以将此值设置为介于 0 到 50 之间的任何值。默认情况下，所有版本的 Windows 操作系统都会记住 10 个缓存的登录，而设置为 25 的 Windows Server 2008 和更高版本除外。

当你尝试从基于 Windows 的客户端设备登录到域，而域控制器不可用时，你不会收到错误消息。因此，你可能不会注意到，你已使用缓存的域凭据登录。通过使用 ReportDC 注册表条目，你可以设置使用缓存的域凭据的登录通知。

潜在影响

每当用户登录其 Microsoft 帐户或对其域帐户没有访问权限的其他网络资源时，强制用户键入密码。此策略设置应对访问网络资源的用户没有任何影响，这些资源配置为允许使用其基于 Active Directory 的域帐户进行访问。

相关主题