도메인 사용자가 Windows에 로그온하면 기본적으로 해당 자격 증명이 로컬 컴퓨터에 저장됩니다(캐시된 자격 증명:사용자 이름 및 암호 해시). 이렇게 하면 AD 도메인 컨트롤러를 사용할 수 없거나 전원이 꺼지거나 네트워크 케이블이 컴퓨터에서 뽑혀도 사용자가 컴퓨터에 로그온할 수 있습니다. 도메인 계정 자격 증명 캐싱은 회사 네트워크를 사용할 수 없을 때 장치의 로컬 데이터에 액세스할 수 있는 랩톱 사용자에게 편리합니다.
Windows에서 도메인 사용자 자격 증명 캐싱
사용자가 이 컴퓨터에서 한 번 이상 인증을 받았고 그 이후로 도메인 암호가 변경되지 않은 경우 캐시된 자격 증명을 사용하여 Windows에 로그온할 수 있습니다. 현금화된 자격 증명의 사용자 암호는 만료되지 않습니다. 도메인 암호 정책에서 사용자가 암호를 변경하도록 하는 경우 사용자가 새 암호로 로그온할 때까지 로컬 캐시에 저장된 암호는 변경되지 않습니다. 컴퓨터에 마지막으로 로그온한 후 AD의 사용자 암호가 변경되었고 컴퓨터가 오프라인 상태(도메인 네트워크에 액세스하지 않음)인 경우 사용자는 이전 암호로 컴퓨터에 로그인할 수 있습니다.
Active Directory 도메인을 사용할 수 없는 경우 Windows는 입력한 사용자 이름과 암호가 로컬 캐시와 일치하는지 확인하고 컴퓨터에 로컬 로그온을 허용합니다.
캐시된 자격 증명은 레지스트리의 HKEY_LOCAL_MACHINE\Security\Cache 키 아래에 저장됩니다. (%systemroot%\System32\config\SECURITY ). 저장된 각 해시는 NL$x에 저장됩니다. 매개변수(여기서 x 캐시된 데이터 인덱스입니다). 기본적으로 관리자도 이 레지스트리 키의 내용을 볼 수 없지만 필요한 경우 액세스할 수 있습니다.
로컬 캐시에 캐시된 자격 증명이 없는 경우 오프라인 컴퓨터에 로그온하려고 할 때 다음 메시지가 표시됩니다.
There are currently no logon servers available to service the logon request.
그룹 정책으로 캐시된 자격 증명 구성
그룹 정책 옵션을 사용하여 도메인 컴퓨터의 로컬 캐시에 자격 증명을 저장할 수 있는 고유한 사용자 수를 설정할 수 있습니다. 사용자 자격 증명을 로컬 캐시에 저장하려면 사용자가 컴퓨터에 한 번 이상 로그온해야 합니다.
기본적으로 Windows 10 및 Windows Server 2016은 10의 자격 증명을 저장합니다. 최근 로그인한 사용자. 다음 GPO 옵션을 사용하여 이 값을 변경할 수 있습니다. 대화형 로그온:캐시할 이전 로그온 수(도메인 컨트롤러를 사용할 수 없는 경우) . 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 보안 옵션에서 찾을 수 있습니다. 0에서 아무 값이나 설정할 수 있습니다. 50으로 .
There are currently no logon servers available to service the logon request라는 오류가 표시됩니다. .
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon의 REG_SZ 레지스트리 매개변수 . 사용자가 저장된 자격 증명으로 로그온하면 도메인 컨트롤러를 사용할 수 없다는 것을 알 수 없습니다. GPO를 사용하면 캐시된 자격 증명을 사용하여 로그온한다는 알림을 표시할 수 있습니다. 이를 수행하려면 GPO 옵션 사용자 로그온 중에 로그온 서버를 사용할 수 없을 때 보고를 활성화합니다. 컴퓨터 구성 -> 정책 -> 관리 템플릿 -> Windows 구성 요소 -> Windows 로그온 옵션 아래의 정책
그러면 사용자 로그온 후 트레이에 다음 알림이 표시됩니다.
A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes to your profile since you last logged on might not be available.이 옵션은 레지스트리를 통해 활성화할 수 있습니다.
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon
- 값 이름:
ReportControllerMissing - 데이터 유형:
REG_SZ - 값:
1
캐시된 Windows 자격 증명의 보안 위험
로컬 자격 증명 캐싱에는 몇 가지 보안 위험이 있습니다. 캐시된 데이터가 있는 컴퓨터/노트북에 물리적으로 액세스한 후 공격자는 무차별 대입 공격을 사용하여 암호 해시를 해독할 수 있습니다. 암호의 길이와 복잡성에 따라 다릅니다. 암호가 복잡하면 암호를 무차별 공격하는 데 엄청난 시간이 걸립니다. 따라서 로컬 관리자 권한(또는 도메인 관리자 계정)이 있는 사용자에게는 캐싱을 사용하지 않는 것이 좋습니다.
Windows 도메인 네트워크에서 관리자 계정을 안전하게 유지하는 방법에 대해 자세히 알아보세요.보안 위험을 완화하기 위해 사무실 및 관리자 컴퓨터에서 자격 증명 캐싱을 비활성화할 수 있습니다. 모바일 장치의 캐시된 계정 수를 1로 줄이는 것이 좋습니다. 이는 관리자가 컴퓨터에 로그온하고 데이터가 캐시된 경우에도 장치 소유자가 로그인한 후 관리자의 암호 해시를 덮어씁니다. 에.
기능 수준 Windows Server 2012 R2 이상이 있는 AD 도메인의 경우 보호된 사용자에 도메인 관리자 계정을 추가할 수 있습니다. 그룹. 이 보안 그룹에는 로컬 자격 증명 캐싱이 금지되어 있습니다.
도메인에 별도의 GPO를 만들어 다양한 장치 및 사용자 범주에 대해 캐시된 자격 증명 사용을 제어할 수 있습니다(예:GPO 보안 필터, WMI 필터 사용 또는 GPP 항목 수준 대상 지정을 사용하여 CashedLogonsCount 레지스트리 매개변수 배포).
- 모바일(노트북) 사용자의 경우:
CashedLogonsCount = 1 - 사무실 데스크톱의 경우:
CashedLogonsCount = 0
이러한 정책은 도메인 가입 장치에서 권한 있는 사용자 해시를 얻을 가능성을 줄입니다.