Windows erleichtert die Anmeldung am Computer, selbst wenn keine Netzwerkverbindung besteht, dank zwischengespeicherter Anmeldeinformationen. Dabei wird ein Hash Ihres Benutzernamens und Passworts gespeichert, sodass Sie sich auch ohne Domänencontroller lokal anmelden können. Das ist ideal für mobile Mitarbeiter oder alle, die nicht ausgesperrt werden möchten. Allerdings birgt diese Funktion auch Sicherheitsrisiken, wenn sie nicht ordnungsgemäß verwaltet wird. Gelangt jemand in den Besitz dieser zwischengespeicherten Daten, könnte er versuchen, das Passwort per Brute-Force-Angriff zu knacken, insbesondere wenn es schwach ist. Daher kann es Ihnen viel Ärger ersparen, wenn Sie verstehen, wie diese Zwischenspeicherung funktioniert, sie korrekt konfigurieren und wissen, wie Sie zwischengespeicherte Passwörter löschen.
So beheben und verwalten Sie zwischengespeicherte Anmeldeinformationen in Windows
Informationen zu zwischengespeicherten Domänenanmeldeinformationen
Wenn sich ein Benutzer mindestens einmal an einem Windows-PC angemeldet hat, während er mit der Domäne verbunden war, speichert Windows eine gehashte Version seiner Anmeldeinformationen auf dem lokalen Rechner. Dies geschieht in der Registrierung unter HKEY_LOCAL_MACHINE\Security\Cache in der Datei %systemroot%\System32\config\SECURITY. Jeder Hash wird als NL$x-Parameter gespeichert, wobei „x“ lediglich ein Index für die jeweilige zwischengespeicherte Anmeldeinformation ist. Ziemlich raffiniert, aber die Hashes geben das Passwort nicht im Klartext preis – es ist vollständig verschlüsselt und verwendet Salt- und Hash-Formate wie mscash2. Bei manchen Konfigurationen werden die letzten zehn Benutzeranmeldeinformationen gespeichert, dies kann jedoch angepasst werden. Bei der Offline-Anmeldung vergleicht Windows die eingegebenen Daten mit diesen Hashes. Stimmen sie überein, ist die Anmeldung möglich.
Hinweis: Windows zeigt die zwischengespeicherten Anmeldeinformationen nicht direkt in der Registrierung an. Dafür sind spezielle Tools erforderlich, wie z. B.die Ausführung von Regedit.exe mit NT-AUTORITY\SYSTEM- Rechten über PsExec – natürlich muss es das Ganze etwas komplizierter gestalten. Stimmt der zwischengespeicherte Hashwert überein, werden Sie angemeldet und die Ereignis-ID 4624 mit dem Anmeldetyp 11 (CachedInteractive) wird protokolliert. Dies ist nützlich für Überwachungszwecke. Sind keine zwischengespeicherten Anmeldeinformationen vorhanden und Sie sind offline, erhalten Sie eine Meldung wie „Es sind derzeit keine Anmeldeserver verfügbar…“.
Konfigurieren Sie, wie viele Anmeldeinformationen zwischengespeichert werden
Wenn Caching für Ihre Systemkonfiguration – beispielsweise bei Laptops, die von mehreren Personen genutzt werden – nicht sinnvoll ist, können Sie die Anzahl der von Windows gespeicherten Anmeldeinformationen anpassen. Dies erfolgt üblicherweise über Gruppenrichtlinien unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen. Suchen Sie nach „ Interaktive Anmeldung: Anzahl der zwischenzuspeichernden vorherigen Anmeldungen “.Der Standardwert ist 10, Sie können ihn jedoch je nach Bedarf zwischen 0 (kein Cache) und 50 einstellen.
Wenn der Wert auf 0 gesetzt wird, wird das Caching verhindert, wodurch die Offline-Anmeldung praktisch unmöglich wird. Das bedeutet, dass Benutzern die Meldung „Es sind derzeit keine Anmeldeserver verfügbar…“ angezeigt wird, wenn der Domänencontroller nicht erreichbar ist. Sie können diesen Schlüssel auch manuell über die Registrierung unter „/var/login/cache“ festlegen HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, indem Sie den Wert „CachedLogonsCountREG_SZ “ bearbeiten.
Sie können außerdem eine Benachrichtigung aktivieren, die Benutzer informiert, wenn ihre letzte Anmeldung aufgrund eines fehlenden Domänencontrollers fehlgeschlagen ist. Aktivieren Sie dazu einfach die Option „ Melden, wenn der Anmeldeserver während der Benutzeranmeldung nicht verfügbar war “ in den Gruppenrichtlinien unter Administrative Vorlagen > Windows-Komponenten > Windows-Anmeldung. Anschließend erhalten die Benutzer eine Meldung wie „Es konnte kein Domänencontroller für Ihre Domäne erreicht werden…“ in der Taskleiste. Dies ist hilfreich bei der Fehlerbehebung oder um die Benutzer auf dem Laufenden zu halten.
Warum zwischengespeicherte Anmeldeinformationen ein Sicherheitsproblem darstellen können
Hier wird es etwas heikel – zwischengespeicherte Anmeldeinformationen stellen ein potenzielles Sicherheitsrisiko dar. Wenn jemand einen Laptop stiehlt oder physischen Zugriff erlangt, kann er versuchen, die Hashes per Brute-Force-Angriff zu knacken oder zu entschlüsseln. Komplexe Passwörter sind hier definitiv hilfreich, da längere und komplexere Passwörter schwerer zu knacken sind. Für Domänenadministratoren oder lokale BYOD-Geräte ist es daher sinnvoll, das Caching zu reduzieren oder zu deaktivieren.
Bei Mobilgeräten empfiehlt es sich, die Anzahl der zwischengespeicherten Anmeldeinformationen auf eine einzige zu beschränken. So wird bei jeder Anmeldung die vorherige überschrieben, was das Sammeln mehrerer Hashes erschwert. Zusätzlich bietet die Aktivierung einer vollständigen Festplattenverschlüsselung wie BitLocker eine weitere Schutzebene. Und wenn Sie ganz sichergehen wollen, fügen Sie privilegierte Konten der Gruppe „Geschützte Benutzer“ hinzu – Mitglieder dieser Gruppe können ihre Anmeldeinformationen überhaupt nicht zwischenspeichern.
Ein kleiner Hinweis am Rande: Benutzer, die sich nach dem Speichern ihrer Anmeldeinformationen über VPN anmelden, könnten gesperrt werden, wenn sich Passwörter in der Domäne ändern und der lokale Cache nicht aktualisiert wird. Um dies zu verhindern, empfiehlt es sich, Windows so zu konfigurieren, dass die VPN-Verbindung nach Möglichkeit vor der Anmeldung hergestellt wird.
So löschen Sie zwischengespeicherte Anmeldeinformationen
Wenn die zwischengespeicherten Hashes bereinigt werden müssen, müssen die Einträge mit dem Präfix NL$## aus der Registrierung gelöscht werden. Dies manuell durchzuführen ist jedoch umständlich, da hierfür Systemrechte erforderlich sind. Am einfachsten lässt sich der Wert für CachedLogonsCount per Gruppenrichtlinie oder Befehl auf 0 setzen und anschließend ein Update erzwingen gpupdate /force. Alternativ kann folgender Befehl in einer Eingabeaufforderung mit Administratorrechten ausgeführt werden:
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v CachedLogonsCount /t REG_SZ /d 0 /f
Sobald dies abgeschlossen und die Richtlinien aktualisiert sind, werden die zwischengespeicherten Anmeldeinformationen gelöscht. Anschließend können Sie die Anzahl wieder auf den gewünschten Wert (z. B.10) zurücksetzen, und Windows beginnt erneut mit dem Zwischenspeichern für nachfolgende Anmeldungen.
Ich bin mir nicht sicher, warum das so funktioniert, aber nach dem Leeren des Caches oder dem Deaktivieren der Cache-Einstellung müssen sich Benutzer beim nächsten Mal normal anmelden, und die Anmeldeinformationen werden, sofern entsprechend konfiguriert, erneut gespeichert. Das ist etwas umständlich, aber Sicherheit geht vor, nicht wahr?
Zusammenfassung
- Zwischengespeicherte Anmeldeinformationen ermöglichen es Benutzern, sich offline anzumelden; sie werden sicher in Registry-Hashes gespeichert.
- Passen Sie die Anzahl der zwischengespeicherten Anmeldeinformationen über Gruppenrichtlinien oder die Registrierung an.
- Das Deaktivieren oder Verkleinern des Caches trägt zur Sicherheit bei, insbesondere auf Mobilgeräten.
- Um zwischengespeicherte Daten zu löschen, passen Sie die Registrierung an oder setzen Sie die Cache-Anzahl auf Null und aktualisieren Sie anschließend die Richtlinien.
Zusammenfassung
Der Umgang mit zwischengespeicherten Anmeldeinformationen in Windows erfordert ein gewisses Fingerspitzengefühl – Komfort versus Sicherheit. Einerseits wird so verhindert, dass Benutzer offline ausgesperrt werden, andererseits entstehen potenzielle Sicherheitslücken, wenn Anmeldeinformationen unsicher zwischengespeichert werden. Passen Sie die Einstellungen sorgfältig an Ihre Umgebung an und vergessen Sie nicht, die Anmeldeinformationen beim Einführen neuer Sicherheitsrichtlinien zu löschen. Hoffentlich spart dies jemandem, der seine Domänensicherheit verbessern möchte, einige Stunden. Ich drücke die Daumen!