Cuando un usuario de dominio inicia sesión en Windows, sus credenciales se guardan en una computadora local de forma predeterminada (Credenciales en caché: un nombre de usuario y un hash de contraseña). Esto permite al usuario iniciar sesión en la computadora incluso si los controladores de dominio de AD no están disponibles, apagados o si el cable de red está desconectado de la computadora. El almacenamiento en caché de las credenciales de la cuenta de dominio es conveniente para los usuarios de equipos portátiles que pueden acceder a sus datos locales en un dispositivo cuando la red corporativa no está disponible.

Almacenamiento en caché de las credenciales de usuario del dominio en Windows

Las credenciales almacenadas en caché se pueden usar para iniciar sesión en Windows si un usuario se ha autenticado en esta computadora al menos una vez y su contraseña de dominio no se ha cambiado desde entonces. La contraseña de usuario en las credenciales cobradas nunca caduca. Si la política de contraseñas de dominio obliga a un usuario a cambiar la contraseña, la contraseña guardada en la caché local no cambiará hasta que el usuario inicie sesión con una nueva contraseña. Si la contraseña de usuario en AD se ha cambiado después del último inicio de sesión en la computadora y la computadora ha estado fuera de línea (sin acceso a la red de dominio), el usuario podrá iniciar sesión en la computadora con la contraseña anterior.

Si el dominio de Active Directory no está disponible, Windows verifica si el nombre de usuario y la contraseña ingresados ​​coinciden con la caché local y permite el inicio de sesión local en la computadora.

Las credenciales en caché se almacenan en el registro con la clave reg HKEY_LOCAL_MACHINE Security Cache (%systemroot%System32configSECURITY). Cada hash guardado se almacena en el NL $ x parámetro (donde x es un índice de datos en caché). De forma predeterminada, incluso un administrador no puede ver el contenido de esta clave de registro, pero puede obtener acceso si es necesario.

El hash de la contraseña se modifica usando sal basado en el nombre de usuario y guardado en el registro.

Si borra el valor de NL $ x, se eliminarán las credenciales de usuario almacenadas en caché.

Si no hay credenciales almacenadas en caché en la caché local, verá el siguiente mensaje cuando intente iniciar sesión en una computadora sin conexión:

There are currently no logon servers available to service the logon request.

Error de inicio de sesión de Windows: actualmente no hay servidores de inicio de sesión disponibles para atender la solicitud de inicio de sesión.

Configuración de credenciales en caché con directiva de grupo

Puede establecer el número de usuarios únicos, cuyas credenciales se pueden guardar en la memoria caché local de los equipos del dominio con la opción Política de grupo. Para que las credenciales de usuario se almacenen en la caché local, el usuario debe iniciar sesión en la computadora al menos una vez.

De forma predeterminada, Windows 10 y Windows Server 2016 almacenan las credenciales de 10 usuarios registrados recientemente. Puede cambiar este valor con la siguiente opción de GPO: Inicio de sesión interactivo: número de inicios de sesión anteriores en caché (en caso de que el controlador de dominio no esté disponible). Puede encontrarlo en Configuración de la computadora -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad. Puede establecer cualquier valor desde 0 a 50.

Si pones 0, esto evitará que Windows almacene en caché las credenciales de usuario. En este caso, cuando el dominio no está disponible y un usuario intenta iniciar sesión, verá el error: There are currently no logon servers available to service the logon request.

Inicio de sesión interactivo: número de inicios de sesión anteriores en caché (en caso de que el controlador de dominio no esté disponible) - GPO para restringir el uso de credenciales almacenadas en caché en Windows

También puede configurar esta opción a través del CobradoLogonsCount Parámetro de registro REG_SZ en HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon.

Si un usuario inicia sesión con las credenciales guardadas, no ve que el controlador de dominio no está disponible. Con GPO, puede mostrar una notificación sobre el uso de credenciales almacenadas en caché para iniciar sesión. Para hacerlo, habilite la opción GPO Informar cuando el servidor de inicio de sesión no estaba disponible durante el inicio de sesión del usuario política en Configuración del equipo -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Opciones de inicio de sesión de Windows.

GPO: informe cuando el servidor de inicio de sesión no estaba disponible durante el inicio de sesión del usuario

Luego, la siguiente notificación aparecerá en la bandeja después de que un usuario inicie sesión:

A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes to your profile since you last logged on might not be available.
Esta opción se puede habilitar a través del registro:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon

  • ValueName: ReportControllerMissing
  • Tipo de datos: REG_SZ
  • Valor: 1

Riesgos de seguridad de las credenciales de Windows almacenadas en caché

El almacenamiento en caché de credenciales local tiene algunos riesgos de seguridad. Después de obtener un acceso físico a una computadora / computadora portátil con los datos almacenados en caché, un atacante puede descifrar el hash de su contraseña mediante un ataque de fuerza bruta. Depende de la longitud y complejidad de la contraseña. Si una contraseña es complicada, se necesita una gran cantidad de tiempo para descifrarla. Por lo tanto, no se recomienda utilizar el almacenamiento en caché para usuarios con permisos de administrador local (o, además, cuenta de administrador de dominio).

Para mitigar los riesgos de seguridad, puede deshabilitar el almacenamiento en caché de credenciales en las computadoras de la oficina y del administrador. Se recomienda reducir la cantidad de cuentas almacenadas en caché en dispositivos móviles a 1. Significa que incluso si un administrador ha iniciado sesión en una computadora y sus datos han sido almacenados en caché, el hash de contraseña del administrador se sobrescribirá después de que el propietario del dispositivo inicie sesión. en.

Para dominios AD con nivel funcional Windows Server 2012 R2 o más reciente, puede agregar cuentas de administrador de dominio al Usuarios protegidos grupo. El almacenamiento en caché de credenciales local está prohibido para este grupo de seguridad.

Puede crear GPO separados en su dominio para controlar el uso de credenciales almacenadas en caché para diferentes dispositivos y categorías de usuarios (por ejemplo, usando filtros de seguridad GPO, filtros WMI o implementando el parámetro de registro CashedLogonsCount usando la segmentación de nivel de elemento GPP).

  • Para usuarios de dispositivos móviles (portátiles): CashedLogonsCount = 1
  • Para escritorios de oficina: CashedLogonsCount = 0

Dichas políticas reducirán la posibilidad de obtener hashes de usuarios privilegiados de dispositivos unidos al dominio.

Recomendado para ti