Cached Domain Logon ortamda herhangi bir Domain Controller bulunmaması ya da kullanıcının mevcut bir Internet bağlantısı olmaması (ya da offline olması) durumunda Active Directory Domain’inde oturum açabilmesini sağlar.
Bu özellik çok kullanışlı olmakla beraber sistem ve kullanıcı açısından bazı riskleri de içermektedir. Bu makalede bu riskleri değerlendirerek güvenliği arttırmak için neler yapabileceğimizi inceleyeceğiz.
CACHED DOMAIN LOGON NASIL ÇALIŞIR?
Cached Domain Logon özelliği ancak kullanıcı en az bir kez geçerli bir şifreyle oturum açmışsa kullanılabilir. Oturum açıldığında Windows şifrenizin MD4 (2 kez) hash’ını kullanıcı adınızla beraber şifreleyerek önbelleğine alır ve yerel diskte saklar. Aynı kullanıcının daha sonra Domain Controller’a erişimi yoksa işletim sistemi yerel olarak saklanan şifre hashini kullanarak kimlik doğrulaması yapar. (Makalede incelenen hususlar Windows XP, Vista ve 7 için geçerlidir)
(Ayrıntılı bilgi için http://support.microsoft.com/kb/913485 adresindeki makale incelenebilir.)
İşletim sisteminiz varsayılan olarak 10 adet oturuma ait şifre bilgisini saklar. Bu durum birden fazla kullanıcı tarafından kullanılan bilgisayarlarda kullanıcı daha önce oturum açmış olsa bile cached domain logon özelliğinin kullanılamamasına sebep olabilir.
Cached Domain Logon özelliğinin avantajı kullanıcının hiç bir DC’ye ve hatta networke bağlantısı olmaması durumunda bile domain hesabına ait masaüstüne erişebiliyor olmasıdır.
DEZAVANTAJLARI
Özelliğin en büyük dezavantajı yerel olarak saklanan şifre hash’larının yarattığı güvenlik riskidir. Özellikle taşınabilir bilgisayar kullanıcıları için bu risk daha büyüktür. Bilgisayarın yanlış ve kötü niyetli ellere geçmesi durumunda şifre bilginiz de yanlış ellere geçebilir. Bazı sistem yöneticilerin client’larla çalışırken domain admin’ine ait hesapla oturum açtığını göz önüne alırsak riskin büyüklüğü ortaya çıkacaktır. Bu durum bütün network’ü tehdit edebilir.
Bu risk önbelleğe alınacak şifre sayısının 1′e düşürülmesiyle azaltılabilir.
Bu işlem Yerel Grup İlkesi Düzenleyicisi (Group Policy Editor) ya da doğrudan kayıt defteri üzerinden yapılabilir.
1-Yerel Grup İlkesi Düzenleyicisi ile
Bilgisayar Yapılandırması > Windows Ayarları > Güvenlik Ayarları > Yerel İlkeler > Güvenlik Seçenekleri başlığı altında Etkileşimli oturum açma: Önbelleğe alınacak önceki oturum sayısı (etki alanı denetleyicisinin olmadığı durumlarda) maddesi değeri varsayılan olarak 10′dur. Bu değer 1 yapılmalıdır.
2- Kayıt defteri üzerinden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon dizini altında CachedLogonCounts anahtarının değeri 1 yapılmalıdır.
Bu işlemlerle beraber bilgisayarda Domain Admin hesabıyla oturum açılmış olsa bile ardından normal bir kullanıcının oturum açmasıyla beraber admin hesabına ait bilgiler silinecektir. Bilgisayar kötü niyetli ellere geçse bile elde edebileceği sadece normal bir kullanıcı hesabı olacaktır.
Bu problemden korunmanın daha güvenli bir yolu ise diski Bitlocker ile şifrelemektir.
Cached Domanin Logon özelliğinin başka bir dezavantajı bir network bağlantısı problemi olduğu durumda kullanıcının zaten oturum açabildiği için bunu farketmemesi ve dolayısıyla problemin tespitinin gecikmesidir. Bu durumda güvenlik ilkeleri uygulanayamayacak, windows güncelleştirmeleri ve antivirüs güncelleştirmeleri yapılamayacaktır. Uzun bir süre sonra bilgisayarın bu halde onnline olarak sisteme dahil olması sistem açısından da riskleri beraberinde getirecektir.
Eğer sistemde Gezici Profiller (Roaming Profiles) kullanılıyorsa bir uyarı gözükerek size bağlantı problemi konusunda uyarı verecektir fakat normal bir kullanıcının bu mesajı dikkate almayacağını tahmin edebiliriz.
CACHED DOMAIN LOGON NASIL DEVRE DIŞI BIRAKILIR?
Yukarıda varsayılan ayar olan 10 şifre saklama sınırını 0 (Sıfır)’a çekerek bu özellik devre dışı bırakılabilir. Yine Yerel Grup İlkesi Düzenleyicisi ya da Kayıt Defteri düzenleyicisi kullanılmalıdır. Değeri 0 (Sıfır) yapmanızın ardından bilgisaayrınızı yeniden başlattığınızda kayıtlı şifreler silinecektir.
Bu durumda kullanıcılar Herhangi bir DC’ye erişimleri olmadan oturum açmak istediklerinde aşağüıdaki hatayı alacaklardır.
“There are currently no log on servers available to service the logon request”
Burada dikkat etmeniz gereken ayrıntı önbelleğe alınan bu şifrelerle Windows Kasası’ında (Windows Vault) saklanan şiifrelerin farklı olduğudur.