AD Feilsoking AD Feilsoking.

AD og Domenelaterte problemer og feilsokingsmetoder for Active Directory.

Cached logons og CachedLogonsCount.

En medarbeider av meg hadde en sak med folgende beskrivelse:

Vi har satt registerverdien CachedLogonsCount til 1 pa arbeidsstasjonene, fordi vi vil begrense antall cached-brukerlogoer i LSA-hurtigbufferen pa systemet.

Dette ser imidlertid ut til a ha bivirkningen av at det noen ganger gjor det umulig for brukeren a logge pa den b rbare datamaskinen mens du er offline !?

LSA-hurtigbufferen inneholder oppforinger for sikkerhetsenheter som har logget pa maskinen mens den var online, og hadde tilgang til en Domain Controller – dette inkluderer tjenestekontoer, datakontoen etc.

Registerverdien CachedLogonsCount kontrollerer hvor mange slike oppforinger er cached – standardene vil v re 10 eller 25 avhengig av OS eller SP-niva i systemet med maksimalt 50.

Hvis en palogging forekommer (for eksempel en tjeneste er startet pa nytt) og antall bufrede oppforinger er «fulle» betyr det at den eldste oppforingen vil bli presset ut og den nyeste legges til slutten av listen.

Dvs. Hvis du angir en verdi pa 1 for CachedLogonsCount, blir listen over 1 oppforinger fortlopende overskrevet av den siste oppforingen som blir cached.

Generelt ser du en sikkerhetsprinsipper per hvert spor i LSA-hurtigbufferen, men det er unntak for dette (for eksempel logger du pa samme bruker med et smartkort eller et passord vil du opprette to separate oppforinger).

Angi verdien av CachedLogonsCount til 1 lagrer effektivt bare den siste paloggingsoppforingen – hvis dette skjer noe annet enn brukeren som er interaktivt logget pa, vil den brukeren ikke lenger v re til stede i LSA-cachen og vil ikke kunne logge pa mens offline.

Det som skjedde her er fullt av design; Innstilling av CachedLogonsCount til 1 anbefales ikke hvis du vil at brukere skal kunne logge pa frakoblet, da det betyr at den enkelte LSA Cache-oppforingen for brukeren som logget pa, automatisk blir overskrevet neste gang noe annet pa systemet skriver en oppforing til LSA cache.

Kort oppsummert; LSA-cachen brukes av ulike sikkerhetsansvarlige pa systemet – ikke bare brukerne som fysisk logger pa systemet med en brukerkonto.

Hvis du kjorer Procmon og konfigurerer et filter for a bare inkludere stier som begynner med HKLMSecurityCache i fangst og slipper alt annet (Filter / Drop-filtrerte hendelser), vil det vise en SetReg-operasjon hver gang en cache-oppforing skrives til.

Slots er nummerert N1 $, N2 $, N3 $, etc.

Du bor ogsa fa en LsaSrv 45058-hendelse i systemloggen nar en eldre oppforing er fjernet fra LS-hurtigbufferen og hvilken konto den var for (se http://support.microsoft.com/kb/2555663).

Cache-informasjon om domenenavn.

Standardverdien for registeroppforingen for cachedlogonscount er endret fra 10 til 25 i Windows Server 2008.

En domenekontroller for domenet ditt kunne ikke kontaktes. Du har blitt logget pa ved hjelp av cached kontoinformasjon.

«Interaktiv palogging: Antall tidligere logoer til cache» Hjelpemne inneholder feil informasjon.

Cache-sikkerhetssikkerhet i Windows Server 2003, i Windows XP og i Windows 2000.

Avbryt svar.

Det er for oyeblikket ikke noe offentlig verktoy som jeg er klar over som vil liste inn innholdet i LS-hurtigbufferen.

Hvis du kjorer Procmon og konfigurerer et sti filter for a inkludere bare stier som begynner HKLMSecurityCache i fangst og slipper alt annet, vil det vise en SetReg-operasjon hver gang en ny oppforing er skrevet.

Du kan ogsa angi Procmon for a logge under oppstart (Alternativer / Aktiver oppstartslogging) & # 8211; med dette filtersettet bor du se hva som berorer LS-hurtigbufferen.

Du vil ogsa fa en Netlogon 45058-hendelse nar en eldre oppforing er fjernet fra LS-cachen og hvilken konto den var (se support.microsoft.com/…/2555663).

Kort oppsummert; LSA-cachen brukes av ulike sikkerhetsansvarlige pa systemet & # 8211; ikke bare brukerne som fysisk logger pa systemet med en brukerkonto.

Hvor finner jeg den utvidede listen over noyaktig hvilke sikkerhetsprinsipper som bruker LSA-hurtigbufferen?

(for a konfigurere registerverdien CachedLogonsCount (og forsta det beste sikkerhetsdesignet)