Bagaimana saya bisa menghapus kredensial domain yang di-cache?

11

Terkait: Bagaimana saya bisa mengaktifkan otentikasi domain melalui nirkabel di Windows 7 / 2k8?

Untuk menguji login domain melalui fitur koneksi nirkabel yang saya coba atur dalam pertanyaan di atas, saya perlu akun yang belum memiliki kredensial domain di-cache di sistem lokal. Sayangnya, hanya ada begitu banyak orang di kantor saya yang mungkin membantu saya menguji ini, dan bahkan kemudian saya lebih suka tidak mengganggu mereka untuk itu. Jadi, saya ingin dapat menghapus kredensial cache saya setelah setiap login.

Bagaimana saya bisa menghapus cache lokal, sementara masih mempertahankan kemampuan untuk cache kredensial di masa depan?

windows-server-2008  active-directory  windows-7  authentication 
Iszi
sumber

Jawaban:

10

Jawaban David Yu cukup tepat sasaran, tetapi ada cara untuk melakukan ini tanpa mengedit registri secara langsung. Sekali lagi, ini hanya akan berfungsi jika pengaturan tidak dikonfigurasi oleh GPO.

Pertama, saya ingin menunjukkan di mana data kredensial cache disimpan. Ini akan membantu menunjukkan (dan, untuk tujuan pemecahan masalah, memverifikasi) efek dari perubahan konfigurasi.

PERINGATAN: Saya menemukan informasi ini di beberapa tempat di Internet, yang sebagian besar direkomendasikan untuk tidak memodifikasi nilai-nilai ini secara manual.

Kunci registri yang menyimpan login domain yang di-cache tersembunyi bahkan dari Administrator. Ini hanya dapat diakses oleh akun SYSTEM. Oleh karena itu, untuk melihatnya Anda memerlukan alat seperti psexec(tersedia dari Microsoft, tetapi tidak diinstal secara default) yang akan memungkinkan Anda untuk berjalan regeditsebagai SISTEM. Baris perintah untuk melakukan ini (dengan asumsi itu diinstal, dan di Anda %PATH%) adalah:

psexec -d -i -s regedit

Setelah Anda berada di sana, navigasikan ke HKLM\SECURITY\Cache\. Di sini, Anda akan melihat beberapa nilai BINARY. Akan ada satu bernama NL $ Control, dan yang lain bernama NL $ ## untuk setiap slot yang Anda miliki untuk kredensial yang di-cache. (Default 10)

HKLM \ SECURITY \ Cache pada Server 2003

Sekali lagi, saya ingin menekankan di sini bahwa Anda tidak boleh memodifikasi atau menghapus kunci ini secara manual atau nilainya.

Jadi, sekarang kita tahu di mana data di-cache, dan bahwa kita tidak boleh menyentuhnya di sana , bagaimana kita membersihkannya?

Sekali lagi, jawaban David Yu akan mengarahkan Anda ke kunci registri yang tepat. Tetapi, jika Anda lebih suka tidak mengubah registri secara langsung, ada cara lain untuk melakukan ini melalui Kebijakan Keamanan Lokal.

secpol.msc

Di pohon Pengaturan Keamanan, navigasikan ke Local Policies\Security Options. Ini akan menjadi kebijakan yang disebut Interactive logon: Number of previous logons to cache (in case domain controller is not available).

Kebijakan Keamanan Lokal pada Server 2003

Secara default ini diatur ke 10 logons. Untuk menghapus cache, setel ke nol dan klik OK. Pada Server 2008, ini akan segera berlaku. Untuk Server 2003, Anda harus reboot. Pengaruhnya dapat dilihat di HKLM\SECURITY\Cache\mana tidak ada lagi nilai NL $ ##.

Cache kredensial yang dihapus pada Server 2003

Untuk mengaktifkan kembali caching kredensial, edit Kebijakan yang sama untuk mencerminkan nilai pilihan Anda dan tekan OK. Sekali lagi, jika Anda menggunakan Server 2008, ini akan segera berlaku. Server 2003 akan membutuhkan reboot. Perhatikan bahwa, jika Anda melakukan ini pada Server 2008 dan Anda belum logon atau reboot, Anda dapat melihat bahwa slot cache telah dipulihkan tetapi tidak ada data aktual di dalamnya.

Slot cache kredensial kosong pada Server 2008

Melakukan ini tanpa logoff atau reboot di Server 2008 dapat bermanfaat jika Anda hanya ingin melakukan pemeriksaan cepat, satu kali dari fungsi apa pun yang memerlukan caching kredensial yang dinonaktifkan untuk sementara waktu. Ini juga membantu memastikan Anda tidak lupa untuk mengembalikan perubahan setelah login Anda berikutnya.

Iszi
sumber
6

Anda bisa memodifikasi registri sistem untuk menonaktifkan kredensial masuk yang di-cache. Atur kunci registri ke 0. Ini akan membutuhkan reboot setelah setiap perubahan. Ini juga mengasumsikan Anda tidak memiliki GPO yang menetapkan kunci ini.

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ Versi Saat Ini \ Winlogon \

ValueName: CachedLogonsCount

Tipe Data: REG_SZ

Nilai: 0 - 50

David Yu
sumber
Perlu diingat bahwa perubahan ini harus dikembalikan lagi nanti, jika Anda ingin mempertahankan caching kredensial setelah pengujian dilakukan. Mengembalikan perubahan tidak akan mengembalikan kredensial yang di-cache lama, tetapi itu akan memungkinkan Anda untuk me-cache login baru.
Iszi
Saya khawatir jawaban David adalah yang terbaik yang bisa Anda dapatkan. Tampaknya tidak ada cara untuk "menghapus" log masuk domain yang di-cache untuk satu pengguna selain dengan menonaktifkannya sama sekali dengan menetapkan nilai registri ini menjadi 0.
Yanick Girouard
@YanickGirouard Ada cara yang lebih mudah, yang tidak memerlukan reboot atau mengedit registri mentah - setidaknya, tidak di Server 2k8. Saya sudah menemukan jawabannya pada saat saya memposting pertanyaan ini, tetapi saya pikir saya akan memberikan waktu bagi orang lain untuk mempostingnya. Jika tidak ada orang lain yang melakukannya, saya mungkin akan mengirim jawaban saya hari ini.
Iszi
Silakan kirim jawaban Anda dan terima sesegera mungkin. Itulah semua forum ini: berbagi pengetahuan! Terima kasih :)
Yanick Girouard
@YanickGirouard Itu sebabnya saya memposting utas ini, sehingga pengetahuan bisa dibagikan. Saya suka berbagi perwakilan juga, jika ada yang mau mengambil kesempatan. Saya mengumpulkan tangkapan layar untuk jawaban saya sekarang.
Iszi
2

Cara untuk memodifikasi kredensial yang di-cache disimpan (cukup aneh) dengan memodifikasi opsi keamanan \ Log masuk interaktif: Jumlah login sebelumnya ke kebijakan cache melalui editor kebijakan grup (gpedit)

Jim B
sumber
-1

Saya dapat menghapus semua kata sandi yang disimpan dengan mengatur semua entri $ NL menjadi sama dengan yang terakhir (beberapa entri $ NL terakhir adalah sama sehingga sepertinya mereka hanya placeholder). Saya menguji ini pada komputer Windows 7 PRO 64bit, saya belum mengujinya pada hal lain.

Cukup salin di bawah ini ke notepad dan simpan sebagai .reg lalu jalankan

regedit / s yourfilename.reg

sebagai akun sistem.

 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SECURITY\Cache]
"NL$1"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$2"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$3"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$4"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$5"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$6"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$7"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$8"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$9"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"NL$10"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
Greg
sumber
1
Asumsi Anda tentang "beberapa NL $ terakhir" tidak valid, kecuali jika Anda telah melakukan pengujian menyeluruh. Kemungkinan besar Anda tidak memiliki 10 atau lebih (atau apa pun batas cache disetel) pengguna masuk ke sistem sejak terakhir kali cache dihapus. Yang mengatakan, jika Anda benar-benar merasa cukup petualang untuk mengubah nilai-nilai ini "secara manual", Anda bisa menulis skrip yang cukup sederhana dengan PowerShell untuk menanganinya (dijalankan sebagai SISTEM tentu saja) alih-alih memiliki file .reg besar yang Anda inginkan perlu menyesuaikan secara manual tergantung pada konfigurasi sistem.
Iszi
-2

Cara termudah untuk menghapus kredensial yang disimpan adalah dengan menjalankan MSTSC dan masukkan nama atau alamat ip server terminal yang di-cache. Jika itu di-cache sebagai nama domain yang sepenuhnya memenuhi syarat, itu yang harus Anda masukkan, itu kemungkinan akan mengisi bidang untuk Anda serta domain \ nama pengguna Anda. Kemudian klik Opsi. Jika kredensial disimpan, Anda dapat mengedit atau menghapusnya.

Untuk menjaga sistem dari cache kredensial, edit file RDP dengan notepad dan ubah PromptCredentialOnce: i: 1 parameter menjadi PromptCredentialOnce: i: 0

Jim A Fieser
sumber
Ini menghapus "memori" klien RDP dari kredensial, tetapi tidak menghapus cache dari sistem target.
Iszi
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.