Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Warum Cached Credentials zu Kontosperrungen führen
Active Directory-Benutzerkonten können aus einer Reihe von Gründen gesperrt werden, insbesondere wenn die Arbeit Remote, also nicht am Firmenstandort im Unternehmensnetzwerk stattfindet. Windows-Systeme sind in der Lage, Anmeldeinformationen für Benutzer zwischenzuspeichern. Es sind aber genau diese zwischengespeicherten Anmeldeinformationen, die sogenannten Cached Credentials, die Benutzern, die Remote arbeiten, Probleme bereiten, da diese zu Kontosperrungen führen.
Zwischengespeicherte Active Directory-Anmeldeinformationen
Um den Zweck von zwischengespeicherten Anmeldeinformationen, der Cached Credentials zu verstehen, lassen Sie uns den normalen Anmeldevorgang ganz allgemein betrachten. Wenn sich ein Benutzer an einem Computer anmeldet, der einer Domäne angeschlossen ist, werden die Benutzeranmeldeinformationen an den nächstgelegenen Domänencontroller in der Netzwerkumgebung weitergeleitet. Der Domänencontroller prüft die Anmeldeinformationen und authentifiziert den Benutzer entweder oder lehnt die eingegebenen Anmeldeinformationen ab.
Remote-Mitarbeiter, die für den Zugriff auf Unternehmensressourcen domänenverbundene Laptops verwenden, stellen keine direkte Verbindung zum Unternehmensnetz her. Folglich haben diese Benutzer auch keinen Zugriff auf den Domänencontroller, um Authentifizierungsanfragen zu beantworten. Um dieses Problem zu lösen, werden zwischengespeicherte Anmeldeinformationen (Cached Credentials) verwendet. Wie funktionieren diese zwischengespeicherten Anmeldeinformationen?
Mit den zwischengespeicherten Anmeldeinformationen kann die Remote-Arbeitsstation oder der Laptop den gehashten Wert für eine erfolgreiche Anmeldung in einem lokalen Anmeldeinformations-Cache speichern, der es dem Computer ermöglicht, sich lokal zu authentifizieren und anzumelden, unabhängig davon, ob ein Domänencontroller verfügbar ist oder nicht. Microsoft speichert hierfür den gehashten Wert in dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\SECURITY.
Es gibt einen weiteren Registry-Wert, den Unternehmen über die Gruppenrichtlinien steuern können und der die Zwischenspeicherung von Anmeldungen konfiguriert. Der Schlüssel befindet sich in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Aktuelle Version\Winlogon\ und heißt CachedLogonCount. Standardmäßig ist dieser Wert auf 10 zwischengespeicherte Anmeldungen eingestellt. Wenn der Schlüssel auf “0” gesetzt wird, wird die Zwischenspeicherung von Anmeldungen deaktiviert.
Die Group Policy – Einstellung finden Sie im Dialogfeld “Group Policy”. Nachfolgend finden Sie eine ausführliche Erläuterung der Richtlinieneinstellung. Sie lautet wie folgt:
“Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)
Die Anmeldeinformationen jedes Benutzers werden lokal zwischengespeichert, damit sie sich anmelden können, wenn ein Domänencontroller bei nachfolgenden Anmeldeversuchen nicht verfügbar ist. Die zwischengespeicherten Anmeldeinformationen werden aus der vorherigen Anmeldesitzung gespeichert. Wenn ein Domänencontroller nicht verfügbar ist und die Anmeldeinformationen eines Benutzers nicht zwischengespeichert sind, wird für den Benutzer die folgende Meldung angezeigt:
Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.
Mit dieser Richtlinieneinstellung wird die Zwischenspeicherung der Anmeldeinformationen bei einem Wert von 0 deaktiviert. Bei jedem Wert über 50 werden nur 50 Anmeldeversuche zwischengespeichert. Windows unterstützt maximal 50 Cacheeinträge, und die Anzahl der pro Benutzer verbrauchten Einträge hängt von den Anmeldeinformationen ab. Beispielsweise können in einem Windows-basierten System maximal 50 Benutzerkonten mit eindeutigem Kennwort zwischengespeichert werden. Es können aber nur 25 Smartcard-Benutzerkonten zwischengespeichert werden, da sowohl die Smartcardinformationen als auch die Kennwortinformationen gespeichert werden. Wenn sich ein Benutzer, dessen Anmeldeinformationen zwischengespeichert wurden, erneut anmeldet, werden die für diesen Benutzer zwischengespeicherten Informationen ersetzt.”
Zwischengespeicherte Anmeldeinformationen verursachen Kontosperrungen
Ein Benutzer in diesem Szenario kann davon ausgehen, dass das Kennwort für jede Unternehmensressource, zu der er eine Verbindung herzustellen versucht, dasselbe ist. Was passiert, wenn er weiterhin versucht, mit dem alten Kennwort eine Verbindung zu seiner Web-E-Mail herzustellen? Nehmen wir außerdem an, dass er sich über eine VPN-Verbindung mit dem Unternehmensnetzwerk verbindet. In diesem Fall versucht der Remote-Laptop oder -Desktop, die zwischengespeicherten Anmeldeinformationen des Benutzers für den Zugriff auf Netzwerkressourcen zu verwenden. In diesem Fall betrachtet der Domänencontroller die Authentifizierungsversuche als fehlgeschlagene Anmeldungen, was nach Erreichen des festgelegten Schwellenwerts für fehlgeschlagene Anmeldungen zu einer Kontosperrung führt.
Benutzer daran erinnern, dass das Passwort abläuft
Specops Software stellt ein kostenloses Tool zur Verfügung, mit dem Unternehmen effektiv mit zwischengespeicherten Anmeldeinformationen umgehen können, insbesondere für Remote-Mitarbeiter. Eine der Herausforderungen für Remote-Mitarbeiter, die zu Problemen führt, ist die fehlende Kontrolle, wann Passwörter für Konten ablaufen. Oft sind sich die Mitarbeiter nicht bewusst, dass ihr Passwort abläuft. Dies führt dazu, dass im Vorfeld keine Maßnahmen ergriffen werden.
Specops Password Notification bietet die Möglichkeit, Benutzer effektiv an den bevorstehenden Ablauf ihres Passworts zu erinnern, so dass sie proaktiv ein neues Passwort für ihr Konto festlegen können, bevor es abläuft.
Aktualisierung der zwischengespeicherten Anmeldeinformationen, wenn ein Domänencontroller nicht erreicht werden kann
Mit einer Password Reset Lösung eines Drittanbieters können Sie problemlos Remote-Password-Resets verwalten. Specops uReset ermöglicht es Benutzern, ihre Active Directory-Passwörter direkt vom Windows-Anmeldebildschirm aus sicher zurückzusetzen. Es verhindert auch Kontosperrungen, indem es die lokalen, zwischengespeicherten Anmeldeinformationen aktualisiert, selbst wenn ein Domaincontroller nicht erreicht werden kann.
(Zuletzt aktualisiert am 25/08/2021)