Windows mantiene un token utente di Active Directory bloccato?

3

L'hack Firewire DMA Inception consente di sovrascrivere le subroutine di controllo della password su una casella Windows locale, consentendo l'inserimento di una password per un computer bloccato. La mia domanda riguarda l'impatto di questo su un sistema in rete.

Quando si accede a un sistema controllato da Active Directory, al sistema viene assegnato un token che può utilizzare per accedere alle risorse di rete per l'utente senza che l'utente debba reinserire la propria password. Questo token è conservato quando si blocca il sistema o si riacquisisce quando si sblocca?

Sto cercando di capire meglio i possibili rischi di un attacco derivato da Inception su una rete aziendale. Se consente solo l'accesso al sistema locale, è significativamente meno un fattore di rischio che se è anche in grado di accedere alle risorse di rete associate all'utente.

    
posta AJ Henderson 10.06.2013 - 22:04
fonte

2 risposte

3

Onestamente, non lo so. Quello che potresti fare è accedere a un computer che richiede una connessione di rete per l'accesso (nessun profilo offline), effettuare alcune connessioni di prova per mostrare che il token funziona. Quindi bloccare il computer, rimuovere la connessione di rete e riconnettersi. Spegni il tuo controller di dominio e, se non riesci ad accedere ad alcuna condivisione di rete, il computer deve eseguire nuovamente l'autenticazione sul controller.

    
risposta data 11.06.2013 - 05:36
fonte
1

AFAIK il token non viene mai distrutto poiché la sessione è ancora presente, ma ciò non significa che il token non diventi obsoleto. Il token viene aggiornato su uno sblocco.

    
risposta data 10.06.2013 - 22:52
fonte

Leggi altre domande sui tag