¿Windows mantiene un token de usuario de Active Directory mientras está bloqueado?

3

El inicio de piratería de Firewire DMA permite que se sobrescriban las subrutinas de verificación de contraseña en un buzón de Windows local, lo que permite ingresar cualquier contraseña para una computadora bloqueada. Mi pregunta es sobre el impacto de esto en un sistema en red.

Al iniciar sesión en un sistema controlado por Active Directory, el sistema recibe un token que puede usar para obtener acceso a los recursos de la red para el usuario sin que el usuario tenga que volver a ingresar su contraseña. ¿Se guarda este token al bloquear el sistema o se vuelve a adquirir al desbloquear?

Estoy tratando de comprender mejor los posibles riesgos de un ataque derivado de Inception en una red corporativa. Si solo permite el acceso al sistema local, es un factor de riesgo significativamente menor que si también puede obtener acceso a los recursos de red asociados con el usuario.

    
pregunta AJ Henderson 10.06.2013 - 22:04
fuente

2 respuestas

3

Sinceramente, no lo sé. Lo que podría hacer es iniciar sesión en una computadora que requiera una conexión de red para iniciar sesión (sin perfiles fuera de línea), hacer algunas conexiones de prueba para mostrar que el token está funcionando. Luego, bloquee la computadora, elimine la conexión de red y vuelva a iniciar sesión. Apague el controlador de dominio y, si no puede acceder a los recursos compartidos de red, la computadora tuvo que volver a autenticarse en el controlador.

    
respondido por el PsychoData 11.06.2013 - 05:36
fuente
1

AFAIK: el token nunca se destruye, ya que la sesión aún está presente, pero eso no significa que el token no esté obsoleto. El token se actualiza en un desbloqueo.

    
respondido por el Steve 10.06.2013 - 22:52
fuente

Lea otras preguntas en las etiquetas