¿Es posible no almacenar las contraseñas localmente?

Sí, debe tener la computadora en un dominio y desactivar el almacenamiento en caché de contraseñas . Sepa que si hace esto recibirá el error "El sistema no puede iniciar sesión ahora porque el dominio no está disponible". si el servidor de dominio está inactivo.

Esto se puede hacer configurando una política de grupo para que HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\CachedLogonsCount se establezca en 0.

Olvídese de Kerberos, es muy laborioso / costoso de implementar. El póster de esta pregunta ha tenido un 'momento eureka' válido. Pero parece olvidar que, si bien las contraseñas ya no se guardan en caché en su escenario, aún pueden ser rastreadas y capturadas en el cable.

Sin embargo, el principio principal de la observación del póster (es decir, eliminar los enlaces débiles y reducir los vectores de ataque a través del almacenamiento de credenciales en un servidor de identidad central) sigue en pie. Me he dado cuenta de que este mismo principio ya se ha traducido a aplicaciones basadas en la nube y software web con compañías que ofrecen servicios de inicio de sesión único (es decir, almacenamiento de credenciales en un servidor de nube central y seguro para simplificar el acceso y promover el uso de contraseñas más complejas y diversas) . Estos servicios se traducen en gestión de identidad ... mucho más que la simple gestión de contraseñas.

El reciente pirateo de Sony Playstation Network reveló que incluso los usuarios 'expertos en tecnología' y 'conscientes de la seguridad' están reutilizando la misma contraseña en el número cada vez mayor de cuentas en línea. Por supuesto que eran ... y probablemente todavía lo son! ¿Cuántas contraseñas puede recordar una persona? Solo un servicio de inicio de sesión único que pueda vincularse con Active Directory puede acercarse a una solución total.

¿Alguien ha encontrado una oferta de servicios como esta todavía? Ahora estoy probando una solución beta en www.smartsignin.com El cifrado que han implementado no utiliza una única clave "completa" en su servidor de identidad en la nube que pueda desencriptar sus credenciales almacenadas. En su lugar, la clave se divide entre el servidor y el sistema del usuario. De este modo, el usuario controla el descifrado en tiempo real desde su navegador para cada una de las cuentas a las que accede desde su nuevo perfil de identidad centralizado. Bastante bien, creo. También tienen autenticación de múltiples factores para evitar que las sesiones sean secuestradas. Eche un vistazo y hágame saber lo que piensa.

Como acababa de demostrar con su arranque de Ubuntu, también tomaría las medidas para bloquear cualquier arranque USB o CD / DVD en las máquinas locales para evitar cualquier intento de omisión de los UAC de AD (supongo) y potencialmente obtener acceso a la red local.

Si los administradores son inteligentes, deberían hacer que todos los datos internos atraviesen un firewall (así como datos externos) para evitar que cualquier usuario no autorizado que se encuentre en el dominio local gire a otra máquina o usuario en otra parte del Dominio o a otro dominio por completo por diversas razones nefastas.