SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

ログオンキャッシュの保存先について

leave a comment

ドメイン環境の Windows にはログオンキャッシュがあり、設定に関してはグループポリシーで設定することが可能になっています。
デフォルトの状態では、[ローカル セキュリティ ポリシー] で 10 ログオン分保存されるようになっています。
image

このログオンキャッシュがどこに保存されているんだろうと思って少し調べてみました。

■ログオンキャッシュの保存先を検証

ログオンキャッシュですが、[LSA : ローカル セキュリティ 機関] に保存されているようです。

Windows のレジストリの、[HKLMSECURITY] ですが、デフォルトの状態では Administrators グループのユーザーでもレジストリを展開できないようになっています。
image

これは、[SECURITY] のキーのアクセス許可で [Administrators グループ] には読み取りの権限がついていないため、このような表示となっています。
# デフォルトでは、SYSTEM にフルコントロール、Administrators グループは特殊なアクセス許可となっています。
image

[読み取り] または、[フル コントロール] のアクセス許可を明示的に設定することで、レジストリにアクセスすることが可能です。
# 試すときは自己責任でお願いいたします。

SECURITY キーが展開になると、[Cache] というキーが確認できます。
image

上の画像では、[NL$3] に値が設定されていることが確認できます。 
# ちょっと強引に値を消したりした環境なので、[NL$1] から始まって居ません…。

ここで、ネットワークに接続されていない状態にして、
image

一度ログオフして、ドメインユーザーでログオンしてみます。
image

ネットワークに接続されていない状態ですが、ログオンキャッシュを使ってログオンが可能な状態となっています。

こちらのブログで書かれている、[whoami /fqdn] でログオンキャッシュが使われているかを確認してみます。
# いつも参考にさせていただいている、Always on the clock というブログになります。

参考)
キャッシュされたログオン

image

ネットワークに接続していないため、ログオンキャッシュが使われエラーとなっていることが確認できます。

このことから現在は、ログオン情報がキャッシュとして残っていることが確認できました。

それでは、先ほどの [NL$3] の情報を [0 でクリア] してみたいと思います。
# 初期の状態と合わせ、一度内容を消して [00A7] まで 0 クリアしています。

[クリア前]
image

[クリア後]
image

0 クリアしたら再度ログオフ→ログオンをしてみます。
image

ログオンすることができなくなっていることが確認できます。

ログオンキャッシュについては [HKLMSECURITYCache] に保存されているみたいですね。

ちょっと気になったので簡単ではありますが調べてみました。
# 通常、手動でアクセスする必要のない [SECURITY] キーにアクセスをしていますので本内容を自分でも試してみようと思われた方は自己責任でお願いいたします。

Written by masayuki.ozawa

10月 1st, 2010 at 1:02 am

Leave a Reply

*