Tại sao thông tin đăng nhập được lưu trong bộ nhớ cache có thể khiến tài khoản bị khóa và cách ngăn chặn điều đó như thế nào ?

Thông tin đăng nhập được lưu trong bộ nhớ cache

Khi tài khoản người dùng bị khóa, nguyên nhân thường được cho là do người dùng đã nhập mật khẩu cũ hoặc sai quá nhiều lần. Tuy nhiên, đây không phải là điều duy nhất có thể khiến tài khoản bị khóa.

Một nguyên nhân phổ biến khác, ví dụ, là một ứng dụng hoặc tập lệnh được cấu hình để đăng nhập vào hệ thống bằng mật khẩu cũ. Tuy nhiên, có lẽ nguyên nhân dễ bị bỏ qua nhất của việc khóa tài khoản là việc sử dụng thông tin đăng nhập được lưu trong bộ nhớ cache.

Trước khi tôi giải thích lý do tại sao thông tin xác thực được lưu trong bộ nhớ cache có thể có vấn đề , chúng ta hãy xem xét thông tin đăng nhập được lưu trong bộ nhớ cache của Windows làm gì và tại sao chúng lại cần thiết.

Thông tin đăng nhập được lưu trong bộ nhớ cache và lưu trữ

Thông tin đăng nhập được lưu trong bộ nhớ cache là một cơ chế được sử dụng để đảm bảo rằng người dùng có cách đăng nhập vào thiết bị của họ trong trường hợp thiết bị không thể truy cập Active Directory. Giả sử một lúc nào đó người dùng đang làm việc từ máy tính xách tay được tham gia miền và được kết nối với mạng công ty.

Trong loại tình huống đó, Active Directory sẽ xác thực thông tin đăng nhập của người dùng khi người dùng đăng nhập. Mặt khác, nếu người dùng đang làm việc tại nhà bằng cùng một máy tính xách tay nhưng không có kết nối với mạng công ty, thì Active Directory không thể xử lý yêu cầu đăng nhập của người dùng.

Đây là nơi thông tin xác thực được lưu trong bộ nhớ cache phát huy tác dụng. Nếu đó không phải là thông tin đăng nhập được lưu trong bộ nhớ cache, thì người dùng sẽ không thể đăng nhập vào thiết bị của họ vì không có bộ điều khiển miền (là domain controller) khả dụng để xử lý yêu cầu đăng nhập. Tuy nhiên, vì Windows hỗ trợ việc sử dụng thông tin xác thực đã lưu trong bộ nhớ cache, thông tin xác thực được lưu trong bộ nhớ đệm nằm trong thiết bị của người dùng có thể xử lý yêu cầu xác thực.

Người dùng sẽ không thể truy cập bất kỳ tài nguyên nào trên mạng công ty vì không tồn tại kết nối với mạng và xác thực của người dùng không được bộ điều khiển miền xử lý. Mặc dù vậy, người dùng ít nhất sẽ có khả năng đăng nhập vào máy tính xách tay của họ và sử dụng bất kỳ ứng dụng nào được cài đặt cục bộ trên thiết bị.

Mặc dù thông tin xác thực được lưu trong bộ nhớ cache chủ yếu được sử dụng làm cơ chế cho phép người dùng đăng nhập cục bộ khi họ đang làm việc từ bên ngoài văn phòng, nhưng thông tin đăng nhập được lưu trong bộ nhớ cache có một công dụng quan trọng khác. Nếu một tổ chức gặp phải sự cố nghiêm trọng dẫn đến việc Active Directory ngừng hoạt động, thì nhân viên CNTT có thể sử dụng thông tin đăng nhập được lưu trong bộ nhớ cache làm phương tiện đăng nhập vào thiết bị của họ để họ có thể bắt đầu chẩn đoán và sửa chữa các sự cố của Active Directory.

Tất cả những điều này để nói rằng thông tin đăng nhập được lưu trong bộ nhớ cache của Windows có một trường hợp sử dụng hợp lệ. Do đó, chúng không phải là thứ mà bạn muốn vô hiệu hóa. Tuy nhiên, như đã lưu ý trước đây, việc sử dụng thông tin đăng nhập được lưu trong bộ nhớ cache có thể gây nhầm lẫn và thậm chí khiến tài khoản bị khóa trong một số trường hợp nhất định.

Thông tin xác thực đã lưu trong bộ nhớ cache gây ra khóa tài khoản

Hãy tưởng tượng trong giây lát rằng một người dùng làm việc từ hai thiết bị được tham gia miền: máy tính để bàn của công ty và máy tính xách tay. Bây giờ, giả sử rằng người dùng đang làm việc từ màn hình của họ và thay đổi mật khẩu Windows của họ. Giả sử rằng máy tính xách tay bị tắt nguồn tại thời điểm đó, máy tính xách tay không biết về việc thay đổi mật khẩu. Nó vẫn có thông tin đăng nhập cũ của người dùng được lưu trữ trong bộ đệm mật khẩu.

Với ý nghĩ đó, hãy xem xét điều gì sẽ xảy ra vào lần tiếp theo khi người dùng cố gắng đăng nhập từ máy tính xách tay của họ. Nếu người dùng không được kết nối với mạng công ty, thì mật khẩu mới của họ sẽ không hoạt động vì mật khẩu cũ vẫn được lưu trong bộ đệm. Tuy nhiên, người dùng vẫn có thể đăng nhập vào thiết bị bằng mật khẩu cũ của họ. Tuy nhiên, khi người dùng kết nối với mạng công ty, mật khẩu sẽ được cập nhật. Điều này có nghĩa là nếu người dùng liên tục cố gắng đăng nhập vào máy tính xách tay của họ bằng mật khẩu cũ, thì quá trình xác thực sẽ không thành công và người dùng cuối cùng sẽ bị khóa tài khoản của họ.

Cập nhật thông tin đăng nhập được lưu trong bộ nhớ cache của người dùng

Specops uReset có thể giúp giải quyết vấn đề này. Người dùng có thể đặt lại mật khẩu Windows của họ trực tiếp từ màn hình đăng nhập Windows. Quan trọng hơn, khi người dùng thay đổi hoặc đặt lại mật khẩu của họ, phần mềm Specops uReset sẽ tự động đồng bộ hóa mật khẩu mới trên các thiết bị của người dùng, cập nhật bộ nhớ cache cục bộ trong quá trình này. Điều này có nghĩa là người dùng sẽ không bao giờ gặp phải tình huống trong đó một số thiết bị đã được cập nhật mật khẩu mới trong khi các thiết bị khác tiếp tục sử dụng mật khẩu cũ. Từ quan điểm CNTT, điều này có nghĩa là ít cuộc gọi dịch vụ liên quan đến mật khẩu đến bộ phận trợ giúp của bạn hơn.

BQT – Nói tói lại, khi hoạt động trên môi trường domain thì cần phải có Domain Controller, và cty cần có chính sách khi không có domain controller chứ không thể đăng nhập lung tung như thế được. Và , một khi hoạt động trên môi trường Domain thì phần lớn những nguyên nhân là do vấn đề phân giải DNS. Đó là những điều tôi hay gặp trong thực tế trước đây khi còn làm công tác bảo trì các hệ thống domain cho khách hàng và khi quản trị Domain của công ty New Horiozons

Nguồn THN – Nguyen Tran Tuong Vinh

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s