Windowsロック画面を使用した後にKerborosキャッシュチケットが削除される

Question

Windowsがロック画面に入った後にKerborosキャッシュチケットが削除されないようにする方法はありますか。

最初にWindowsにログインすると、klist.exeには2つのキャッシュチケットが表示されます。ただし、Windowsのlockscreenイベントが発生すると、klist.exeは0キャッシュチケットを表示します。

ありがとうございます。

Answer 1

これは仕様です。スクリーンロック後にKerberosサービスチケットがパージされないようにする方法はありません。新しいKerberos保護リソースに再びアクセスすると、新しい認証手順が実行され、新しいチケットが表示されます。 Kerberosチケットとチケット許可チケット（TGT）とサービスチケット（ST）の2種類があります。 Kerberos TGTがクライアントキャッシュに残っていて、画面ロック後にクリアされないようにすることができますコンピュータがActive Directoryドメインに参加している場合および変更するためにグループポリシーの変更を行います行動（下記の注を参照）。あなたがActive Directoryの管理者でない場合は、あなたに連絡して、これを行う必要があります。画面ロック後にTGTを保持するには、グループポリシー管理コンソールエディタを開き、マシンにリンクされているGPOを見つけて、マシンのロックを解除するためにドメインコントローラとの接触を要求しないようにポリシーを設定します。これにより、マシンは再認証のためにキャッシュされたKerberos TGTを保持します。このようにグループポリシーを構成しても、Webサーバー用に発行されたKerberosサービスチケットは保持されません。ここでも、このシナリオでは、ワークステーションのロックを解除した後にTGTだけがマシンKerberosキャッシュに残り、サービスチケット（ネットワークリソース用に発行されたものなど）は残りません。しかし、TGTを再要求する必要がないため、STの要求がより簡単になる可能性があります。アプリケーションサーバー側でこれをプログラムすることができますが、実際にアプリケーション側からクライアント側のKerberos全体的なセキュリティ動作を制御する方法はありません。

回答のこの部分の下のすべては、フォローアップのコメントに応じて作成されたEDITです。ポリシーはドメインコントローラのみに適用されるため、既定のドメインコントローラポリシーは編集しないでください。メモとして、Active Directoryドメインで個人的に新しいグループポリシーを変更するときは、特定の設定に精通していない限り、私は新しいGPOを作成したいと思います。それをOUにリンクして、コンピュータまたはユーザーオブジェクトが存在する場所にリンクします。また、変更が「安全」とみなされ、卸売りにならず、すべてのユーザーに悪影響を及ぼすことがないと思われる場合は、ドメインレベルでGPOをリンクすることもできます。

1. これを行うには、グループポリシー管理コンソールエディタを開き、新しいGPOを作成します。
2. 名前キャッシュされたログオン許可。
3. キャッシュされたログオンを許可する GPO。
4. コンピュータの構成]> [ポリシー]> [Windowsの設定]> [セキュリティ設定]> [ローカルポリシー>セキュリティオプション>に移動して、次の両方を設定：

対話型ログオン：前回ログオンの数キャッシュには、（中場合ドメインコントローラ）は使用できません：1回のログオン

対話型ログオン：は、ワークステーションのロック解除にドメインコントローラの認証を必要とする：DISABLEDを

次に、クライアントワークステーションを2〜3回再起動します。技術的には、コマンドgpupdate/forceを実行することができますが、いくつかの設定、特にこの設定では、クライアントワークステーションの再起動だけでなく、場合によっては2回、さらには3回のリブートも必要ですGPOの設定は、高速ログオンの最適化と呼ばれます。とにかく、その話は別のスレッドのものです。