ipv6hackのブログ一覧

備忘録メモです
Windowsのセキュリティについて勉強をしていたのですがActiveDirectory環境における
ログオンキャッシュがかなり怖いリスクになることを知りました
ログオンキャッシュというのはActiveDirectoryサーバとの通信ができない環境
（例：ノートPCで外出先等）において、過去にログインしたアカウントについては
キャッシュ情報にてログオンを許可する機能です
このリスクを排除するのは簡単でグループポリシーにてログオンキャッシュを
無効化することですが、そうすると外出先等ActiveDirectoryとの通信ができないところ
では端末にログオンすることができなくなります
VPN接続をして社内に接続すればいいと思いますが、VPN接続をするためには
ログオンしてからしかできないため、デットロック状態です
DirectAccessやAlways on VPNというログオン前にVPN接続する方法もありますが、WinServerでVPNを立てないと
いけなく、VPN装置での接続とは異なります

しかし、結論としてVPN装置によるVPN環境における
ActiveDirectory環境においてログオンキャッシュを無効にしている状態で
外出時等ログオン前にVPN接続をすることは可能です
ただし、事前準備が必要です

以下に概要メモを記載します
・ローカルアカウントにてVPN接続を作成します
・VPN接続のパスワードを入力するウィンドウが出てくることを抑止する
　%AppData%\Microsoft\Network\Connections\Pbk
　内の rasphone.pbk の PreviewUserPw を0にする
・下記のようなBATを作る
：loop
timeout 60
rasphone -d "VPN設定をした接続名"
goto loop
・タスクスケジューラにて端末起動時に上記BATを起動するようにしておく
　その際、実行権限はローカルアカウントにする
　（ADユーザーでVPN作って実行設定するとパスワードを設定しても
　　ログオンキャッシュを無効のため実行できなくなる）
　
ユーザーがログオンしているかどうかに関わらず実行する
最上位の特権で実行する

以上で端末起動後６０秒後に自動的にバックグラウンドにてVPN接続をしてくれる
そうすれば、外出先でインターネット回線しかない状況においても
VPN接続をしてログオンキャッシュを無効にしていてもDCと通信ができるため
端末にログオン可能となる


以上
メモでした