Par défaut Windows met en cache les identifiants des 10 derniers comptes du domaine qui ont ouvert une session sur une machine.
Cette fonctionnalité est très utile car elle permet de se connecter à une machine même lorsque le contrôleur de domaine n’est pas disponible.
Cependant, elle présente aussi un risque : un attaquant pourrait en profiter pour voler ces identifiants et tenter de les craquer par brute force.
Pour désactiver la mise en cache sur vos serveurs vous pouvez créer une GPO ou utiliser celle qui est fournie par le projet Harden AD.
La GPO HAD-Logon-Cache-0 s’applique à la racine du domaine. Pour l’appliquer sur l’un de vos serveur il suffit de l’ajouter dans le groupe APPLY correspondant.
Pour une station de travail il faut laisser au moins 2 valeurs en cache pour ne pas être bloqué lorsque l’on travaille en dehors du réseau.
Après application de la GPO il ne reste plus que 2 identifiants en cache :
