如何从Windows的登录发现可疑行为?之(十)缓存交互(CachedInteractive)

知识开发
收藏
3 1147
Sunny912
牵手一生 未认证 2018-03-31 14:26:35
付费话题:0 积分

Windows支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能,默认情况下,Windows缓存了最近10次交互式域登录的凭证,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。



回帖
  • ct
    2018-04-16 11:13:03

    继续,感觉话只说了一半

    0 回复
  • Ethan
    2018-03-31 16:36:54

    有两点建议:1)提供日志元数据;2)结合套件中具体模块截图。这样大家会对该场景有更直接的感受。  

    0 回复
  • cyberguy
    2018-03-31 14:36:46

    灌水

    0 回复