AliceがWindowsマシンM(Active Directoryを通じて管理されるエンタープライズネットワークの一部)にログインするとします。私が理解していることは、Mがドメインコントローラーに連絡してAliceのパスワードハッシュを取得し、それをローカルのSAMまたはNTDS.ditに保存して、それを使用してAliceのログインを確認することです。 (もし間違っていたら教えてください。)
パスワードハッシュはローカルにどのくらい保持されますか?追加すると、それは永久にそこに残りますか?または、一定期間後に自動的に削除されますか?もしそうなら、その期間はどのくらいですか?
(動機:SAMに格納されているパスワードハッシュのセキュリティリスクを理解しようとしています。)
あなたの理解は全く正しくありません。ドメインユーザーがKerberosを使用してドメインメンバーサーバーに対して認証している場合、ユーザーのパスワードハッシュはそこに送信されません。 Kerberosは、ドメインアカウントデータベースを維持するドメインコントローラーにハッシュを送信することのみを要求します。そして、技術的にはハッシュ自体がDCに送信されることすらありません。次に、Kerberosはユーザーにサービスチケットを発行し、ユーザーはそのチケットをメンバーサーバーに送信して、身元を証明します。そのため、ログインが原因でユーザー資格情報がローカルサーバーアカウントデータベース(SAM)に追加されることはありません。
メンバーサーバーのメモリに一時的にキャッシュされた資格情報が保存されることを心配するかどうかに応じて、ユーザーのパスワードハッシュがそのサーバーに送信されるシナリオが他にもいくつかあります。ただし、パスワードハッシュがローカルアカウントデータベースに存在するのは、管理者が作成したアカウントで明示的に追加された場合のみです。