Hkey local machine software microsoft windows nt currentversion winlogon cachedlogonscount

Здравствуйте уважаемые читатели блога.
Сегодня рассмотрим тему ограничение количества сессий TCP/IP  для Windows.
В ОС Windows XP SP2(x86,x64)/SP3, 2003 Server SP1(x86)/SP2(x86,x64), Vista без SP(x86,x64) и с SP1(x86,x64) существует ограничение на количество одновременных попыток сетевых подключений, установленное в режим 10.
В Windows 7 Professional, основная проблема в том, что количество одновременных подключений tcp ip в этой системе равно 20. Весьма распространено заблуждение о том,
 что ограничено максимальное количество соединений вообще.

                                                Попытка подключения

Для установления TCP соединения локальный компьютер сперва посылает удалённому
компьютеру приглашение к соединению (так называемый SYN пакет).
Состояние, в котором при этом находится локальный компьютер, называют
полуоткрытым соединением (англ. half-open connection) или попыткой подключения
(англ. connection attempt).
Далее в зависимости от ответа удалённого компьютера полуоткрытое соединение либо
закрывается, либо переходит в нормальное установленное TCP соединение.

                                             В чем суть ограничения

Ограничение заключается в том, что компьютеру не разрешается иметь более 10
одновременных полуоткрытых исходящих соединений. При достижении предела
новые попытки подключений ставятся в очередь.
Таким способом, фактически ограничена скорость подключения к другим компьютерам.
На количество установленных соединений жесткого предела в системе нет. Кроме
того, ограничение никак не затрагивает входящие соединения.
Ограничение введено компанией Microsoft в попытке замедлить распространение
вирусов с зараженного компьютера, а также ограничить возможности участия
компьютера в DoS — атаках.

                           Как проверить срабатывание ограничения

Чтобы проверить, срабатывает ли на вашем компьютере это ограничение, загляните в
Event Viewer (например через Control Panel — Administrative Tools; или  
Пуск — Выполнить — EventVwr.msc).
Каждое сообщение «EventID 4226: TCP/IP has reached the security limit
imposed on the number of concurrent TCP connect attempts» говорит о том, что ограничение сработало.
Причем в XP это реализовано на уровне системного файла TCPIP.SYS, который необходимо патчить с помощью программы: EventID 4226 Patcher Version2.23d, которая увеличит это число до 50.

                                                Как снять ограничение

Для того чтобы увеличить до максимума число возможных сессий в виндовой сетке, следует сделать следующее: запустить глобальные политики: CTRL+R — gpedit.msc
—Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности — Интерактивный вход в систему — выставляем его в 0 (отключение ограничения)

Значение этого параметра «0» отключает кэширование данных входа. При любом значении большем 50 кэшируется, только 50 попыток входа в систему.

или же внести правки в следующий ключ реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
NTCurrentVersionWinlogonCachedLogonsCount

изменив значение CachedLogonsCount на 50 или 0
В Vista SP2 и Windows 7 это ограничение уже было убрано из драйвера протокола, но в системе имеется ограничение на использование сетки для шаринга и печати, установленное в 20 соединений.
Также максимальное число входящих подключений к IIS, которое можно настроить через ключ реестра:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcpNumConnections (тип: DWORD, задав его от 5000 до 65536).
или же с помощью программы: EventID 4226 Patcher Version 2.23d, которая увеличит это число до 50.

От чего зависит скорость TCP/IP — соединения, Вы можете узнать здесь
Как устранить ошибки в TCP/IP — сетях читайте далее
Надеюсь эта статья поможет разобраться Вам с количеством одновременных подключений TCP/IP соединений. Подписывайтесь на обновления блога. 

Компьютер под управлением Windows по умолчанию кэширует данные 10-ти последних удачных регистрации. Это число может изменяться в пределах от 0 до 50.

  1.  Запустите редактор системного реестра (REGEDIT.EXE).

  2.  Перейдите в раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.

  3.  В меню Правка (Edit) выберите команду Создать > Строковый параметр (New > String Value).

  4.  Введите имя записи CachedLogonsCount и нажмите клавишу <Enter>.

  5.  Дважды щелкните на новой записи и введите значение от 0 до 50. Значение 0 означает, что кэширование регистраций не производится, а 50 — что будут кэшированы 50 последних удачных регистраций. Щелкните на кнопке OK.

  6.  Закройте редактор системного реестра.

  7.  Перезагрузите компьютер.

Если кто-либо попытается зарегистрироваться на недоступном контроллере домена, и данные об этой регистрации будут кэшированы, появится следующее сообщение:

A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes to your profile since your last logged on may not be available.

Тем не менее, пользователь будет успешно зарегистрирован. Если же информация о пользователе не кэшируется, на экран будет выведено такое сообщение:

The system cannot log you on now because the domain <домен> is not available.

При этом в регистрации будет отказано.

Когда доменный пользователь входит в Windows, по умолчанию его учетные данные (Cached Credentials: имя пользователя и хэш пароля) сохраняются на локальном компьютере. Благодаря этому, пользователь сможет войти на локальный компьютер, даже если контроллеры домена AD недоступны, выключены или на компьютере отключен сетевой кабель. Функционал кэширования учетных данных доменных аккаунтов удобен для пользователей ноутбуков, которые могут получить доступ к своим локальным данным на компьютере, когда нет доступа к корпоративной сети.

Сохраненный кэш доменной учетной записи в Windows

Вход на компьютер под кэшированными данными для пользователя доступен, если он ранее хотя бы один раз авторизовался на этом компьютере, и пароль в домене не был сменен с момента входа. Пароль пользователя в cashed credentials никогда не истекает. Если доменная политика паролей вынудит пользователя изменить пароль, сохраненный пароль пользователя в локальном кэше компьютера не изменится, пока пользователь не войдет на компьютер под новым паролем. Т.е. если пароль пользователя в AD был изменен после последнего входа на компьютер, и компьютер находился все время в офлайн режиме без доступа в сеть, то пользователь сможет войти на этот компьютер под старым паролем.

Если домен Active Directory недоступен, Windows проверяет, что введенные имя пользователя и пароль соответствуют сохраненному локальному хэшу и разрешает локальный вход на компьютер.

Сохраненные пароли хранятся в ветке реестра HKEY_LOCAL_MACHINESecurityCache (файл %systemroot%System32configSECURITY). Каждый сохранённый хэш содержится в Reg_Binary параметре NL$x (где x – индекс кэшированных данных). По умолчанию даже у администратора нет прав на просмотр содержимого этой ветки реестра, но при желании их можно легко получить.

В реестр сохраняет хэш пароля, модифицированный с помощь salt, созданной на основе имени пользователя.

Очистка значения параметра NL$x приведет к удалению кэшированных данных.

Если в локальном кэше для пользователя нет сохранённых учетных данных, то при входе на офлайн компьютер, появится сообщение:

There are currently no logon servers available to service the logon request.

Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.

Настройка Cached Credentials с помощью групповых политик

С помощью параметров групповых политик вы можете задать количество уникальных пользователей, чьи учетные данные могут быть сохранены в локальный кэш на компьютерах домена. Чтобы данные попали в кэш, пользователь должен хотя бы один раз залогиниться на компьютер.

По-умолчанию в Windows 10 /Windows Server 2016 сохраняются учетные данные для 10 пользователей. Чтобы изменить это количество, используется параметр GPO Interactive logon: Number of previous logons to cache (in case domain controller is not available) (Интерактивный вход в систему: количество предыдущих подключений к кэшу в случае отсутствия доступа к контроллеру домена), который находится в разделе Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Можно задать значение от 0 до 50.

Этот параметр также можно настроить с помощью REG_SZ параметра реестра CashedLogonsCount из ветки HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

При входе под сохраненными данными, пользователь не видит, что контроллер домена не доступен. С помощью GPO можно вывести уведомление о входе под кэшированными данными. Для этого нужно включить политику Report when logon server was not available during user logon (Сообщать, когда сервер входа недоступен при входе пользователя) в разделе Compute configuration -> Policies -> Administrative templates -> Windows Components -> Windows Logon Options.

В этом случае при входе пользователя в трее будет появляться уведомление:

Не удается подключиться к серверу входа (контроллеру домена). Вход выполнен с помощью ранее сохраненных сведений об учетной записи.

A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes to your profile since you last logged on might not be available.

Безопасность кэшированных учетных данных в Windows

Локальное кэширование учетных данных несет ряд рисков безопасности. Злоумышленник, получив физический доступ к компьютеру/ноутбуку с кэшированными данными, может с помощью брутфорса расшифровать хэш пароля (тут все зависит от сложности и длины пароля, для сложных паролей время подбора огромное). Поэтому не рекомендуется использовать кеширование для учетных записей с правами локального администратора (или, тем более, доменного администратора).

Для уменьшения рисков безопасности, можно отключить кэширование учетных записей на офисных компьютерах и компьютерах администраторов. Для мобильных устройств желательно уменьшить количество кэшируемых аккаунтов до 1. Т.е. даже если администратор заходил на компьютер и его учетные данные попали в кэш, при входе пользователя-владельца устройства, хэш пароля администратора будет удален.

Для доменов с функциональным уровнем Windows Server 2012 R2 или выше можно добавить учетные записи администраторов домена в группу Protected Users. Для таких пользователей запрещено локальное сохранение кэшированных данных для входа.

Можно создать в домене отдельные политики по использованию кэшированных учетных данных для разных устройств и категорий пользователей (например, с помощью GPO Security filters, WMI фильтров, или распространению настроек параметра реестра CashedLogonsCount через GPP Item level targeting).

Для мобильных пользователей –
CashedLogonsCount = 1

Для обычных компьютеров –
CashedLogonsCount = 0

Такие политики снизят вероятность получения хэша привелигированных пользователей с персональных компьютеров.