Рекомендации Шираза действительны для локальных (не AD) учетных записей Windows, но я считаю, что ваша угроза не связана с хранимыми в SAM локальными паролями Windows, так как вы говорите о настройке Active Directoryс системами Windows, присоединенными к домену.
Предположительно, учетные данные безопасности / учетные данные Windows разрешают доступ только к учетным записям пользователей, настроенным в Active Directory.[Все обсуждения здесь предполагают, что мы говорим об этих учетных записях AD, а не о локальных учетных записях на каждом клиенте Windows.]
Если вы разрешили доступ только к службе WCF для учетных записей AD, то служба WCF будет толькопрактически уязвимы для злоумышленников, которые могут получить (или угадать) незашифрованный пароль.Поскольку вы подняли вопрос о атаках с живого компакт-диска, я также предполагаю, что вы беспокоитесь только о атаках на клиенты Windows, а не на контроллер домена AD (физическая безопасность которого, предположительно, намного сильнее, чем физическая защита клиентов Windows).
Таким образом, угроза, которую вы выдвигаете, заключается в том, что злоумышленник может каким-то образом найти пароль AD пользователя где-нибудь на жестком диске клиента Windows (или легко взломанный эквивалент его пароля).Это не тип атаки, для которой обычно полезны Live CD - как указывал Шираз, они хороши для выкапывания хешей паролей из локальной SAM и помогают перебором нескольких паролейкомбинации (или сравнить их с локальной или онлайновой «радужной таблицей», содержащей тонну предварительно рассчитанных значений пароля).Некоторые из этих инструментов также сканируют локальные кэши таких паролей, такие как старые браузеры, которые сохраняли ваш пароль для аутентификации веб-сайта - хотя современные браузеры почти все теперь избегают этих открытых бэкдоров.
Основной кэшAD-пароль пользователя на клиенте Windows - это «кэшированные учетные данные домена» (которые позволяют войти в систему с использованием пароля домена, даже если вы не подключены к сети).Он не хранится в виде простого хэша вашего пароля AD - вместо этого он дважды хеширует и , зашифрованные с помощью локального SYSKEY, что делает его на порядок более трудоемким при попытке перебора.Достаточно длинный или надежный (или оба) пароль AD делает атаки методом "грубой силы" практически неосуществимыми, за исключением очень преданных злоумышленников (таких как шпионаж, правительства и т. Д.). Таким образом, ваш самый эффективный инструмент для проверки того, что это невозможно, - установить разумный пароль.политика - сложные символы и приличная минимальная длина в порядке;не сложные, но очень длинные пароли (также называемые парольными фразами) также имеют смысл.
Другие кэши пароля могут существовать, но это полностью зависит от того, используют ли ваши пользователи действительно дрянные приложения - сегодня на рынке все меньше и меньше таких приложений, но никогда не говори никогда.