Evitar contraseñas cacheadas en local para recursos compartidos mediante GPO

Vamos a impedir que los usuarios puedan cachear las unidades de red, venga a practicar un poco.

-Ir al controlador de dominio y en la unidad o volumen donde tenemos guardados los permisos de usuario es decir una unidad distinta a c:\ hacemos una carpeta nueva llamada ventas, dentro creamos un fichero o guardamos algo, bien sea una foto o lo que sea,, le damos permisos sobre la carpeta a un usuario llamado usuventas, por lo que previamente debemos tener este usuario creado en nuestra OU ventas.

La carpeta estará compartida para todos los usuarios autenticados en el dominio quitando todos los demás, pero no le damos permisos de control total a nadie.

-Desde un equipo cliente logado como Lola y otro usuario que no sea administrador, vamos acceder al recurso compartido de ventas, lo tenemos que buscar en entornos de red con nuestro explorador de windows, si no esta probablemente tengáis deshabilitado IPV6, podemos acceder también al recurso desde buscar o ejecutar con \\nuestronombredeservidor pero no va dejarnos entrar.

Si intentamos cambiar sus permisos no vamos a poder. ( comprobarlo para ver que todo va bien )

-Ahora damos botón derecho sobre el recurso compartido y le decimos conectar a unidad de red. Si marcamos la opción de conectar de nuevo al iniciar sesión, no va dar un error de permisos. (comprobarlo)

-Eliminar la unidad de red que os acaba de crear antes de continuar.

Para entrar marcamos conectar con otras credenciales sin dejar de marcar conectar de nuevo al iniciar sesión.

 

Ahora nos pide credenciales, así que pondremos las de usuventas.

Aceptar.

 

Ya tenemos acceso al recurso compartido.

-Reiniciamos el equipo y vamos al recurso de red

.

 

No tenemos acceso. La única solución online es desconectarse y volver a conectarse, si se puede tener acceso a la información cacheada.

Esta vez marcamos recordar mis credenciales:

 

Ahora reiniciamos como lola para comprobar que están cacheadas las credenciales de los usuarios para las conexiones de red, en este caso usuventas.

Es correcto están cacheadas, ya nunca más al iniciar vamos a necesitar introducir las credenciales que bien no??, pues noooo, menudo agujero de seguridad.

Al estar cacheadas puede ser un problema ya que alguien con ciertas malas intenciones puede intentar descubrir las credenciales mediante aplicaciones de terceros que no pongo por no ayudar a usuarios sin conocimientos.

Para evitarlo debemos de marcar una GPO que impida este cacheo y cada vez que se quiera acceder por primera vez al recurso de red tengan que introducir las credenciales, luego en el tiempo que se puede mantener sin uso antes de cerrarse podemos ser un poco más transgresores.

Probamos que funcione la GPO y Fin.