Beschreibung des AMA Verwendung in Szenarios interaktive Anmeldung in Windows

Zusammenfassung

Dieser Artikel beschreibt, wie Authentifizierung Mechanismus Assurance (AMA) in interaktive Anmeldung Szenarios verwendet.

Einführung

AMA hinzugefügt Zugriffstoken des Benutzers Administrator festgelegt, universelle Gruppenmitgliedschaft, wenn die Anmeldeinformationen des Benutzers bei der Anmeldung mithilfe einer Methode zertifikatbasierte Anmeldung authentifiziert werden. Dadurch können Netzwerkadministratoren Ressource steuern den Zugriff auf Ressourcen wie Dateien, Ordner und Drucker. Dieser Zugriff basiert auf, ob die Anmeldung mithilfe einer zertifikatbasierten Anmeldemethode und den Typ des Zertifikats, das zum Anmelden.

In diesem Artikel

Dieser Artikel konzentriert sich auf zwei Problem: Anmeldung/Abmeldung und verriegeln. Das Verhalten des AMA in diesen Szenarien "by Design" und kann wie folgt zusammengefasst werden:

  • AMA soll Netzwerkressourcen zu schützen.
  • AMA identifizieren weder interaktive Anmeldungstyp (Smartcard oder Benutzername/Kennwort) für den lokalen Computer des Benutzers zu erzwingen. Ist nach einer interaktiven Anmeldung Zugriff auf Ressourcen mit AMA zuverlässig geschützt werden können.

Problembeschreibung

Problem Szenario 1 (Anmelden/Abmelden)

Betrachten Sie das folgende Szenario:
  • Ein Administrator möchte Anmeldeauthentifizierung Smartcard (SC) erzwingen, wenn Benutzer bestimmte sicherheitsrelevante Ressourcen zugreifen. Dazu stellt der Administrator AMA nach Authentifizierung Mechanismus Assurance für AD DS in Windows Server 2008 R2-Leitfaden für die Ausstellung Richtlinie Objekt-ID, die in der Smartcard-Zertifikate verwendet.

    Hinweis In diesem Artikel finden wir neue zugeordneten als "Smart Card universelle Sicherheitsgruppe."
  • Die "Interaktive Anmeldung: Smartcard erforderlich" Richtlinie nicht auf Arbeitsstationen aktiviert. Daher können Benutzer anmelden mit anderen Anmeldeinformationen wie Benutzername und Kennwort.
  • Lokale und Zugriff auf Netzwerkressourcen erfordert universelle Sicherheitsgruppe Smartcard.
In diesem Szenario erwarten Sie, dass nur Benutzer mit Smartcards Zeichen kann Zugriff auf lokale und Netzwerkressourcen. Aber da die Arbeitsstation optimiert/Cache anmelden kann, ist zwischengespeicherte Verifier während der Anmeldung zum NT Zugriffstoken für den Desktop des Benutzers erstellen. Daher werden die Sicherheitsgruppen und Ansprüche die frühere Anmeldung anstelle des aktuellen verwendet.



Szenario-Beispiele

Hinweis In diesem Artikel wird der Gruppenmitgliedschaft für interaktive Anmeldung Sessions mit abgerufen "Whoami/Gruppen". Dieser Befehl ruft die Gruppen und Ansprüche von Zugriffstoken für den Desktop ab.

  • Beispiel 1

    Bei die frühere Anmeldung über eine Smartcard wurde das Zugriffstoken für den Desktop Smartcard universellen Sicherheitsgruppe, die AMA zur Verfügung. Eines der folgenden Ergebnisse auftritt:

    • Der Benutzer meldet sich mithilfe der Smartcard: Benutzer kann weiterhin lokale vertrauliche Ressourcen zugreifen. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen, die universelle Sicherheitsgruppe Smartcard erforderlich. Diese Versuche erfolgreich sind.
    • Die Anmeldung mit Benutzername und Kennwort: der Benutzer kann weiterhin lokale vertrauliche Ressourcen zugreifen. Dieses Ergebnis wird nicht erwartet. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen, die universelle Sicherheitsgruppe Smartcard erforderlich. Diese Versuche nicht wie erwartet.
  • Beispiel 2

    Bei die frühere Anmeldung mit einem Kennwort das Zugriffstoken für den Desktop universelle Sicherheitsgruppe Smartcard keinen, die AMA zur Verfügung. Eines der folgenden Ergebnisse auftritt:

    • Die Anmeldung mit einem Benutzernamen und Kennwort: der Benutzer nicht auf lokale vertrauliche Ressourcen zugreifen. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen, die universelle Sicherheitsgruppe Smartcard erforderlich. Diese Versuche fehlschlagen.
    • Der Benutzer meldet sich mithilfe der Smartcard: der Benutzer nicht auf lokale vertrauliche Ressourcen zugreifen. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen. Diese Versuche erfolgreich sind. Dieses Ergebnis ist nicht vom Kunden erwartet. Daher wird Access Probleme.

Problem Szenario 2 (Sperren/Entsperren)

Betrachten Sie das folgende Szenario:

  • Ein Administrator möchte Anmeldeauthentifizierung Smartcard (SC) erzwingen, wenn Benutzer bestimmte sicherheitsrelevante Ressourcen zugreifen. Dazu bringt Administrator AMA nach Authentifizierung Mechanismus Assurance für AD DS in Windows Server 2008 R2-Leitfaden für die Ausstellung Richtlinie Objekt-ID, die in der Smartcard-Zertifikate verwendet.
  • Die "Interaktive Anmeldung: Smartcard erforderlich" Richtlinie nicht auf Arbeitsstationen aktiviert. Daher können Benutzer anmelden mit anderen Anmeldeinformationen wie Benutzername und Kennwort.
  • Lokale und Zugriff auf Netzwerkressourcen erfordert universelle Sicherheitsgruppe Smartcard.
In diesem Szenario erwarten Sie, dass nur ein Benutzer mit Smartcards Zeichen kann Zugriff auf lokale und Netzwerkressourcen. Aber da das Zugriffstoken für den Benutzer bei der Anmeldung erstellt wird, wird er nicht geändert.



Szenario-Beispiele

  • Beispiel 1

    Wenn das Zugriffstoken für den Desktop Smartcard universelle Sicherheitsgruppe, die AMA bereitgestellt hat, tritt eines der folgenden Ergebnisse:

    • Der Benutzer mithilfe der Smartcard entsperrt: Benutzer kann weiterhin lokale vertrauliche Ressourcen zugreifen. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen, die universelle Sicherheitsgruppe Smartcard erforderlich. Diese Versuche erfolgreich sind.
    • Benutzer mit Benutzernamen und Kennwort entsperrt: Benutzer kann weiterhin lokale vertrauliche Ressourcen zugreifen. Dieses Ergebnis wird nicht erwartet. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen, die universelle Sicherheitsgruppe Smartcard erforderlich. Diese Versuche fehlschlagen.
  • Beispiel 2

    Das Zugriffstoken für den Desktop keinen Smartcard universelle Sicherheitsgruppe, die von AMA bereitgestellten, tritt eines der folgenden Ergebnisse:

    • Benutzer mit Benutzernamen und Kennwort entsperrt: der Benutzer nicht auf lokale vertrauliche Ressourcen zugreifen. Der Benutzer versucht, dass universelle Sicherheitsgruppe Smartcard zugreifen. Diese Versuche fehlschlagen.
    • Der Benutzer mithilfe der Smartcard entsperrt: der Benutzer nicht auf lokale vertrauliche Ressourcen zugreifen. Dieses Ergebnis wird nicht erwartet. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen. Diese Versuche erfolgreich wie erwartet.

Weitere Informationen

Im Abschnitt "Symptome" beschriebene Design AMA und Sicherheitsteilsystem kommen Benutzer die folgenden Szenarien in denen AMA zuverlässig interaktive Anmeldetyp identifizieren kann.

Logon/logoff

Wenn Optimierung für schnelles Anmelden aktiviert ist, verwendet das lokale Sicherheitsteilsystem (Lsass) lokalen Cache Gruppenmitgliedschaft in das Anmeldetoken generiert. Dadurch ist die Kommunikation mit dem Domänencontroller (DC) nicht erforderlich. Anmeldung wird daher verringert. Dies ist wünschenswert.

Diese Situation führt jedoch folgende Problem: nach SC-Anmeldung und Abmeldung SC lokal zwischengespeicherte AMA Gruppe ist, weiterhin in das Benutzertoken nach Benutzer und Kennwort interaktive Anmeldung.

Hinweise

  • Dies gilt nur für interaktive Anmeldung.
  • Eine AMA Gruppe wird auf die gleiche Weise und mit der gleichen Logik wie andere Gruppen zwischengespeichert.

In diesem Fall, wenn der Benutzer dann versucht, den Zugriff auf Netzwerkressourcen, zwischengespeicherte Gruppenmitgliedschaft auf Ressource nicht verwendet und keine Anmeldung des Benutzers auf Ressourcen eine Gruppe AMA enthalten.

Dieses Problem kann durch Deaktivieren der Optimierung für schnelles Anmelden behoben ("Computerkonfiguration > Administrative Vorlagen > System > Anmeldung > Netzwerk und bei warten").

Wichtig Dies ist nur im interaktiven Anmeldung Szenario relevant. Zugriff auf Netzwerkressourcen funktioniert wie erwartet, da keine Notwendigkeit für Optimierung anmelden besteht. Daher nicht zwischengespeicherte Gruppenmitgliedschaft verwendet. Der DC wird kontaktiert, um über die neuesten Informationen zur Gruppenmitgliedschaft AMA neue Ticket erstellen.

Lock/unlock

Betrachten Sie das folgende Szenario:

  • Ein Benutzer interaktiv mit der Smartcard anmeldet und öffnet dann Netzwerkressourcen AMA geschützt.

    Hinweis AMA geschütztes Netzwerk können Zugriff auf nur Benutzer mit einer Gruppe AMA in ihr Zugriffstoken.
  • Benutzer sperrt den Computer ohne erste geöffnete AMA geschützte Netzwerkressource.
  • Der Benutzer wird der Computer entsperrt mit Benutzernamen und Kennwort von demselben Benutzer zuvor mithilfe einer Smartcards angemeldet).
In diesem Szenario kann der Benutzer weiterhin AMA geschützte Ressourcen zugreifen, nachdem der Computer entsperrt wird. Dieses Verhalten ist entwurfsbedingt. Wenn der Computer nicht gesperrt ist, wird Windows nicht open Sessions erstellen, die Netzwerkressourcen. Windows ist auch keine Gruppenmitgliedschaft überprüfen. Ist diese Aktionen inakzeptabel Leistungseinbußen verursachen würde.

Es gibt keine Out-of-Box-Lösung für dieses Szenario. Eine Lösung wäre Anmeldeinformationsanbieter filtern, die nach der Anmeldung SC, Benutzer und Kennwort Anbieter filtert und Sperre Schritte ausgeführt. Erfahren Sie mehr über Anmeldeinformationsanbieter finden Sie in folgenden Ressourcen:

Hinweis Wir können nicht überprüfen, ob dieser Ansatz immer erfolgreich ist.

Weitere Informationen über AMA

AMA identifizieren weder Erzwingen der interaktiven Anmeldetyp (Smartcard oder Benutzername/Kennwort). Dieses Verhalten ist entwurfsbedingt.

AMA ist für Szenarien vorgesehen Netzwerkressourcen Smartcard verlangen. Es soll nicht für den lokalen Zugriff verwendet werden.

Jeder Versuch, dieses Problem beheben, indem Sie neue Funktionen, wie dynamische Gruppenmitgliedschaft oder Handle AMA als dynamische Gruppe kann erhebliche Probleme verursachen. Deshalb NT Tokens dynamisches Gruppenmitgliedschaften unterstützen. Wenn das System Gruppen Real gekürzt werden dürfen, können Benutzer mit eigenen Desktop Applications verhindert werden. Daher Gruppenmitgliedschaften zum Zeitpunkt der Sitzung Erstellung gesperrt sind und bleiben während der Sitzung.

Zwischengespeicherten Anmeldeversuche sind problematisch. Optimierte Anmeldung aktiviert ist, versucht Lsass zunächst einen lokalen Cache, bevor ein Netzwerk Roundtrip aufgerufen. Wenn Benutzername und Kennwort identisch sind, was für die vorherige Anmeldung Lsass sah (Dies gilt für die meisten Anmeldung) erstellt Lsass ein Token mit der gleichen Gruppenmitgliedschaften, die der Benutzer zuvor.

Optimierte Anmeldung aktiviert ist, wäre ein Netzwerk-Roundtrip erforderlich. Dies würde sicherstellen, dass die Gruppenmitgliedschaft bei Anmeldung erwartungsgemäß.

In einer zwischengespeicherten Anmeldung hält Lsass ein Eintrag pro Benutzer. Vorherige Gruppenmitgliedschaft des Benutzers enthält. Dies wird durch das letzte Kennwort oder Smartcard-Anmeldeinformationen Lsass sah geschützt. Beide Entpacken denselben Schlüssel Tokens und Anmeldeinformationen. Wenn Benutzer versuchen, mit einem Anmeldeinformationsschlüssel veraltete anzumelden, würde sie DPAPI Daten EFS-geschützte Inhalte, und verlieren. Zwischengespeicherten Anmeldeversuche erzeugen daher immer die aktuelle lokale Gruppenmitgliedschaft unabhängig von der Mechanismus zum Anmelden.
Eigenschaften

Artikelnummer: 3101129 – Letzte Überarbeitung: 20.01.2017 – Revision: 1

Feedback