Gilt für
Windows Server 2012 R2 Standard Windows Server 2012 R2 Datacenter Windows 8.1 Pro Windows 8.1 Enterprise Windows Server 2012 Standard Windows Server 2012 Standard Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows 8 Pro Windows 8 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows 7 Enterprise Windows 7 Professional

Zusammenfassung

In diesem Artikel wird erläutert, wie AMA (Authentication Mechanism Assurance) in interaktiven Anmeldeszenarien verwendet wird.

Einführung

AMA fügt dem Zugriffstoken eines Benutzers eine vom Administrator festgelegte universelle Gruppenmitgliedschaft hinzu, wenn die Anmeldeinformationen des Benutzers während der Anmeldung mithilfe einer zertifikatbasierten Anmeldemethode authentifiziert werden. Dadurch können Netzwerkressourcenadministratoren den Zugriff auf Ressourcen wie Dateien, Ordner und Drucker steuern. Dieser Zugriff basiert darauf, ob sich der Benutzer mit einer zertifikatbasierten Anmeldemethode und dem Zertifikattyp anmeldet, der für die Anmeldung verwendet wird.

In diesem Artikel

Dieser Artikel konzentriert sich auf zwei Problemszenarien: Anmeldung/Abmeldung und Sperren/Entsperren. Das Verhalten von AMA in diesen Szenarien ist "beabsichtigt" und kann wie folgt zusammengefasst werden:

  • AMA dient zum Schutz von Netzwerkressourcen.

  • AMA kann den interaktiven Anmeldetyp (smarte Karte oder Benutzername/Kennwort) für den lokalen Computer des Benutzers weder identifizieren noch erzwingen. Dies liegt daran, dass Ressourcen, auf die nach einer interaktiven Benutzeranmeldung zugegriffen wird, nicht zuverlässig mithilfe von AMA geschützt werden können.

Problembeschreibung

Problemszenario 1 (Anmeldung/Abmeldung)

Stellen Sie sich folgendes Szenario vor:

  • Ein Administrator möchte die Smartcard-Anmeldeauthentifizierung (SC) erzwingen, wenn Benutzer auf bestimmte sicherheitsrelevante Ressourcen zugreifen. Dazu stellt der Administrator AMA gemäß der Authentifizierungsmechanismus-Sicherheit für AD DS in Windows Server 2008 R2 Step-by-Step Guide für den Ausstellungsrichtlinienobjektbezeichner bereit, der in allen Smart Karte-Zertifikaten verwendet wird. Hinweis In diesem Artikel wird diese neue zugeordnete Gruppe als "intelligente Karte universelle Sicherheitsgruppe" bezeichnet.

  • Die Richtlinie "Interaktive Anmeldung: Intelligente Karte erforderlich" ist auf Arbeitsstationen nicht aktiviert. Daher können sich Benutzer mit anderen Anmeldeinformationen wie Benutzername und Kennwort anmelden.

  • Der Zugriff auf lokale und Netzwerkressourcen erfordert die intelligente Karte universelle Sicherheitsgruppe.

In diesem Szenario erwarten Sie, dass nur Benutzer, die sich mithilfe von Smartcards anmelden, auf lokale und Netzwerkressourcen zugreifen können. Da die Arbeitsstation jedoch eine optimierte/zwischengespeicherte Anmeldung zulässt, wird die zwischengespeicherte Überprüfung während der Anmeldung verwendet, um das NT-Zugriffstoken für den Desktop des Benutzers zu erstellen. Daher werden die Sicherheitsgruppen und Ansprüche aus der vorherigen Anmeldung anstelle der aktuellen verwendet.

Szenariobeispiele

Hinweis In diesem Artikel wird die Gruppenmitgliedschaft für interaktive Anmeldesitzungen mithilfe von "whoami/groups" abgerufen. Dieser Befehl ruft die Gruppen und Ansprüche aus dem Zugriffstoken des Desktops ab.

  • Beispiel 1Wenn die vorherige Anmeldung mithilfe eines intelligenten Karte durchgeführt wurde, verfügt das Zugriffstoken für den Desktop über die von AMA bereitgestellte universelle Sicherheitsgruppe smart Karte. Eines der folgenden Ergebnisse tritt auf:

    • Der Benutzer meldet sich mit dem intelligenten Karte an: Der Benutzer kann weiterhin auf lokale sicherheitsrelevante Ressourcen zugreifen. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die intelligente Karte universelle Sicherheitsgruppe erfordern. Diese Versuche sind erfolgreich.

    • Der Benutzer meldet sich mit Benutzername und Kennwort an: Der Benutzer kann weiterhin auf lokale sicherheitsrelevante Ressourcen zugreifen. Dieses Ergebnis wird nicht erwartet. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die intelligente Karte universelle Sicherheitsgruppe erfordern. Diese Versuche schlagen erwartungsgemäß fehl.

  • Beispiel 2Wenn die vorherige Anmeldung mit einem Kennwort durchgeführt wurde, verfügt das Zugriffstoken für den Desktop nicht über die intelligente Karte universelle Sicherheitsgruppe, die von AMA bereitgestellt wird. Eines der folgenden Ergebnisse tritt auf:

    • Der Benutzer meldet sich mit einem Benutzernamen und Kennwort an: Der Benutzer kann nicht auf lokale sicherheitsrelevante Ressourcen zugreifen. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die intelligente Karte universelle Sicherheitsgruppe erfordern. Diese Versuche schlagen fehl.

    • Der Benutzer meldet sich mit dem intelligenten Karte an: Der Benutzer kann nicht auf lokale sicherheitsrelevante Ressourcen zugreifen. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen. Diese Versuche sind erfolgreich. Dieses Ergebnis wird von Kunden nicht erwartet. Daher verursacht dies Probleme bei der Zugriffssteuerung.

Problemszenario 2 (Sperren/Entsperren)

Betrachten Sie das folgende Szenario:

  • Ein Administrator möchte die Smartcard-Anmeldeauthentifizierung (SC) erzwingen, wenn Benutzer auf bestimmte sicherheitsrelevante Ressourcen zugreifen. Dazu stellt der Administrator AMA gemäß authentication mechanism assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide (Schritt-für-Schritt-Anleitung) für den Ausstellungsrichtlinienobjektbezeichner bereit, der in allen Smart Karte-Zertifikaten verwendet wird.

  • Die Richtlinie "Interaktive Anmeldung: Intelligente Karte erforderlich" ist auf Arbeitsstationen nicht aktiviert. Daher können sich Benutzer mit anderen Anmeldeinformationen wie Benutzername und Kennwort anmelden.

  • Der Zugriff auf lokale und Netzwerkressourcen erfordert die intelligente Karte universelle Sicherheitsgruppe.

In diesem Szenario erwarten Sie, dass nur ein Benutzer, der sich mit Smartcards anmeldet, auf lokale und Netzwerkressourcen zugreifen kann. Da das Zugriffstoken für den Desktop des Benutzers jedoch während der Anmeldung erstellt wird, wird es nicht geändert.

Szenariobeispiele

  • Beispiel 1Wenn das Zugriffstoken für den Desktop über die von AMA bereitgestellte universelle Sicherheitsgruppe smart Karte verfügt, tritt eines der folgenden Ergebnisse auf:

    • Der Benutzer entsperrt mithilfe der intelligenten Karte: Der Benutzer kann weiterhin auf lokale sicherheitsrelevante Ressourcen zugreifen. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die intelligente Karte universelle Sicherheitsgruppe erfordern. Diese Versuche sind erfolgreich.

    • Der Benutzer wird mithilfe des Benutzernamens und Kennworts entsperrt: Der Benutzer kann weiterhin auf lokale sicherheitsrelevante Ressourcen zugreifen. Dieses Ergebnis wird nicht erwartet. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die intelligente Karte universelle Sicherheitsgruppe erfordern. Diese Versuche schlagen fehl.

  • Beispiel 2Wenn das Zugriffstoken für den Desktop nicht über die von AMA bereitgestellte universelle Sicherheitsgruppe smart Karte verfügt, tritt eines der folgenden Ergebnisse auf:

    • Der Benutzer entsperrt mithilfe von Benutzername und Kennwort: Der Benutzer kann nicht auf lokale sicherheitsrelevante Ressourcen zugreifen. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen, die die intelligente Karte universelle Sicherheitsgruppe erfordern. Diese Versuche schlagen fehl.

    • Der Benutzer entsperrt mithilfe der intelligenten Karte: Der Benutzer kann nicht auf lokale sicherheitsrelevante Ressourcen zugreifen. Dieses Ergebnis wird nicht erwartet. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen. Diese Versuche sind wie erwartet erfolgreich.

Weitere Informationen

Aufgrund des im Abschnitt "Symptome" beschriebenen Entwurfs des AMA- und Sicherheitssubsystems erleben Benutzer die folgenden Szenarien, in denen AMA den Typ der interaktiven Anmeldung nicht zuverlässig identifizieren kann.

Anmeldung/Abmeldung

Wenn die Optimierung der schnellen Anmeldung aktiv ist, verwendet das lokale Sicherheitssubsystem (lsass) den lokalen Cache, um die Gruppenmitgliedschaft im Anmeldetoken zu generieren. Auf diese Weise ist die Kommunikation mit dem Domänencontroller (DC) nicht erforderlich. Daher wird die Anmeldezeit reduziert. Dies ist ein äußerst wünschenswertes Feature.Diese Situation verursacht jedoch das folgende Problem: Nach der SC-Anmeldung und sc-Abmeldung ist die lokal zwischengespeicherte AMA-Gruppe fälschlicherweise nach der interaktiven Anmeldung des Benutzernamens/Kennworts noch im Benutzertoken vorhanden.Notizen

  • Diese Situation gilt nur für interaktive Anmeldungen.

  • Eine AMA-Gruppe wird auf die gleiche Weise und mithilfe der gleichen Logik wie andere Gruppen zwischengespeichert.

Wenn der Benutzer dann versucht, auf Netzwerkressourcen zuzugreifen, wird die zwischengespeicherte Gruppenmitgliedschaft auf der Ressourcenseite nicht verwendet, und die Anmeldesitzung des Benutzers auf der Ressourcenseite enthält keine AMA-Gruppe.Dieses Problem kann behoben werden, indem Sie die Schnelle Anmeldungsoptimierung deaktivieren ("Computerkonfiguration > Administrative Vorlagen > System > Anmeldung > Immer auf das Netzwerk beim Starten und Anmelden des Computers warten"). Wichtig Dieses Verhalten ist nur im szenario der interaktiven Anmeldung relevant. Der Zugriff auf Netzwerkressourcen funktioniert wie erwartet, da keine Anmeldeoptimierung erforderlich ist. Daher wird die zwischengespeicherte Gruppenmitgliedschaft nicht verwendet. Der Domänencontroller wird kontaktiert, um das neue Ticket mithilfe der neuesten AMA-Gruppenmitgliedschaftsinformationen zu erstellen.

Sperren/Entsperren

Betrachten Sie das folgende Szenario:

  • Ein Benutzer meldet sich interaktiv mit dem intelligenten Karte an und öffnet dann AMA-geschützte Netzwerkressourcen.Hinweis Auf AMA-geschützte Netzwerkressourcen kann nur auf Benutzer zugegriffen werden, die über eine AMA-Gruppe in ihrem Zugriffstoken verfügen.

  • Der Benutzer sperrt den Computer, ohne zuvor die zuvor geöffnete AMA-geschützte Netzwerkressource zu schließen.

  • Der Benutzer entsperrt den Computer, indem er den Benutzernamen und das Kennwort desselben Benutzers verwendet, der sich zuvor mit einem intelligenten Karte) angemeldet hat.

In diesem Szenario kann der Benutzer weiterhin auf die AMA-geschützten Ressourcen zugreifen, nachdem der Computer entsperrt wurde. Es handelt sich hierbei um ein beabsichtigtes Verhalten. Wenn der Computer entsperrt ist, erstellt Windows nicht alle geöffneten Sitzungen, die Netzwerkressourcen enthielten, neu. Windows überprüft auch die Gruppenmitgliedschaft nicht erneut. Dies liegt daran, dass diese Aktionen zu inakzeptablen Leistungseinbußen führen würden.Für dieses Szenario gibt es keine sofort einsatzbereite Lösung. Eine Lösung wäre die Erstellung eines Anmeldeinformationsanbieterfilters, der den Benutzernamen-/Kennwortanbieter herausfiltert, nachdem die SC-Anmelde- und Sperrschritte ausgeführt wurden. Weitere Informationen zum Anmeldeinformationsanbieter finden Sie in den folgenden Ressourcen:

ICredentialProviderFilter-Schnittstelle Beispiele für den Anmeldeinformationsanbieter für Windows VistaHinweis Wir können nicht bestätigen, ob dieser Ansatz jemals erfolgreich implementiert wurde.

Weitere Informationen zu AMA

AMA kann den interaktiven Anmeldetyp (Smart Karte oder Benutzername/Kennwort) weder identifizieren noch erzwingen. Es handelt sich hierbei um ein beabsichtigtes Verhalten.AMA ist für Szenarien vorgesehen, in denen Netzwerkressourcen eine intelligente Karte erfordern. Sie ist nicht für den lokalen Zugriff vorgesehen.Jeder Versuch, dieses Problem durch die Einführung neuer Features zu beheben, z. B. die Möglichkeit, dynamische Gruppenmitgliedschaften zu verwenden oder AMA-Gruppen als dynamische Gruppe zu behandeln, kann erhebliche Probleme verursachen. Aus diesem Grund unterstützen NT-Token keine dynamischen Gruppenmitgliedschaften. Wenn das System die Kürzung von Gruppen in der Realität zulässt, werden Benutzer möglicherweise daran gehindert, mit ihrem eigenen Desktop und ihren eigenen Anwendungen zu interagieren. Daher werden Gruppenmitgliedschaften zum Zeitpunkt der Erstellung der Sitzung gesperrt und während der gesamten Sitzung beibehalten.Zwischengespeicherte Anmeldungen sind ebenfalls problematisch. Wenn die optimierte Anmeldung aktiviert ist, versucht lsass zunächst einen lokalen Cache, bevor ein Netzwerkroundtrip aufgerufen wird. Wenn der Benutzername und das Kennwort mit dem identisch sind, was lsass für die vorherige Anmeldung gesehen hat (dies gilt für die meisten Anmeldungen), erstellt lsass ein Token, das die gleichen Gruppenmitgliedschaften aufweist wie der Benutzer zuvor. Wenn die optimierte Anmeldung deaktiviert ist, ist ein Netzwerkroundtrip erforderlich. Dadurch wird sichergestellt, dass die Gruppenmitgliedschaften bei der Anmeldung wie erwartet funktionieren.Bei einer zwischengespeicherten Anmeldung behält lsass einen Eintrag pro Benutzer bei. Dieser Eintrag enthält die vorherige Gruppenmitgliedschaft des Benutzers. Dies ist sowohl durch das letzte Kennwort als auch durch die smarten Karte Anmeldeinformationen geschützt, die lsass gesehen hat. Beide entpacken dasselbe Token und denselben Anmeldeinformationsschlüssel. Wenn Benutzer versuchen würden, sich mit einem veralteten Anmeldeinformationsschlüssel anzumelden, würden sie DPAPI-Daten, EFS-geschützte Inhalte usw. verlieren. Daher erzeugen zwischengespeicherte Anmeldungen immer die neuesten lokalen Gruppenmitgliedschaften, unabhängig vom Mechanismus, der für die Anmeldung verwendet wird.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter