Σύνοψη
Αυτό το άρθρο περιγράφει τον τρόπο χρήσης της Διασφάλισης μηχανισμού ελέγχου ταυτότητας (AMA) σε σενάρια αλληλεπιδραστικής σύνδεσης.
Εισαγωγή
Η AMA προσθέτει μια ιδιότητα μέλους καθολικής ομάδας που καθορίζεται από το διαχειριστή στο διακριτικό πρόσβασης ενός χρήστη, όταν γίνεται έλεγχος ταυτότητας των διαπιστευτηρίων του χρήστη κατά τη σύνδεση, χρησιμοποιώντας μια μέθοδο σύνδεσης που βασίζεται σε πιστοποιητικό. Αυτό δίνει τη δυνατότητα στους διαχειριστές πόρων δικτύου να ελέγχουν την πρόσβαση σε πόρους, όπως αρχεία, φακέλους και εκτυπωτές. Αυτή η πρόσβαση βασίζεται στο εάν ο χρήστης συνδέεται χρησιμοποιώντας μια μέθοδο σύνδεσης που βασίζεται σε πιστοποιητικό και τον τύπο του πιστοποιητικού που χρησιμοποιείται για τη σύνδεση.
Σε αυτό το άρθρο
Αυτό το άρθρο εστιάζει σε δύο σενάρια προβλημάτων: σύνδεση/αποσύνδεση και κλείδωμα/ξεκλείδωμα. Η συμπεριφορά της AMA σε αυτά τα σενάρια είναι "βάσει σχεδίασης" και μπορεί να συνοψιστεί ως εξής:
-
Η AMA προορίζεται για την προστασία των πόρων δικτύου.
-
Η AMA δεν μπορεί να αναγνωρίσει ούτε να επιβάλει τον αλληλεπιδραστικό τύπο σύνδεσης (έξυπνη κάρτα ή όνομα χρήστη/κωδικό πρόσβασης) για τον τοπικό υπολογιστή του χρήστη. Αυτό συμβαίνει επειδή οι πόροι στους οποίους η πρόσβαση γίνεται μετά από αλληλεπιδραστική σύνδεση χρήστη δεν μπορούν να προστατευθούν αξιόπιστα με τη χρήση AMA.
Συμπτώματα
Σενάριο προβλήματος 1 (σύνδεση/αποσύνδεση)
Εξετάστε το ακόλουθο σενάριο:
-
Ένας διαχειριστής θέλει να επιβάλει έλεγχο ταυτότητας σύνδεσης Έξυπνης κάρτας (SC) όταν οι χρήστες αποκτούν πρόσβαση σε ορισμένους πόρους που είναι ευαίσθητοι στην ασφάλεια. Για να το κάνει αυτό, ο διαχειριστής αναπτύσσει την AMA σύμφωνα με τη Διασφάλιση μηχανισμού ελέγχου ταυτότητας για τις υπηρεσίες AD DS στο Windows Server 2008 R2 Οδηγός βήμα προς βήμα για το αναγνωριστικό αντικειμένου πολιτικής έκδοσης που χρησιμοποιείται σε όλα τα πιστοποιητικά έξυπνης κάρτας. Σημείωση Σε αυτό το άρθρο, αναφερόμαστε σε αυτήν τη νέα αντιστοιχισμένη ομάδα ως "καθολική ομάδα έξυπνης κάρτας".
-
Η πολιτική "Αλληλεπιδραστική σύνδεση: Απαιτείται έξυπνη κάρτα" δεν είναι ενεργοποιημένη στους σταθμούς εργασίας. Επομένως, οι χρήστες μπορούν να συνδεθούν χρησιμοποιώντας άλλα διαπιστευτήρια, όπως το όνομα χρήστη και τον κωδικό πρόσβασης.
-
Για την πρόσβαση σε τοπικούς πόρους και σε πόρους δικτύου απαιτείται η καθολική ομάδα ασφαλείας έξυπνης κάρτας.
Σε αυτό το σενάριο, αναμένετε ότι μόνο οι χρήστες που εισέρχονται χρησιμοποιώντας έξυπνες κάρτες μπορούν να έχουν πρόσβαση σε τοπικούς πόρους και πόρους δικτύου. Ωστόσο, επειδή ο σταθμός εργασίας επιτρέπει βελτιστοποιημένη/προσωρινή σύνδεση, η επαλήθευση cache χρησιμοποιείται κατά τη σύνδεση για τη δημιουργία του διακριτικού πρόσβασης NT για την επιφάνεια εργασίας του χρήστη. Επομένως, οι ομάδες ασφαλείας και οι αξιώσεις από την προηγούμενη σύνδεση χρησιμοποιούνται αντί για την τρέχουσα.
Παραδείγματα σεναρίου
Σημείωση Σε αυτό το άρθρο, η συμμετοχή σε ομάδα ανακτάται για αλληλεπιδραστικές περιόδους λειτουργίας σύνδεσης με τη χρήση "whoami/groups". Αυτή η εντολή ανακτά τις ομάδες και τους ισχυρισμούς από το διακριτικό πρόσβασης της επιφάνειας εργασίας.
-
Παράδειγμα 1Εάν η προηγούμενη σύνδεση εκτελέστηκε με χρήση έξυπνης κάρτας, το διακριτικό πρόσβασης για τον υπολογιστή διαθέτει την καθολική ομάδα ασφαλείας έξυπνης κάρτας που παρέχεται από την AMA. Προκύπτει ένα από τα ακόλουθα αποτελέσματα:
-
Ο χρήστης συνδέεται χρησιμοποιώντας την έξυπνη κάρτα: Ο χρήστης εξακολουθεί να έχει πρόσβαση σε τοπικούς πόρους που είναι ευαίσθητοι στην ασφάλεια. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτούν την καθολική ομάδα ασφαλείας έξυπνης κάρτας. Αυτές οι προσπάθειες πετυχαίνουν.
-
Ο χρήστης συνδέεται χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασης: Ο χρήστης εξακολουθεί να έχει πρόσβαση σε τοπικούς πόρους που είναι ευαίσθητοι στην ασφάλεια. Αυτό το αποτέλεσμα δεν αναμένεται. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτούν την καθολική ομάδα ασφαλείας έξυπνης κάρτας. Αυτές οι προσπάθειες αποτυγχάνουν όπως αναμένεται.
-
-
Παράδειγμα 2Εάν η προηγούμενη σύνδεση εκτελέστηκε με τη χρήση κωδικού πρόσβασης, το διακριτικό πρόσβασης για τον υπολογιστή δεν διαθέτει την καθολική ομάδα ασφαλείας έξυπνης κάρτας που παρέχεται από την AMA. Προκύπτει ένα από τα ακόλουθα αποτελέσματα:
-
Ο χρήστης συνδέεται χρησιμοποιώντας ένα όνομα χρήστη και έναν κωδικό πρόσβασης: Ο χρήστης δεν μπορεί να αποκτήσει πρόσβαση σε τοπικούς πόρους που είναι ευαίσθητοι στην ασφάλεια. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτούν την καθολική ομάδα ασφαλείας έξυπνης κάρτας. Αυτές οι προσπάθειες αποτυγχάνουν.
-
Ο χρήστης συνδέεται χρησιμοποιώντας την έξυπνη κάρτα: Ο χρήστης δεν μπορεί να αποκτήσει πρόσβαση σε τοπικούς πόρους που είναι ευαίσθητοι στην ασφάλεια. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου. Αυτές οι προσπάθειες πετυχαίνουν. Αυτό το αποτέλεσμα δεν αναμένεται από τους πελάτες. Επομένως, προκαλεί προβλήματα ελέγχου πρόσβασης.
-
Σενάριο προβλήματος 2 (κλείδωμα/ξεκλείδωμα)
Εξετάστε το ακόλουθο σενάριο:
-
Ένας διαχειριστής θέλει να επιβάλει έλεγχο ταυτότητας σύνδεσης Έξυπνης κάρτας (SC) όταν οι χρήστες αποκτούν πρόσβαση σε ορισμένους πόρους που είναι ευαίσθητοι στην ασφάλεια. Για να το κάνει αυτό, ο διαχειριστής αναπτύσσει την AMA σύμφωνα με τη Διασφάλιση μηχανισμού ελέγχου ταυτότητας για τις υπηρεσίες AD DS στο Windows Server 2008 R2 Οδηγός βήμα προς βήμα για το αναγνωριστικό αντικειμένου πολιτικής έκδοσης που χρησιμοποιείται σε όλα τα πιστοποιητικά έξυπνης κάρτας.
-
Η πολιτική "Αλληλεπιδραστική σύνδεση: Απαιτείται έξυπνη κάρτα" δεν είναι ενεργοποιημένη στους σταθμούς εργασίας. Επομένως, οι χρήστες μπορούν να συνδεθούν χρησιμοποιώντας άλλα διαπιστευτήρια, όπως το όνομα χρήστη και τον κωδικό πρόσβασης.
-
Για την πρόσβαση σε τοπικούς πόρους και σε πόρους δικτύου απαιτείται η καθολική ομάδα ασφαλείας έξυπνης κάρτας.
Σε αυτό το σενάριο, αναμένετε ότι μόνο ένας χρήστης που πραγματοποιεί είσοδο χρησιμοποιώντας έξυπνες κάρτες μπορεί να έχει πρόσβαση σε τοπικούς πόρους και πόρους δικτύου. Ωστόσο, επειδή το διακριτικό πρόσβασης για την επιφάνεια εργασίας του χρήστη δημιουργείται κατά τη σύνδεση, δεν αλλάζει.
Παραδείγματα σεναρίου
-
Παράδειγμα 1Εάν το διακριτικό πρόσβασης για την επιφάνεια εργασίας έχει την καθολική ομάδα ασφαλείας έξυπνης κάρτας που παρέχεται από την AMA, προκύπτει ένα από τα ακόλουθα αποτελέσματα:
-
Ο χρήστης ξεκλειδώνει χρησιμοποιώντας την έξυπνη κάρτα: Ο χρήστης εξακολουθεί να έχει πρόσβαση σε τοπικούς πόρους που είναι ευαίσθητοι στην ασφάλεια. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτούν την καθολική ομάδα ασφαλείας έξυπνης κάρτας. Αυτές οι προσπάθειες πετυχαίνουν.
-
Ο χρήστης ξεκλειδώνει χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασης: Ο χρήστης εξακολουθεί να έχει πρόσβαση σε τοπικούς πόρους που είναι ευαίσθητοι στην ασφάλεια. Αυτό το αποτέλεσμα δεν αναμένεται. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτούν την καθολική ομάδα ασφαλείας έξυπνης κάρτας. Αυτές οι προσπάθειες αποτυγχάνουν.
-
-
Παράδειγμα 2Εάν το διακριτικό πρόσβασης για την επιφάνεια εργασίας δεν διαθέτει την καθολική ομάδα ασφαλείας έξυπνης κάρτας που παρέχεται από την AMA, προκύπτει ένα από τα ακόλουθα αποτελέσματα:
-
Ο χρήστης ξεκλειδώνει χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασης: Ο χρήστης δεν μπορεί να αποκτήσει πρόσβαση σε τοπικούς πόρους που είναι ευαίσθητοι στην ασφάλεια. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτούν την καθολική ομάδα ασφαλείας έξυπνης κάρτας. Αυτές οι προσπάθειες αποτυγχάνουν.
-
Ο χρήστης ξεκλειδώνει χρησιμοποιώντας την έξυπνη κάρτα: Ο χρήστης δεν μπορεί να αποκτήσει πρόσβαση σε τοπικούς πόρους που είναι ευαίσθητοι στην ασφάλεια. Αυτό το αποτέλεσμα δεν αναμένεται. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου. Αυτές οι προσπάθειες πετυχαίνουν όπως αναμενόταν.
-
Περισσότερες πληροφορίες
Λόγω της σχεδίασης AMA και Υποσυστήματος ασφαλείας που περιγράφεται στην ενότητα "Συμπτώματα", οι χρήστες αντιμετωπίζουν τα ακόλουθα σενάρια στα οποία η AMA δεν μπορεί να προσδιορίσει αξιόπιστα τον τύπο αλληλεπιδραστικής σύνδεσης.
Σύνδεση/αποσύνδεση
Εάν είναι ενεργή η βελτιστοποίηση fast logon, το Τοπικό υποσύστημα ασφαλείας (lsass) χρησιμοποιεί τοπικό cache για τη δημιουργία μελών ομάδας στο διακριτικό σύνδεσης. Με αυτόν τον τρόπο, δεν απαιτείται επικοινωνία με τον ελεγκτή τομέα (DC). Επομένως, ο χρόνος σύνδεσης μειώνεται. Αυτή είναι μια ιδιαίτερα επιθυμητή δυνατότητα.Ωστόσο, αυτή η κατάσταση προκαλεί το ακόλουθο πρόβλημα: Μετά τη σύνδεση SC και την αποσύνδεση SC, η τοπικά αποθηκευμένη ομάδα AMA εξακολουθεί να υπάρχει στο διακριτικό χρήστη μετά τη αλληλεπιδραστική σύνδεση ονόματος χρήστη/κωδικού πρόσβασης.Σημειώσεις
-
Αυτή η κατάσταση ισχύει μόνο για αλληλεπιδραστικές συνδέσεις.
-
Μια ομάδα AMA αποθηκεύεται στο cache με τον ίδιο τρόπο και χρησιμοποιώντας την ίδια λογική με άλλες ομάδες.
Σε αυτή την περίπτωση, εάν ο χρήστης προσπαθήσει, στη συνέχεια, να αποκτήσει πρόσβαση σε πόρους δικτύου, η ιδιότητα μέλους ομάδας στο cache από την πλευρά του πόρου δεν χρησιμοποιείται και η περίοδος λειτουργίας σύνδεσης του χρήστη από την πλευρά του πόρου δεν θα περιέχει μια ομάδα AMA.Αυτό το πρόβλημα μπορεί να διορθωθεί απενεργοποιώντας τη Βελτιστοποίηση γρήγορης σύνδεσης ("Ρυθμίσεις παραμέτρων υπολογιστή > πρότυπα διαχείρισης > Σύνδεση συστήματος > > Να περιμένετε πάντα το δίκτυο κατά την εκκίνηση και τη σύνδεση του υπολογιστή"). Σημαντικό Αυτή η συμπεριφορά αφορά μόνο το σενάριο αλληλεπιδραστικής σύνδεσης. Η πρόσβαση σε πόρους δικτύου θα λειτουργεί όπως αναμένεται, επειδή δεν υπάρχει ανάγκη για βελτιστοποίηση σύνδεσης. Επομένως, η ιδιότητα μέλους ομάδας στο cache δεν χρησιμοποιείται. Γίνεται επικοινωνία με τον ελεγκτή τομέα για τη δημιουργία του νέου δελτίου, χρησιμοποιώντας τις πιο πρόσφατες πληροφορίες μέλους ομάδας AMA.
Κλείδωμα/ξεκλείδωμα
Εξετάστε το ακόλουθο σενάριο:
-
Ένας χρήστης συνδέεται αλληλεπιδραστικά χρησιμοποιώντας την έξυπνη κάρτα και, στη συνέχεια, ανοίγει πόρους δικτύου με προστασία AMA.Σημείωση Οι πόροι δικτύου με προστασία AMA μπορούν να έχουν πρόσβαση μόνο σε χρήστες που έχουν μια ομάδα AMA στο διακριτικό πρόσβασής τους.
-
Ο χρήστης κλειδώνει τον υπολογιστή χωρίς πρώτα να κλείσει τον πόρο δικτύου που είχε ανοίξει προηγουμένως με προστασία AMA.
-
Ο χρήστης ξεκλειδώνει τον υπολογιστή χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασης του ίδιου χρήστη που προηγουμένως είχε συνδεθεί χρησιμοποιώντας έξυπνη κάρτα).
Σε αυτό το σενάριο, ο χρήστης εξακολουθεί να έχει πρόσβαση στους πόρους που προστατεύονται με AMA μετά το ξεκλείδωμα του υπολογιστή. Αυτή η συμπεριφορά οφείλεται στη σχεδίαση. Όταν ο υπολογιστής είναι ξεκλείδωτος, τα Windows δεν δημιουργούν εκ νέου όλες τις ανοιχτές περιόδους λειτουργίας που είχαν πόρους δικτύου. Επίσης, τα Windows δεν επανέλεγχαν την ιδιότητα μέλους ομάδας. Αυτό οφείλεται στο γεγονός ότι οι εν λόγω ενέργειες θα προκαλούσαν απαράδεκτες κυρώσεις όσον αφορά τις επιδόσεις.Δεν υπάρχει πρώτη λύση για αυτό το σενάριο. Μια λύση θα ήταν να δημιουργήσετε ένα φίλτρο υπηρεσίας παροχής διαπιστευτηρίων που φιλτράρει την υπηρεσία παροχής ονόματος χρήστη/κωδικού πρόσβασης μετά την εκτέλεση των βημάτων σύνδεσης και κλειδώματος του SC. Για να μάθετε περισσότερα σχετικά με την υπηρεσία παροχής διαπιστευτηρίων, ανατρέξτε στους παρακάτω πόρους:
Περιβάλλον εργασίας ICredentialProviderFilterΔείγματα υπηρεσίας παροχής διαπιστευτηρίων των Windows VistaΣημείωση Δεν μπορούμε να επιβεβαιώσουμε εάν αυτή η προσέγγιση εφαρμόστηκε ποτέ με επιτυχία.
Περισσότερες πληροφορίες σχετικά με την AMA
Η AMA δεν μπορεί να αναγνωρίσει ούτε να επιβάλει τον αλληλεπιδραστικό τύπο σύνδεσης (έξυπνη κάρτα ή όνομα χρήστη/κωδικό πρόσβασης). Αυτή η συμπεριφορά οφείλεται στη σχεδίαση.Η AMA προορίζεται για σενάρια στα οποία οι πόροι δικτύου απαιτούν έξυπνη κάρτα. Δεν προορίζεται για τοπική πρόσβαση.Οποιαδήποτε προσπάθεια επιδιόρθωσης αυτού του προβλήματος με την εισαγωγή νέων δυνατοτήτων, όπως η δυνατότητα χρήσης δυναμικής συμμετοχής σε ομάδες ή χειρισμού ομάδων AMA ως δυναμικής ομάδας, θα μπορούσε να προκαλέσει σημαντικά προβλήματα. Αυτός είναι ο λόγος για τον οποίο τα διακριτικά NT δεν υποστηρίζουν δυναμικές ιδιότητες μέλους ομάδας. Εάν το σύστημα επέτρεπε την περικοπή των ομάδων στην πραγματικότητα, οι χρήστες ενδέχεται να μην μπορούν να αλληλεπιδράσουν με τη δική τους επιφάνεια εργασίας και εφαρμογές. Επομένως, οι ιδιότητες μέλους ομάδας κλειδώνονται τη στιγμή που δημιουργείται η περίοδος λειτουργίας και διατηρούνται καθ' όλη τη διάρκεια της περιόδου λειτουργίας.Οι συνδέσεις στο cache είναι επίσης προβληματικές. Εάν είναι ενεργοποιημένη η βελτιστοποιημένη σύνδεση, η υπηρεσία lsass πρώτα δοκιμάζει ένα τοπικό cache πριν να ενεργοποιήσει ένα δίκτυο αποστολής και επιστροφής. Εάν το όνομα χρήστη και ο κωδικός πρόσβασης είναι πανομοιότυπα με αυτά που είδε η lsass για την προηγούμενη σύνδεση (αυτό ισχύει για τις περισσότερες συνδέσεις), το lsass δημιουργεί ένα διακριτικό που έχει τις ίδιες ιδιότητες μέλους ομάδας που είχε ο χρήστης προηγουμένως. Εάν η βελτιστοποιημένη σύνδεση είναι απενεργοποιημένη, απαιτείται μια στρογγυλή επιλογή δικτύου. Αυτό θα εξασφαλιζόταν ότι οι ιδιότητες μέλους της ομάδας θα λειτουργούν κατά το αναμενόμενο.Σε μια σύνδεση στο cache, το lsass διατηρεί μία καταχώρηση ανά χρήστη. Αυτή η καταχώρηση περιλαμβάνει την προηγούμενη ιδιότητα μέλους ομάδας του χρήστη. Αυτό προστατεύεται τόσο από τον τελευταίο κωδικό πρόσβασης όσο και από τα διαπιστευτήρια έξυπνης κάρτας που είδε ο lsass. Και τα δύο αποσυσκευάστε το ίδιο διακριτικό και το πλήκτρο διαπιστευτηρίων. Εάν οι χρήστες προσπαθούσαν να συνδεθούν χρησιμοποιώντας ένα μη ενημερωμένο κλειδί διαπιστευτηρίων, θα έχαναν δεδομένα DPAPI, περιεχόμενο με προστασία EFS και ούτω καθεξής. Επομένως, οι συνδέσεις στο cache παράγουν πάντα τις πιο πρόσφατες ιδιότητες μέλους της τοπικής ομάδας, ανεξάρτητα από το μηχανισμό που χρησιμοποιείται για τη σύνδεση.