Descripción del uso de AMA en escenarios de inicio de sesión interactivo en Windows

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3101129
Resumen
Este artículo explica cómo utilizar el mecanismo de autenticación seguros (AMA) en escenarios de inicio de sesión interactivo.
Introducción
AMA agrega la pertenencia a un grupo universal, administrador designado al testigo de acceso de un usuario cuando se autentican las credenciales del usuario durante el inicio de sesión mediante un método de inicio de sesión basado en certificados. Esto hace posible que los administradores de recursos de red controlar el acceso a recursos, como archivos, carpetas e impresoras. Este acceso se basa en si el usuario inicia sesión utilizando un método de inicio de sesión basada en certificados y el tipo de certificado que se utiliza para iniciar sesión.
En este artículo
En este artículo se centra en dos escenarios de problema: inicio de sesión/cierre de sesión y bloqueo o desbloqueo. El comportamiento de AMA en estas situaciones es "por diseño" y puede resumirse como sigue:

  • AMA está diseñado para proteger los recursos de la red.
  • AMA no puede identificar ni aplicar el tipo de inicio de sesión interactivo (tarjeta inteligente o nombre de usuario y contraseña) para el equipo del usuario local. Esto es debido a que los recursos que se tiene acceso después de un inicio de sesión de usuario interactivo no protegidos de forma fiable utilizando AMA.
Síntomas

Problema escenario 1 (inicio de sesión/cierre de sesión)

Considere el siguiente escenario:
  • Un administrador desea aplicar la autenticación de inicio de sesión de tarjeta inteligente (SC) cuando los usuarios tener acceso a determinados recursos de seguridad. Para ello, el administrador implementa AMA de acuerdo con el Comprobación del mecanismo de autenticación de AD DS en la Guía paso a paso de Windows Server 2008 R2 para el identificador de objeto de directiva de emisión que se utiliza en todos los certificados de tarjeta inteligente.

    Nota: En este artículo, nos referiremos a este nuevo grupo asignado como "el grupo de seguridad universal de tarjeta inteligente".
  • El "inicio de sesión interactivo: requerir tarjeta inteligente" Directiva no está habilitada en estaciones de trabajo. Por lo tanto, los usuarios pueden iniciar sesión utilizando otras credenciales, como nombre de usuario y la contraseña.
  • Local y acceso a recursos de red requiere que el grupo de seguridad universal de tarjeta inteligente.
En este escenario, piensa que sólo el usuario que inicia sesión mediante tarjetas inteligentes puede tener acceso local y recursos de red. Sin embargo, puesto que la estación de trabajo permite optimizado de caché de inicio de sesión, se utiliza el Comprobador en caché durante el inicio de sesión para crear el token de acceso de NT para el escritorio del usuario. Por lo tanto, se utilizan los grupos de seguridad y notificaciones de la sesión anterior en lugar del actual.

Ejemplos de escenario

Nota: En este artículo, pertenencia a grupos se recupera para las sesiones de inicio de sesión interactivo con "whoami/grupos". Este comando recupera los grupos y las notificaciones del token de acceso del escritorio.

  • Ejemplo 1

    Si el inicio de sesión anterior se realizó mediante una tarjeta inteligente, el token de acceso para el escritorio tiene el grupo de seguridad universal de tarjeta proporcionado por AMA. Se produce uno de los siguientes resultados:

    • El usuario inicia sesión con la tarjeta inteligente: el usuario aún puede acceder a recursos confidenciales de seguridad local. El usuario intenta tener acceso a recursos de red que requieren el grupo de seguridad universal de tarjeta inteligente. Estos intentos de éxito.
    • El usuario inicia sesión utilizando el nombre de usuario y contraseña: el usuario aún puede acceder a recursos confidenciales de seguridad local. Este resultado no esperado. El usuario intenta tener acceso a recursos de red que requieren el grupo de seguridad universal de tarjeta inteligente. Estos intentos fallan como se esperaba.
  • Ejemplo 2

    Si el inicio de sesión anterior se realizó mediante una contraseña, el token de acceso para equipos de sobremesa no tiene el grupo de seguridad universal de tarjeta proporcionado por AMA. Se produce uno de los siguientes resultados:

    • El usuario inicia sesión utilizando un nombre de usuario y una contraseña: el usuario no puede tener acceso a recursos confidenciales de seguridad local. El usuario intenta tener acceso a recursos de red que requieren el grupo de seguridad universal de tarjeta inteligente. Estos intentos fallan.
    • El usuario inicia sesión con la tarjeta inteligente: el usuario no puede tener acceso a recursos confidenciales de seguridad local. El usuario intenta tener acceso a recursos de red. Estos intentos de éxito. Este outcomeisn't esperado por los clientes. Por lo tanto, hace que access control problemas.

Problema 2 de escenario (bloqueo o desbloqueo)

Considere el siguiente escenario:

  • Un administrador desea aplicar la autenticación de inicio de sesión de tarjeta inteligente (SC) cuando los usuarios tener acceso a determinados recursos de seguridad. Para ello, el administrador implementa AMA conforme a Comprobación del mecanismo de autenticación de AD DS en la Guía paso a paso de Windows Server 2008 R2 para el identificador de objeto de directiva de emisión que se utiliza en todos los certificados de tarjeta inteligente.
  • El "inicio de sesión interactivo: requerir tarjeta inteligente" Directiva no está habilitada en estaciones de trabajo. Por lo tanto, los usuarios pueden iniciar sesión utilizando otras credenciales, como nombre de usuario y la contraseña.
  • Local y acceso a recursos de red requiere que el grupo de seguridad universal de tarjeta inteligente.
En este escenario, se espera que sólo un usuario que inicia sesión mediante tarjetas inteligentes puede tener acceso local y recursos de red. Sin embargo, dado que se crea el token de acceso para el escritorio del usuario durante el inicio de sesión, no se cambia.

Ejemplos de escenario

  • Ejemplo 1

    Si el token de acceso para el escritorio tiene el grupo de seguridad universal de tarjeta proporcionado por AMA, se produce uno de los siguientes resultados:

    • El usuario desbloquea mediante la tarjeta inteligente: el usuario aún puede acceder a recursos confidenciales de seguridad local. El usuario intenta tener acceso a recursos de red que requieren el grupo de seguridad universal de tarjeta inteligente. Estos intentos de éxito.
    • Desbloquea el usuario utilizando el nombre de usuario y la contraseña: el usuario aún puede acceder a recursos confidenciales de seguridad local. Esta outcomeisn't que se esperaba. El usuario intenta tener acceso a recursos de red que requieren el grupo de seguridad universal de tarjeta inteligente. Estos intentos fallan.
  • Ejemplo 2

    Si el token de acceso para equipos de sobremesa no tiene el grupo de seguridad universal de tarjeta proporcionado por AMA, se produce uno de los siguientes resultados:

    • Desbloquea el usuario utilizando el nombre de usuario y contraseña: el usuario no puede tener acceso a recursos confidenciales de seguridad local. El usuario intenta tener acceso a recursos de red que requiere el grupo de seguridad universal de tarjeta inteligente. Estos intentos fallan.
    • El usuario desbloquea mediante la tarjeta inteligente: el usuario no puede tener acceso a recursos confidenciales de seguridad local. Esta outcomeisn't que se esperaba. El usuario intenta tener acceso a recursos de red. Estos intentos de éxito como se esperaba.
Más información
Debido al diseño de AMA y el subsistema de seguridad que se describe en la sección "Síntomas", los usuarios experimentan los siguientes escenarios en los que AMA confiable no puede identificar el tipo de inicio de sesión interactivo.

Inicio de sesión/cierre de sesión

Si está activa la optimización de inicio de sesión rápido, el subsistema de seguridad Local (lsass) utiliza una caché local para generar la pertenencia a grupos en el token de inicio de sesión. Al hacerlo, la comunicación con el controlador de dominio (DC) no es necesaria. Por lo tanto, se reduce el tiempo de inicio de sesión. Se trata de una característica muy deseable.

Sin embargo, esta situación provoca el siguiente problema: después de SC y SC cierre de sesión, el grupo AMA almacenada localmente en caché es, incorrectamente, estando presente en el token de usuario tras el inicio de sesión interactivo nombre y contraseña de usuario.

Notas:

  • Esta situación se aplica sólo a inicios de sesión interactivos.
  • Un grupo de AMA se almacena en caché de la misma manera y utilizando la misma lógica como otros grupos.

En esta situación, si el usuario entonces intenta tener acceso a recursos de red, pertenencia al grupo almacenada en caché en el sideisn'tused de recursos y la sesión del usuario de inicio de sesión en el lado del recurso no contendrán un grupo AMA.

Este problema puede fijo desactivando la característica optimización del inicio de sesión rápido ("configuración del equipo > Plantillas administrativas > sistema > Logon > esperar siempre la detección de red al inicio del equipo e inicio de sesión").

Importante: Este comportamiento sólo es relevante en el escenario de inicio de sesión interactivo. Acceso a recursos de red funcionará como se espera porque no es necesario para la optimización de inicio de sesión. Por lo tanto, almacenar en caché membershipisn't de grupo utilizado. El controlador de dominio se pone en contacto para crear el nuevo vale mediante la información de pertenencia de grupo AMA más recientes.

Bloqueo o desbloqueo

Considere el siguiente escenario:

  • Un usuario inicia sesión de forma interactiva mediante la tarjeta inteligente y, a continuación, abre los recursos de red protegida AMA.

    Nota: AMA red protegida recursos pueden tener acceso a sólo los usuarios que tienen un grupo AMA en su token de acceso.
  • El usuario bloquea el equipo sin cerrar primero el recurso de red protegido AMA abierto anteriormente.
  • El usuario desbloquea el equipo utilizando el nombre de usuario y la contraseña del mismo usuario que iniciado sesión previamente con una tarjeta inteligente).
En este escenario, el usuario todavía puede acceso a los recursos protegidos AMA después de que el equipo se desbloquea. Este comportamiento es por diseño. Equipo cuando está desbloqueada, Windows no vuelva a crear todas las sesiones abiertas que contaban con los recursos de red. Windows también no volver a comprobar pertenencia al grupo. Esto es porque estas acciones haría que las reducciones del rendimiento inaceptable.

No hay ninguna solución out-of-box para este escenario. Una solución sería crear un filtro de proveedor de credenciales que filtra el proveedor de nombre y contraseña de usuario tras el inicio de sesión de SC y se producen los pasos de bloqueo. Para obtener más información acerca del proveedor de credenciales, consulte los siguientes recursos:

Nota: No podemos confirmar si alguna vez se ha implementado con éxito este enfoque.

Para obtener más información acerca de AMA

AMA no puede identificar ni aplicar el tipo de inicio de sesión interactivo (tarjeta inteligente oruser nombre/contraseña). Este comportamiento es por diseño.

AMA está pensado para escenarios en los que los recursos de red exigen una tarjeta inteligente. No ha pensado que es acceso local usar por.

Cualquier intento de solucionar este problema mediante la introducción de nuevas características, como la posibilidad de utilizar la pertenencia a grupo dinámico o a grupos de AMA de identificador como un grupo dinámico, podría producir problemas importantes. Por esta razón tokens de NT no son compatibles con la pertenencia a grupos dinámicos. Si el sistema permite grupos recortar en real, los usuarios podrían podrán interactuar con su propio escritorio y aplicaciones. Por lo tanto, la pertenencia a grupos se bloquea en el momento que se crea la sesión y se mantiene durante toda la sesión.

Los inicios de sesión en caché también son problemáticos. Si optimizada de inicio de sesión está habilitado, lsass trata de una caché local antes de invocar una red de ida y vuelta. Si el nombre de usuario y la contraseña son idénticos a los que lsass visto para el inicio de sesión anterior (Esto es verdad para la mayoría de los inicios de sesión), lsass crea un símbolo (token) que tiene las mismas suscripciones de grupo que el usuario tenía previamente.

Si está desactivado el inicio de sesión optimizado, requeriría un ida y vuelta de red. Thiswould Asegúrese de que las pertenencias a grupos funcionan al iniciar la sesión correctamente.

En un inicio de sesión en caché, lsass mantiene una entrada por cada usuario. Esta entrada incluye la pertenencia a grupos del usuario anterior. Esto está protegido por ambos el último Password o credencial de tarjeta inteligente que vio lsass. Ambos desempaquetar la misma clave de símbolo (token) y credenciales. Si los usuarios intentar iniciar sesión utilizando una clave de credencial obsoletos, perdería datos DPAPI, contenido protegido por EFS y así sucesivamente. Por lo tanto, los inicios de sesión en caché siempre producen la pertenencia al grupo local más reciente, independientemente del mecanismo que se utiliza para iniciar sesión.
Inicio de sesión interactivo de autenticación mecanismo seguros AMA

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3101129 - Última revisión: 11/21/2015 02:09:00 - Revisión: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtes
Comentarios