Yhteenveto
Tässä artikkelissa käsitellään todennusmekanismin varmennuksen (AMA) käyttöä vuorovaikutteisessa kirjautumisskenaariossa.
Johdanto
AMA lisää järjestelmänvalvojan määrittämän yleisen ryhmän jäsenyyden käyttäjän käyttöoikeustietueen, kun käyttäjän tunnistetiedot todennetaan kirjautumisen aikana varmennepohjaisella kirjautumismenetelmällä. Näin verkkoresurssien järjestelmänvalvojat voivat hallita resurssien, kuten tiedostojen, kansioiden ja tulostimien, käyttöä. Tämä käyttöoikeus perustuu siihen, kirjautuuko käyttäjä sisään varmennepohjaisella kirjautumismenetelmällä ja kirjautumiseen käytetyn varmenteen tyypin perusteella.
Tässä artikkelissa
Tässä artikkelissa käsitellään kahta ongelmaskenaarioa: kirjautumista/uloskirjautumista ja lukitsemista tai lukituksen poistamista. AMA:n toiminta näissä skenaarioissa on "rakenteen mukaan", ja se voidaan tiivistää seuraavasti:
-
AMA on tarkoitettu verkkoresurssien suojaamiseen.
-
AMA ei pysty tunnistamaan tai pakottamaan vuorovaikutteista kirjautumistyyppiä (älykorttia tai käyttäjänimeä/salasanaa) käyttäjän paikallisessa tietokoneessa. Tämä johtuu siitä, että resursseja, joita käytetään vuorovaikutteisen käyttäjän kirjautumisen jälkeen, ei voida suojata luotettavasti AMA:n avulla.
Oireet
Ongelmatilanne 1 (kirjautuminen/uloskirjautuminen)
Oletetaan seuraava tilanne:
-
Järjestelmänvalvoja haluaa ottaa käyttöön smart card (SC) -kirjautumistodennuksen, kun käyttäjät käyttävät tiettyjä suojaukseen liittyviä resursseja. Tätä varten järjestelmänvalvoja ottaa AMA:n käyttöön AD DS:n todentamismekanismin varmennuksen mukaisesti Windows Server 2008 R2:n vaiheittaiset ohjeet kaikissa älykorttivarmenteissa käytettävälle myöntämiskäytäntöobjektin tunnisteelle. Huomautus Tässä artikkelissa tätä uutta yhdistettyä ryhmää kutsutaan "älykortin universaaliksi käyttöoikeusryhmäksi".
-
Vuorovaikutteinen kirjautuminen: Edellytä älykorttia -käytäntö ei ole käytössä työasemissa. Tämän vuoksi käyttäjät voivat kirjautua sisään muilla tunnistetiedoilla, kuten käyttäjänimellä ja salasanalla.
-
Paikallisen ja verkon resurssien käyttö edellyttää älykortin yleistä käyttöoikeusryhmää.
Tässä skenaariossa odotat, että vain älykorteilla kirjautuva käyttäjä voi käyttää paikallisia resursseja ja verkkoresursseja. Koska työasema sallii optimoidun/välimuistiin kirjautumisen, välimuistissa olevaa todenninta käytetään kirjautumisen aikana NT-käyttöoikeustunnuksen luomiseen käyttäjän työpöydälle. Tämän vuoksi käytetään käyttöoikeusryhmiä ja edellisen kirjautumisen väitteitä nykyisen kirjautumisen sijaan.
Esimerkkejä skenaarioista
Huomautus Tässä artikkelissa ryhmän jäsenyys noudetaan vuorovaikutteisia kirjautumisistuntoja varten käyttämällä "whoami/groups". Tämä komento noutaa ryhmät ja väitteet työpöydän käyttöoikeustietueesta.
-
Esimerkki 1Jos edellinen sisäänkirjautuminen suoritettiin älykortilla, työpöydän käyttöoikeustietueessa on AMA:n tarjoama älykortin universaali käyttöoikeusryhmä. Jokin seuraavista tuloksista ilmenee:
-
Käyttäjä kirjautuu sisään älykortilla: Käyttäjä voi edelleen käyttää paikallisia suojaussyistä suojattuja resursseja. Käyttäjä yrittää käyttää verkkoresursseja, jotka edellyttävät älykortin yleistä käyttöoikeusryhmää. Nämä yritykset onnistuvat.
-
Käyttäjä kirjautuu sisään käyttäjänimellä ja salasanalla: Käyttäjä voi edelleen käyttää paikallisia suojaussyistä suojattuja resursseja. Tätä lopputulosta ei odoteta. Käyttäjä yrittää käyttää verkkoresursseja, jotka edellyttävät älykortin yleistä käyttöoikeusryhmää. Nämä yritykset epäonnistuvat odotetulla tavalla.
-
-
Esimerkki 2Jos edellinen kirjautuminen suoritettiin salasanalla, työpöydän käyttöoikeustietueessa ei ole AMA:n tarjoamaa älykortin yleistä käyttöoikeusryhmää. Jokin seuraavista tuloksista ilmenee:
-
Käyttäjä kirjautuu sisään käyttäjänimellä ja salasanalla: Käyttäjä ei voi käyttää paikallisia suojaussyistä suojattuja resursseja. Käyttäjä yrittää käyttää verkkoresursseja, jotka edellyttävät älykortin yleistä käyttöoikeusryhmää. Nämä yritykset epäonnistuvat.
-
Käyttäjä kirjautuu sisään älykortilla: Käyttäjä ei voi käyttää paikallisia suojaussyistä suojattuja resursseja. Käyttäjä yrittää käyttää verkkoresursseja. Nämä yritykset onnistuvat. Asiakkaat eivät ole odottaneet tätä lopputulosta. Siksi se aiheuttaa käytönvalvontaongelmia.
-
Ongelmaskenaario 2 (lukitus/lukitus)
Harkitse seuraavaa skenaariota:
-
Järjestelmänvalvoja haluaa ottaa käyttöön smart card (SC) -kirjautumistodennuksen, kun käyttäjät käyttävät tiettyjä suojaukseen liittyviä resursseja. Tätä varten järjestelmänvalvoja ottaa AMA:n käyttöön AD DS:n todentamismekanismin varmennuksen mukaisesti Windows Server 2008 R2:n vaiheittaisessa oppaassa kaikissa älykorttivarmenteissa käytettävälle myöntämiskäytäntöobjektin tunnisteelle.
-
Vuorovaikutteinen kirjautuminen: Edellytä älykorttia -käytäntö ei ole käytössä työasemissa. Tämän vuoksi käyttäjät voivat kirjautua sisään muilla tunnistetiedoilla, kuten käyttäjänimellä ja salasanalla.
-
Paikallisen ja verkon resurssien käyttö edellyttää älykortin yleistä käyttöoikeusryhmää.
Tässä skenaariossa odotat, että vain älykorteilla kirjautuva käyttäjä voi käyttää paikallisia resursseja ja verkkoresursseja. Koska käyttäjän työpöydän käyttöoikeustunnus luodaan kirjautumisen aikana, sitä ei kuitenkaan muuteta.
Esimerkkejä skenaarioista
-
Esimerkki 1Jos työpöydän käyttöoikeustietueessa on AMA:n tarjoama älykortin yleinen käyttöoikeusryhmä, tapahtuu jokin seuraavista tuloksista:
-
Käyttäjä poistaa lukituksen älykortin avulla: Käyttäjä voi edelleen käyttää paikallisia suojaussyistä suojattuja resursseja. Käyttäjä yrittää käyttää verkkoresursseja, jotka edellyttävät älykortin yleistä käyttöoikeusryhmää. Nämä yritykset onnistuvat.
-
Käyttäjä poistaa lukituksen käyttäjänimellä ja salasanalla: Käyttäjä voi edelleen käyttää paikallisia suojaussyistä suojattuja resursseja. Tätä lopputulosta ei odoteta. Käyttäjä yrittää käyttää verkkoresursseja, jotka edellyttävät älykortin yleistä käyttöoikeusryhmää. Nämä yritykset epäonnistuvat.
-
-
Esimerkki 2Jos työpöydän käyttöoikeustietueessa ei ole AMA:n tarjoamaa älykortin yleistä käyttöoikeusryhmää, tapahtuu jokin seuraavista tuloksista:
-
Käyttäjä poistaa lukituksen käyttäjänimellä ja salasanalla: Käyttäjä ei voi käyttää paikallisia suojaussyistä suojattuja resursseja. Käyttäjä yrittää käyttää verkkoresursseja, jotka edellyttävät älykortin yleistä käyttöoikeusryhmää. Nämä yritykset epäonnistuvat.
-
Käyttäjä poistaa lukituksen älykortin avulla: Käyttäjä ei voi käyttää paikallisia suojaussyistä suojattuja resursseja. Tätä lopputulosta ei odoteta. Käyttäjä yrittää käyttää verkkoresursseja. Nämä yritykset onnistuvat odotetulla tavalla.
-
Lisätietoja
Oireet-osassa kuvatun AMA- ja Suojaus-alijärjestelmän rakenteen vuoksi käyttäjät kokevat seuraavat tilanteet, joissa AMA ei pysty luotettavasti tunnistamaan vuorovaikutteisen kirjautumisen tyyppiä.
Kirjautuminen/uloskirjautuminen
Jos nopea kirjautumisoptimointi on aktiivinen, Paikallinen suojaus -alijärjestelmä (lsass) luo ryhmän jäsenyyden kirjautumistietueessa paikallisen välimuistin avulla. Näin toimialueen ohjauskoneen (DC) kanssa ei tarvita viestintää. Siksi kirjautumisaika lyhenee. Tämä on erittäin toivottava ominaisuus.Tämä tilanne aiheuttaa kuitenkin seuraavan ongelman: SC-kirjautumisen ja SC-uloskirjautumisen jälkeen paikallisesti välimuistissa oleva AMA-ryhmä on virheellisesti edelleen käyttäjänimessä vuorovaikutteisen kirjautumisen jälkeen.Muistiinpanoja
-
Tämä tilanne koskee vain vuorovaikutteisia kirjautumisia.
-
AMA-ryhmä tallennetaan välimuistiin samalla tavalla ja käyttämällä samaa logiikkaa kuin muut ryhmät.
Tässä tilanteessa, jos käyttäjä yrittää sitten käyttää verkkoresursseja, välimuistissa olevaa ryhmän jäsenyyttä resurssipuolella ei käytetä eikä käyttäjän kirjautumisistunto resurssipuolella sisällä AMA-ryhmää.Tämän ongelman voi korjata poistamalla nopean kirjautumisen optimoinnin käytöstä ("Tietokoneasetukset > Hallintamallit > Järjestelmä > Kirjautuminen > Odota verkkoa aina tietokoneen käynnistyksen ja kirjautumisen yhteydessä"). Tärkeää Tämä toiminto on olennainen vain vuorovaikutteisessa kirjautumisskenaariossa. Verkkoresurssien käyttö toimii odotetulla tavalla, koska kirjautumisen optimointia ei tarvita. Siksi välimuistiin tallennettua ryhmän jäsenyyttä ei käytetä. Dc:hen otetaan yhteyttä uuden lipun luomiseksi uusimpien AMA-ryhmän jäsenyystietojen avulla.
Lukitse/poista lukitus
Harkitse seuraavaa skenaariota:
-
Käyttäjä kirjautuu vuorovaikutteisesti älykortin avulla ja avaa sitten AMA-suojatut verkkoresurssit.Huomaa, että AMA-suojattuja verkkoresursseja voi käyttää vain käyttäjillä, joiden käyttöoikeustietueessa on AMA-ryhmä.
-
Käyttäjä lukitsee tietokoneen sulkematta ensin aiemmin avattua AMA-suojattua verkkoresurssia.
-
Käyttäjä poistaa tietokoneen lukituksen käyttämällä sen käyttäjän käyttäjänimeä ja salasanaa, joka on aiemmin kirjautunut sisään älykortilla).
Tässä skenaariossa käyttäjä voi edelleen käyttää AMA-suojattuja resursseja, kun tietokoneen lukitus on avattu. Tämä tapahtuu rakenteen mukaan. Kun tietokoneen lukitus on avattu, Windows ei luo uudelleen kaikkia avoimia istuntoja, joissa oli verkkoresursseja. Windows ei myöskään tarkista ryhmän jäsenyyttä uudelleen. Tämä johtuu siitä, että nämä toimet aiheuttaisivat suoritusseuraamuksia, joita ei voida hyväksyä.Tähän skenaarioon ei ole valmista ratkaisua. Yksi ratkaisu olisi luoda Tunnistetietojen toimittaja -suodatin, joka suodattaa käyttäjänimen/salasanapalvelun pois SC-kirjautumisen ja lukitusvaiheiden jälkeen. Lisätietoja tunnistetietojen toimittajasta on seuraavissa resursseissa:
ICredentialProviderFilter-käyttöliittymä Windows Vistan tunnistetietojen toimittajaesimerkitHuomautus Emme voi vahvistaa, onko tämä lähestymistapa koskaan toteutettu onnistuneesti.
Lisätietoja AMA:sta
AMA ei pysty tunnistamaan tai valvomaan vuorovaikutteista kirjautumistyyppiä (älykorttia tai käyttäjänimeä/salasanaa). Tämä tapahtuu rakenteen mukaan.AMA on tarkoitettu skenaarioihin, joissa verkkoresurssit vaativat älykortin. Sitä ei ole tarkoitettu käytettäväksi paikalliseen käyttöön.Kaikki yritykset korjata ongelma ottamalla käyttöön uusia ominaisuuksia, kuten mahdollisuus käyttää dynaamista ryhmän jäsenyyttä tai käsitellä AMA-ryhmiä dynaamisena ryhmänä, voivat aiheuttaa merkittäviä ongelmia. Tämän vuoksi NT-tunnukset eivät tue dynaamisia ryhmäjäsenyyksiä. Jos järjestelmä sallii ryhmien todellisen rajaamisen, käyttäjiä saatetaan estää toimimasta oman työpöytänsä ja sovellustensa kanssa. Siksi ryhmän jäsenyydet lukitaan istunnon luontihetkellä, ja niitä ylläpidetään koko istunnon ajan.Myös välimuistissa olevat kirjautumiset ovat ongelmallisia. Jos optimoitu kirjautuminen on käytössä, lsass kokeilee ensin paikallista välimuistia ennen kuin se käynnistää verkon kiertomatkan. Jos käyttäjänimi ja salasana ovat samat kuin edellisessä kirjautumisessa (tämä koskee useimpia kirjautumisia), lsass luo tunnuksen, jolla on samat ryhmäjäsenyydet kuin käyttäjällä aiemmin. Jos optimoitu kirjautuminen on poistettu käytöstä, verkon pyöristäminen on pakollista. Näin varmistat, että ryhmän jäsenyydet toimivat kirjautumisen yhteydessä odotetulla tavalla.Välimuistiin kirjautuessa lsass säilyttää yhden merkinnän käyttäjää kohti. Tämä merkintä sisältää käyttäjän aiemman ryhmän jäsenyyden. Tämä on suojattu sekä viimeisellä salasanalla että älykortin tunnistetiedoilla, jotka lsass näki. Molemmat poistavat saman tunnus- ja tunnistetietoavaimen painikkeen. Jos käyttäjät yrittäisivät kirjautua sisään käyttämällä tunnista tunnistetietoavainta, he menettäisivät DPAPI-tiedot, EFS-suojatun sisällön ja niin edelleen. Näin ollen välimuistiin kirjautuminen tuottaa aina uusimmat paikalliset ryhmäjäsenyydet riippumatta siitä, mitä mekanismia käytetään kirjautumiseen.
