S’applique à
Windows Server 2012 R2 Standard Windows Server 2012 R2 Datacenter Windows 8.1 Pro Windows 8.1 Enterprise Windows Server 2012 Standard Windows Server 2012 Standard Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows 8 Pro Windows 8 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows 7 Enterprise Windows 7 Professional

Résumé

Cet article explique comment utiliser l’assurance du mécanisme d’authentification (AMA) dans les scénarios d’ouverture de session interactive.

Introduction

AMA ajoute une appartenance de groupe universelle désignée par l’administrateur au jeton d’accès d’un utilisateur lorsque les informations d’identification de l’utilisateur sont authentifiées lors de l’ouverture de session à l’aide d’une méthode d’ouverture de session basée sur un certificat. Cela permet aux administrateurs de ressources réseau de contrôler l’accès aux ressources, telles que les fichiers, les dossiers et les imprimantes. Cet accès dépend du fait que l’utilisateur ouvre ou non une session à l’aide d’une méthode d’ouverture de session basée sur un certificat et du type de certificat utilisé pour se connecter.

Dans cet article

Cet article se concentre sur deux scénarios de problème : ouverture de session/déconnexion et verrouillage/déverrouillage. Le comportement d’AMA dans ces scénarios est « par conception » et peut être résumé comme suit :

  • AMA est destiné à protéger les ressources réseau.

  • AMA ne peut ni identifier ni appliquer le type d’ouverture de session interactive (carte intelligente ou nom d’utilisateur/mot de passe) pour l’ordinateur local de l’utilisateur. Cela est dû au fait que les ressources accessibles après une ouverture de session utilisateur interactive ne peuvent pas être protégées de manière fiable à l’aide d’AMA.

Symptômes

Scénario de problème 1 (ouverture de session/déconnexion)

Prenons l’exemple du scénario suivant :

  • Un administrateur souhaite appliquer l’authentification d’ouverture de session par carte à puce (SC) lorsque les utilisateurs accèdent à certaines ressources sensibles à la sécurité. Pour ce faire, l’administrateur déploie AMA en fonction de l’assurance du mécanisme d’authentification pour AD DS dans Windows Server guide pas à pas 2008 R2 pour l’identificateur d’objet de stratégie d’émission utilisé dans tous les certificats smart carte. Remarque Dans cet article, nous faisons référence à ce nouveau groupe mappé en tant que « groupe de sécurité intelligent carte universel ».

  • La stratégie « Connexion interactive : Exiger une carte intelligente » n’est pas activée sur les stations de travail. Par conséquent, les utilisateurs peuvent se connecter à l’aide d’autres informations d’identification, telles que le nom d’utilisateur et le mot de passe.

  • L’accès aux ressources locales et réseau nécessite le groupe de sécurité intelligent carte universel.

Dans ce scénario, vous vous attendez à ce que seul l’utilisateur qui se connecte à l’aide de cartes à puce puisse accéder aux ressources locales et réseau. Toutefois, étant donné que la station de travail autorise l’ouverture de session optimisée/mise en cache, le vérificateur mis en cache est utilisé pendant l’ouverture de session pour créer le jeton d’accès NT pour le bureau de l’utilisateur. Par conséquent, les groupes de sécurité et les revendications de l’ouverture de session précédente sont utilisés à la place de la connexion actuelle.

Exemples de scénarios

Remarque Dans cet article, l’appartenance au groupe est récupérée pour les sessions d’ouverture de session interactives à l’aide de « whoami/groups ». Cette commande récupère les groupes et les revendications à partir du jeton d’accès du bureau.

  • Exemple 1Si l’ouverture de session précédente a été effectuée à l’aide d’un carte intelligent, le jeton d’accès pour le bureau a le groupe de sécurité intelligent carte universel fourni par AMA. L’un des résultats suivants se produit :

    • L’utilisateur ouvre une session à l’aide de la carte intelligente : l’utilisateur peut toujours accéder aux ressources sensibles à la sécurité locale. L’utilisateur tente d’accéder aux ressources réseau qui nécessitent le groupe de sécurité intelligent carte universel. Ces tentatives réussissent.

    • L’utilisateur ouvre une session à l’aide du nom d’utilisateur et du mot de passe : l’utilisateur peut toujours accéder aux ressources sensibles à la sécurité locale. Ce résultat n’est pas attendu. L’utilisateur tente d’accéder aux ressources réseau qui nécessitent le groupe de sécurité intelligent carte universel. Ces tentatives échouent comme prévu.

  • Exemple 2Si l’ouverture de session précédente a été effectuée à l’aide d’un mot de passe, le jeton d’accès pour le bureau n’a pas le groupe de sécurité intelligent carte universel fourni par AMA. L’un des résultats suivants se produit :

    • L’utilisateur ouvre une session à l’aide d’un nom d’utilisateur et d’un mot de passe : l’utilisateur ne peut pas accéder aux ressources sensibles à la sécurité locale. L’utilisateur tente d’accéder aux ressources réseau qui nécessitent le groupe de sécurité intelligent carte universel. Ces tentatives échouent.

    • L’utilisateur ouvre une session à l’aide de la carte intelligente : l’utilisateur ne peut pas accéder aux ressources sensibles à la sécurité locale. L’utilisateur tente d’accéder aux ressources réseau. Ces tentatives réussissent. Ce résultat n’est pas attendu par les clients. Par conséquent, cela provoque des problèmes de contrôle d’accès.

Scénario de problème 2 (verrouillage/déverrouillage)

Considérez le scénario suivant :

  • Un administrateur souhaite appliquer l’authentification d’ouverture de session par carte à puce (SC) lorsque les utilisateurs accèdent à certaines ressources sensibles à la sécurité. Pour ce faire, l’administrateur déploie AMA conformément à Authentication Mechanism Assurance for AD DS dans Windows Server guide pas à pas 2008 R2 pour l’identificateur d’objet de stratégie d’émission utilisé dans tous les certificats smart carte.

  • La stratégie « Connexion interactive : Exiger une carte intelligente » n’est pas activée sur les stations de travail. Par conséquent, les utilisateurs peuvent se connecter à l’aide d’autres informations d’identification, telles que le nom d’utilisateur et le mot de passe.

  • L’accès aux ressources locales et réseau nécessite le groupe de sécurité intelligent carte universel.

Dans ce scénario, vous vous attendez à ce que seul un utilisateur qui se connecte à l’aide de cartes à puce puisse accéder aux ressources locales et réseau. Toutefois, étant donné que le jeton d’accès pour le bureau de l’utilisateur est créé pendant l’ouverture de session, il n’est pas modifié.

Exemples de scénarios

  • Exemple 1Si le jeton d’accès pour le bureau a le groupe de sécurité intelligent carte universel fourni par AMA, l’un des résultats suivants se produit :

    • L’utilisateur déverrouille à l’aide de la carte intelligente : l’utilisateur peut toujours accéder aux ressources sensibles à la sécurité locale. L’utilisateur tente d’accéder aux ressources réseau qui nécessitent le groupe de sécurité intelligent carte universel. Ces tentatives réussissent.

    • L’utilisateur se déverrouille à l’aide du nom d’utilisateur et du mot de passe : l’utilisateur peut toujours accéder aux ressources sensibles à la sécurité locale. Ce résultat n’est pas attendu. L’utilisateur tente d’accéder aux ressources réseau qui nécessitent le groupe de sécurité intelligent carte universel. Ces tentatives échouent.

  • Exemple 2Si le jeton d’accès pour le bureau n’a pas le groupe de sécurité intelligent carte universel fourni par AMA, l’un des résultats suivants se produit :

    • L’utilisateur se déverrouille à l’aide du nom d’utilisateur et du mot de passe : l’utilisateur ne peut pas accéder aux ressources sensibles à la sécurité locale. L’utilisateur tente d’accéder aux ressources réseau nécessitant le groupe de sécurité intelligent carte universel. Ces tentatives échouent.

    • L’utilisateur se déverrouille à l’aide de la carte intelligente : l’utilisateur ne peut pas accéder aux ressources sensibles à la sécurité locale. Ce résultat n’est pas attendu. L’utilisateur tente d’accéder aux ressources réseau. Ces tentatives réussissent comme prévu.

Informations supplémentaires

En raison de la conception AMA et du sous-système de sécurité décrite dans la section « Symptômes », les utilisateurs rencontrent les scénarios suivants dans lesquels AMA ne peut pas identifier de manière fiable le type d’ouverture de session interactive.

Ouverture de session/fermeture de session

Si l’optimisation de l’ouverture de session rapide est active, le sous-système de sécurité local (lsass) utilise le cache local pour générer l’appartenance au groupe dans le jeton d’ouverture de session. En procédant ainsi, la communication avec le contrôleur de domaine (DC) n’est pas requise. Par conséquent, le temps d’ouverture de session est réduit. Il s’agit d’une fonctionnalité hautement souhaitable.Toutefois, cette situation provoque le problème suivant : après l’ouverture de session SC et la fermeture de session SC, le groupe AMA mis en cache localement est, à tort, toujours présent dans le jeton utilisateur après l’ouverture de session interactive nom d’utilisateur/mot de passe.Notes

  • Cette situation s’applique uniquement aux ouvertures de session interactives.

  • Un groupe AMA est mis en cache de la même manière et en utilisant la même logique que d’autres groupes.

Dans ce cas, si l’utilisateur tente ensuite d’accéder aux ressources réseau, l’appartenance au groupe mise en cache côté ressource n’est pas utilisée et la session d’ouverture de session de l’utilisateur côté ressource ne contient pas de groupe AMA.Ce problème peut être résolu en désactivant l’optimisation de l’ouverture de session rapide (« Configuration ordinateur > Modèles d’administration > Système > ouverture de session > Toujours attendre le réseau au démarrage et à l’ouverture de session de l’ordinateur »). Important Ce comportement est pertinent uniquement dans le scénario d’ouverture de session interactive. L’accès aux ressources réseau fonctionne comme prévu, car il n’est pas nécessaire d’optimiser l’ouverture de session. Par conséquent, l’appartenance au groupe mis en cache n’est pas utilisée. Le contrôleur de domaine est contacté pour créer le nouveau ticket à l’aide des informations d’appartenance au groupe AMA les plus récentes.

Verrouiller/déverrouiller

Considérez le scénario suivant :

  • Un utilisateur se connecte de manière interactive à l’aide de la carte intelligente, puis ouvre des ressources réseau protégées par AMA.Remarque Les ressources réseau protégées par AMA sont accessibles uniquement aux utilisateurs qui ont un groupe AMA dans leur jeton d’accès.

  • L’utilisateur verrouille l’ordinateur sans fermer au préalable la ressource réseau protégée par AMA précédemment ouverte.

  • L’utilisateur déverrouille l’ordinateur à l’aide du nom d’utilisateur et du mot de passe de l’utilisateur qui s’est précédemment connecté à l’aide d’une carte intelligente).

Dans ce scénario, l’utilisateur peut toujours accéder aux ressources protégées par AMA une fois l’ordinateur déverrouillé. Ce comportement est inhérent au produit. Lorsque l’ordinateur est déverrouillé, Windows ne recrée pas toutes les sessions ouvertes qui avaient des ressources réseau. Windows ne vérifie pas non plus à nouveau l’appartenance au groupe. Cela est dû au fait que ces actions entraîneraient des pénalités de performances inacceptables.Il n’existe aucune solution prête à l’emploi pour ce scénario. Une solution consiste à créer un filtre fournisseur d’informations d’identification qui filtre le fournisseur de nom d’utilisateur/mot de passe après l’ouverture de session sc et les étapes de verrouillage. Pour en savoir plus sur le fournisseur d’informations d’identification, consultez les ressources suivantes :

Interface ICredentialProviderFilterExemples de fournisseurs d’informations d’identification Windows VistaRemarque Nous ne pouvons pas confirmer si cette approche a été implémentée avec succès.

Plus d’informations sur AMA

AMA ne peut ni identifier ni appliquer le type d’ouverture de session interactive (smart carte ou nom d’utilisateur/mot de passe). Ce comportement est inhérent au produit.AMA est destiné aux scénarios dans lesquels les ressources réseau nécessitent une carte intelligente. Il n’est pas destiné à être utilisé pour l’accès local.Toute tentative de résolution de ce problème en introduisant de nouvelles fonctionnalités, telles que la possibilité d’utiliser l’appartenance dynamique à un groupe ou de gérer des groupes AMA en tant que groupe dynamique, peut entraîner des problèmes importants. C’est pourquoi les jetons NT ne prennent pas en charge les appartenances dynamiques aux groupes. Si le système autorise la suppression des groupes en réel, les utilisateurs peuvent être empêchés d’interagir avec leur propre bureau et leurs propres applications. Par conséquent, les appartenances aux groupes sont verrouillées au moment de la création de la session et sont conservées tout au long de la session.Les ouvertures de session mises en cache sont également problématiques. Si l’ouverture de session optimisée est activée, lsass tente d’abord un cache local avant d’appeler un aller-retour réseau. Si le nom d’utilisateur et le mot de passe sont identiques à ce que lsass a vu pour l’ouverture de session précédente (c’est vrai pour la plupart des ouvertures de session), lsass crée un jeton qui a les mêmes appartenances au groupe que l’utilisateur avait précédemment. Si l’ouverture de session optimisée est désactivée, un aller-retour réseau est nécessaire. Cela permet de s’assurer que les appartenances au groupe fonctionnent à l’ouverture de session comme prévu.Dans une ouverture de session mise en cache, lsass conserve une entrée par utilisateur. Cette entrée inclut l’appartenance au groupe précédente de l’utilisateur. Il est protégé par le dernier mot de passe ou les informations d’identification de carte intelligentes que lsass a vus. Les deux désencapsulent le même jeton et la même clé d’informations d’identification. Si les utilisateurs essayaient de se connecter à l’aide d’une clé d’informations d’identification obsolète, ils perdraient des données DPAPI, du contenu protégé par EFS, etc. Par conséquent, les ouvertures de session mises en cache produisent toujours les appartenances aux groupes locaux les plus récentes, quel que soit le mécanisme utilisé pour se connecter.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité