Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Résumé

Cet article explique comment utiliser l’Assurance de mécanisme d’authentification (AMA) dans les scénarios d’ouverture de session interactive.

Introduction

AMA ajoute une appartenance au groupe universel, désignés par l’administrateur au jeton d’accès d’un utilisateur lorsque les informations d’identification de l’utilisateur sont authentifiées lors de l’ouverture de session à l’aide d’une méthode d’ouverture de session basée sur le certificat. Cela rend possible de ressources aux administrateurs réseau de contrôler l’accès aux ressources, telles que des fichiers, des dossiers et des imprimantes. Cet accès dépend de si l’utilisateur ouvre une session à l’aide d’une méthode d’ouverture de session basée sur le certificat et le type de certificat qui est utilisé pour ouvrir une session.

Dans cet article

Cet article se concentre sur deux scénarios de problème : ouverture de session/fermeture de session et de verrouiller/déverrouiller. Le comportement de AMA dans ces scénarios est « normal » et peut être résumé comme suit :

  • AMA est destiné à protéger les ressources réseau.

  • AMA peut identifier ni appliquer le type d’ouverture de session interactive (carte à puce ou nom d’utilisateur/mot de passe) pour l’ordinateur local de l’utilisateur. C’est parce que les ressources qui sont accessibles après une ouverture de session d’utilisateur interactive ne peuvent pas être protégées de manière fiable à l’aide de AMA.

Symptômes

Problème de scénario 1 (ouverture/fermeture de session)

Considérez le scénario suivant :

  • Un administrateur souhaite mettre en œuvre l’authentification d’ouverture de session de carte à puce (SC) lorsque les utilisateurs accèdent à certaines ressources sensibles à la sécurité. Pour ce faire, l’administrateur déploie AMA selon l' Assurance du mécanisme d’authentification pour les services AD DS dans le Guide pas à pas de Windows Server 2008 R2 pour l’identificateur d’objet de stratégie d’émission qui est utilisé dans tous les certificats de carte à puce.

    Remarque Dans cet article, nous faisons référence à ce nouveau groupe mappé en tant que « groupe de sécurité universel de carte à puce. »

  • Le « ouverture de session Interactive : carte à puce nécessaire » stratégie n’est pas activé sur les stations de travail. Par conséquent, les utilisateurs peuvent vous connecter à l’aide d’autres informations d’identification, nom d’utilisateur et mot de passe.

  • Local et le groupe de sécurité universel de carte à puce requiert l’accès aux ressources réseau.

Dans ce scénario, vous vous attendez que seul l’utilisateur qui se connecte l’à l’aide de cartes à puce peut accéder aux locaux et ressources réseau. Toutefois, comme la station de travail autorise optimisé/mise en cache d’ouverture de session, le vérificateur de mise en cache est utilisé lors de l’ouverture de session pour créer le jeton d’accès NT pour le bureau de l’utilisateur. Par conséquent, les groupes de sécurité et les revendications de l’ouverture de session précédente sont utilisées au lieu de celle en cours.



Exemples de scénarios

Remarque Dans cet article, l’appartenance au groupe est récupéré pour les sessions d’ouverture de session interactive à l’aide de « whoami/groupes ». Cette commande extrait les groupes et les revendications du jeton d’accès du bureau.

  • Exemple 1

    Si l’ouverture de session précédente a été effectuée à l’aide d’une carte à puce, le jeton d’accès pour le bureau possède le groupe de sécurité universel de carte à puce fournie par AMA. Un des résultats suivants se produit :

    • L’utilisateur ouvre une session à l’aide de la carte à puce : l’utilisateur peut toujours accéder à des ressources sensibles sécurité locale. L’utilisateur essaie d’accéder aux ressources réseau qui requièrent le groupe de sécurité universel de carte à puce. Ces tentatives échoue.

    • L’utilisateur ouvre une session en utilisant le nom d’utilisateur et le mot de passe : l’utilisateur peut toujours accéder à des ressources sensibles sécurité locale. Ce résultat n’est pas attendu. L’utilisateur essaie d’accéder aux ressources réseau qui requièrent le groupe de sécurité universel de carte à puce. Ces tentatives échouent comme prévu.

  • Exemple 2

    Si l’ouverture de session précédente a été effectuée à l’aide d’un mot de passe, le jeton d’accès pour le bureau n’a pas le groupe de sécurité universel de carte à puce fournie par AMA. Un des résultats suivants se produit :

    • L’utilisateur ouvre une session à l’aide d’un nom d’utilisateur et le mot de passe : l’utilisateur ne peut pas accéder aux ressources sensibles de sécurité locale. L’utilisateur essaie d’accéder aux ressources réseau qui requièrent le groupe de sécurité universel de carte à puce. Ces tentatives échouent.

    • L’utilisateur ouvre une session à l’aide de la carte à puce : l’utilisateur ne peut pas accéder aux ressources sensibles de sécurité locale. L’utilisateur essaie d’accéder aux ressources réseau. Ces tentatives échoue. Ce résultat n’est pas prévu par les clients. Par conséquent, il entraîne l’accès des problèmes de contrôle.

Problème de scénario 2 (verrouillage)

Considérez le scénario suivant :

  • Un administrateur souhaite mettre en œuvre l’authentification d’ouverture de session de carte à puce (SC) lorsque les utilisateurs accèdent à certaines ressources sensibles à la sécurité. Pour ce faire, l’administrateur déploie AMA selon L’Assurance du mécanisme d’authentification pour les services AD DS dans le Guide pas à pas de Windows Server 2008 R2 pour l’identificateur d’objet de stratégie d’émission qui est utilisé dans tous les certificats de carte à puce.

  • Le « ouverture de session Interactive : carte à puce nécessaire » stratégie n’est pas activé sur les stations de travail. Par conséquent, les utilisateurs peuvent vous connecter à l’aide d’autres informations d’identification, nom d’utilisateur et mot de passe.

  • Local et le groupe de sécurité universel de carte à puce requiert l’accès aux ressources réseau.

Dans ce scénario, vous pensez que seul un utilisateur qui se connecte l’à l’aide de cartes à puce peut accéder aux local et ressources réseau. Toutefois, parce que le jeton d’accès pour le bureau de l’utilisateur est créé lors de l’ouverture de session, il n’est pas modifié.



Exemples de scénarios

  • Exemple 1

    Si le jeton d’accès pour le bureau possède le groupe de sécurité universel de carte à puce fourni par AMA, un des résultats suivants se produit :

    • L’utilisateur déverrouille à l’aide de la carte à puce : l’utilisateur peut toujours accéder à des ressources sensibles sécurité locale. L’utilisateur essaie d’accéder aux ressources réseau qui requièrent le groupe de sécurité universel de carte à puce. Ces tentatives échoue.

    • L’utilisateur déverrouille en utilisant le nom d’utilisateur et le mot de passe : l’utilisateur peut toujours accéder à des ressources sensibles sécurité locale. Ce résultat n’est pas attendu. L’utilisateur essaie d’accéder aux ressources réseau qui requièrent le groupe de sécurité universel de carte à puce. Ces tentatives échouent.

  • Exemple 2

    Si le jeton d’accès pour le bureau n’a pas le groupe de sécurité universel de carte à puce fourni par AMA, un des résultats suivants se produit :

    • L’utilisateur déverrouille en utilisant le nom d’utilisateur et le mot de passe : l’utilisateur ne peut pas accéder aux ressources sensibles de sécurité locale. L’utilisateur essaie d’accéder aux ressources réseau nécessitant le groupe de sécurité universel de carte à puce. Ces tentatives échouent.

    • L’utilisateur déverrouille à l’aide de la carte à puce : l’utilisateur ne peut pas accéder aux ressources sensibles de sécurité locale. Ce résultat n’est pas attendu. L’utilisateur essaie d’accéder aux ressources réseau. Ces tentatives échoue comme prévu.

Plus d'informations

En raison de la conception AMA et le sous-système de sécurité qui est décrite dans la section « Symptômes », les utilisateurs rencontrent les scénarios suivants dans lesquels les AMA ne peut pas identifier fiable le type d’ouverture de session interactive.

Logon/logoff

Si l’optimisation d’ouverture de session rapide est active, le sous-système de sécurité locale (lsass) utilise le cache local pour générer l’appartenance aux groupes dans le jeton d’ouverture de session. En procédant ainsi, la communication avec le contrôleur de domaine (DC) n’est pas obligatoire. Par conséquent, l’ouverture de session est réduite. Il s’agit d’une fonctionnalité très intéressante.

Toutefois, cette situation provoque le problème suivant : après l’ouverture de session SC et SC de fermeture de session, le groupe AMA mis en cache localement est incorrecte, toujours présent dans le jeton de l’utilisateur après l’ouverture de session interactive d’utilisateur nom/mot de passe.

Remarques

  • Cette situation s’applique uniquement aux ouvertures de session interactives.

  • Un groupe AMA est mise en cache de la même manière et en utilisant la même logique que les autres groupes.


Dans ce cas, si l’utilisateur tente ensuite d’accéder aux ressources du réseau, l’appartenance au groupe mis en cache sur le côté de la ressource n’est pas utilisé et ouverture de session de l’utilisateur sur le côté de la ressource ne contient pas un groupe AMA.

Ce problème peut être résolu en désactivant l’optimisation d’ouverture de session rapide (« Configuration de l’ordinateur > modèles d’administration > système > connexion > toujours attendre le réseau lors du démarrage de l’ordinateur et d’ouverture de session »).

Important Ce comportement est pertinent que dans le scénario de connexion interactive. Accès aux ressources réseau fonctionne comme prévu, car il est inutile d’optimisation d’ouverture de session. Par conséquent, l’appartenance au groupe mis en cache n’est pas utilisé. Le contrôleur de domaine est contacté pour créer le nouveau ticket en utilisant les informations d’appartenance de groupe AMA plus récentes.

Lock/unlock

Considérez le scénario suivant :

  • Un utilisateur ouvre une session interactive en utilisant la carte à puce, puis ouvre les ressources réseau protégé par AMA.

    Remarque Réseau protégé de AMA les ressources peuvent être accessibles uniquement aux utilisateurs qui ont un groupe AMA dans leur jeton d’accès.

  • L’utilisateur verrouille l’ordinateur sans fermer au préalable la ressource réseau de protégé AMA précédemment ouverte.

  • L’utilisateur déverrouille l’ordinateur en utilisant le nom d’utilisateur et le mot de passe de l’utilisateur qui a déjà ouvert une session à l’aide d’une carte à puce).

Dans ce scénario, l’utilisateur peut toujours accéder aux ressources protégées par AMA après déverrouillage de l’ordinateur. Ce comportement est voulu par la conception. Lorsque l’ordinateur est déverrouillé, Windows ne recrée pas toutes les sessions ouvertes qui avaient des ressources réseau. Windows également ne revérifie sa l’appartenance au groupe. C’est parce que ces actions entraînerait une dégradation des performances inacceptables.

Il n’y a aucune solution prête à l’emploi pour ce scénario. Une solution consisterait à créer un filtre de fournisseur d’informations d’identification qui filtre le fournisseur de nom/mot de passe d’utilisateur après la connexion de la SC et étapes de verrouillage se produisent. Pour en savoir plus sur le fournisseur d’informations d’identification, consultez les ressources suivantes :

Interface de ICredentialProviderFilter

Exemples de fournisseurs d’informations d’identification de Windows VistaRemarque  Nous ne pouvons pas confirmer si cette approche a été correctement implémentée.

Plus d’informations sur AMA

AMA peut identifier ni imposer le type d’ouverture de session interactive (carte à puce ou nom d’utilisateur/mot de passe). Ce comportement est voulu par la conception.

AMA est destinée aux scénarios dans lesquels les ressources réseau exigent une carte à puce. Il n’a pas destiné à être utilisé pour l’accès local.

Toute tentative de résoudre ce problème en introduisant de nouvelles fonctionnalités, telles que la possibilité d’utiliser l’appartenance de groupe dynamique ou à des groupes de AMA de poignée sous la forme d’un groupe dynamique, peut provoquer des problèmes graves. C’est pourquoi les jetons NT ne prennent pas en charge les appartenances de groupe dynamique. Si le système autorisé à ajuster dans réel, les groupes, les utilisateurs ne pourraient peut-être pas d’interagir avec leurs propres postes de travail et les applications. Par conséquent, les appartenances aux groupes sont verrouillés au moment où la session est créée et sont conservés pendant toute la session.

Les ouvertures de session mises en cache sont également problématiques. Si une connexion optimisée est activée, lsass essaie d’abord un cache local avant d’appeler un réseau aller-retour. Si le nom d’utilisateur et le mot de passe sont identiques à ce que lsass de scie pour les ouvertures de session précédentes (cela est vrai pour la plupart des ouvertures de session), lsass crée un jeton qui a les appartenances de même que l’utilisateur possède.

Si une connexion optimisée est désactivée, un aller-retour réseau est requis. Ce serait faire, assurez-vous que les appartenances aux groupes de travail à ouverture de session comme prévu.

Dans une ouverture de session mises en cache, lsass conserve une entrée par l’utilisateur. Cette entrée inclut l’appartenance de l’utilisateur précédent. Il est protégé par les deux dernier mot de passe ou les informations d’identification de carte à puce de scie lsass. Les deux désencapsuler la même clé de jeton et les informations d’identification. Si les utilisateurs ont été pour tenter de se connecter à l’aide d’une clé d’informations d’identification obsolètes, ils perdraient DPAPI données protégées par EFS de contenu et ainsi de suite. Par conséquent, les ouvertures de session mises en cache produisent toujours les appartenances aux groupes locaux plus récentes, quel que soit le mécanisme qui est utilisé pour ouvrir une session.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×