סיכום
מאמר זה דן באופן השימוש ב-Authentication Mechanism Assurance (AMA) בתרחישי כניסה אינטראקטיביים.
מבוא
AMA מוסיף חברות בקבוצה אוניברסלית המיועדת למנהל מערכת לאסימון הגישה של המשתמש כאשר אישורי המשתמש מאומתים במהלך הכניסה באמצעות שיטת כניסה מבוססת-אישור. הדבר מאפשר למנהלי משאבי רשת לשלוט בגישה למשאבים, כגון קבצים, תיקיות ומדפסות. גישה זו מבוססת על הכניסה של המשתמש באמצעות שיטת כניסה מבוססת-אישור ועל סוג האישור המשמש לכניסה.
במאמר זה
מאמר זה מתמקד בשני תרחישים של בעיות: כניסה/התחברות ונעילה/ביטול נעילה. אופן הפעולה של AMA בתרחישים אלה הוא "לפי עיצוב" ובאפשרותך לסכם אותו באופן הבא:
-
AMA מיועד להגן על משאבי רשת.
-
AMA אינו יכול לזהות או לאכוף את סוג הכניסה האינטראקטיבי (כרטיס חכם או שם משתמש/סיסמה) עבור המחשב המקומי של המשתמש. זאת משום שלא ניתן להגן באופן מהימן על משאבים שניתן לגשת אליהם לאחר כניסת משתמש אינטראקטיבית באמצעות AMA.
תופעות
תרחיש בעיה 1 (כניסה/התחברות)
שקול את התרחיש הבא:
-
מנהל מערכת מעוניין לאכוף אימות כניסה מסוג כרטיס חכם (SC) כאשר משתמשים ניגשים למשאבים מסוימים רגישים לאבטחה. לשם כך, מנהל המערכת פורס את AMA בהתאם ל'הבטחת מנגנון אימות' עבור AD DS ב- Windows Server 2008 R2 מדריך שלב אחר שלב עבור מזהה האובייקט של מדיניות ההנפקת הנמצא בשימוש בכל אישורי הכרטיס החכם. הערה במאמר זה, אנו מתייחסים לקבוצה ממופה חדשה זו בשם "קבוצת האבטחה האוניברסלית של הכרטיס החכם".
-
מדיניות "כניסה אינטראקטיבית: דרוש כרטיס חכם" אינה זמינה בתחנות עבודה. לכן, המשתמשים יכולים להיכנס באמצעות אישורים אחרים, כגון שם משתמש וסיסמה.
-
גישה למשאבי רשת ומקומיות דורשת את קבוצת האבטחה האוניברסלית של הכרטיס החכם.
בתרחיש זה, אתה מצפה שרק משתמש שנכנס באמצעות כרטיסים חכמים יוכל לגשת למשאבים מקומיים ומשאבי רשת. עם זאת, מאחר שתחנת העבודה מאפשרת כניסה ממוטבת/מאוחסנת במטמון, המ מאמת המאוחסן במטמון משמש במהלך הכניסה ליצירת אסימון הגישה של NT עבור שולחן העבודה של המשתמש. לכן, קבוצות האבטחה והתביעות מהכניסה הקודמת נמצאות בשימוש במקום הכניסה הנוכחית.
דוגמאות לתרחישים
הערה במאמר זה, חברות בקבוצה מאוחזרת עבור הפעלות כניסה אינטראקטיביות באמצעות "whoami/groups". פקודה זו מאחזרת את הקבוצות והתביעות מסימון הגישה של שולחן העבודה.
-
דוגמה 1אם הכניסה הקודמת בוצעה באמצעות כרטיס חכם, אסימון הגישה עבור שולחן העבודה כולל את קבוצת האבטחה האוניברסלית של הכרטיס החכם המסופקת על-ידי AMA. אחת התוצאות הבאות מתרחשת:
-
המשתמש נכנס באמצעות הכרטיס החכם: המשתמש עדיין יכול לגשת למשאבים רגישים לאבטחה מקומית. המשתמש מנסה לגשת למשאבי רשת הדורשים את קבוצת האבטחה האוניברסלית של הכרטיס החכם. ניסיונות אלה הצליחו.
-
המשתמש נכנס באמצעות שם משתמש וסיסמה: המשתמש עדיין יכול לגשת למשאבים רגישים לאבטחה מקומית. תוצאה זו אינה צפויה. המשתמש מנסה לגשת למשאבי רשת הדורשים את קבוצת האבטחה האוניברסלית של הכרטיס החכם. ניסיונות אלה נכשלים כצפוי.
-
-
דוגמה 2אם הכניסה הקודמת בוצעה באמצעות סיסמה, אסימון הגישה עבור שולחן העבודה אינו כולל את קבוצת האבטחה האוניברסלית של הכרטיס החכם שסופקה על-ידי AMA. אחת התוצאות הבאות מתרחשת:
-
המשתמש נכנס באמצעות שם משתמש וסיסמה: למשתמש אין אפשרות לגשת למשאבי אבטחה רגישים מקומיים. המשתמש מנסה לגשת למשאבי רשת הדורשים את קבוצת האבטחה האוניברסלית של הכרטיס החכם. ניסיונות אלה נכשלים.
-
המשתמש נכנס באמצעות הכרטיס החכם: למשתמש אין אפשרות לגשת למשאבים רגישים לאבטחה מקומית. המשתמש מנסה לגשת למשאבי רשת. ניסיונות אלה הצליחו. תוצאה זו אינה צפויה על-ידי לקוחות. לכן, הוא גורם לבעיות בקרת גישה.
-
תרחיש בעיה 2 (נעילה/ביטול נעילה)
שקול את התרחיש הבא:
-
מנהל מערכת מעוניין לאכוף אימות כניסה מסוג כרטיס חכם (SC) כאשר משתמשים ניגשים למשאבים מסוימים רגישים לאבטחה. לשם כך, מנהל המערכת פורס את AMA בהתאם ל'הבטחת מנגנון אימות' עבור AD DS ב- Windows Server 2008 R2 מדריך שלב אחר שלב עבור מזהה האובייקט של מדיניות ההנפקת הנמצא בשימוש בכל אישורי הכרטיס החכם.
-
מדיניות "כניסה אינטראקטיבית: דרוש כרטיס חכם" אינה זמינה בתחנות עבודה. לכן, המשתמשים יכולים להיכנס באמצעות אישורים אחרים, כגון שם משתמש וסיסמה.
-
גישה למשאבי רשת ומקומיות דורשת את קבוצת האבטחה האוניברסלית של הכרטיס החכם.
בתרחיש זה, אתה מצפה שרק משתמש שנכנס באמצעות כרטיסים חכמים יוכל לגשת למשאבים מקומיים ומשאבי רשת. עם זאת, מאחר אסימון הגישה עבור שולחן העבודה של המשתמש נוצר במהלך הכניסה, הוא לא ישתנה.
דוגמאות לתרחישים
-
דוגמה 1אם אסימון הגישה עבור שולחן העבודה כולל את קבוצת האבטחה האוניברסלית של הכרטיס החכם שסופקה על-ידי AMA, מתרחשת אחת התוצאות הבאות:
-
המשתמש מבטל את הנעילה באמצעות הכרטיס החכם: המשתמש עדיין יכול לגשת למשאבים רגישים לאבטחה מקומית. המשתמש מנסה לגשת למשאבי רשת הדורשים את קבוצת האבטחה האוניברסלית של הכרטיס החכם. ניסיונות אלה הצליחו.
-
המשתמש מבטל את הנעילה באמצעות שם המשתמש והסיסמה: המשתמש עדיין יכול לגשת למשאבים רגישים לאבטחה מקומית. תוצאה זו אינה צפויה. המשתמש מנסה לגשת למשאבי רשת הדורשים את קבוצת האבטחה האוניברסלית של הכרטיס החכם. ניסיונות אלה נכשלים.
-
-
דוגמה 2אם אסימון הגישה עבור שולחן העבודה אינו כולל את קבוצת האבטחה האוניברסלית של הכרטיס החכם שסופקה על-ידי AMA, מתרחשת אחת התוצאות הבאות:
-
המשתמש מבטל את הנעילה באמצעות שם משתמש וסיסמה: למשתמש אין אפשרות לגשת למשאבים רגישים לאבטחה מקומית. המשתמש מנסה לגשת למשאבי רשת הדורשים את קבוצת האבטחה האוניברסלית של הכרטיס החכם. ניסיונות אלה נכשלים.
-
המשתמש מבטל את הנעילה באמצעות הכרטיס החכם: למשתמש אין אפשרות לגשת למשאבים רגישים לאבטחה מקומית. תוצאה זו אינה צפויה. המשתמש מנסה לגשת למשאבי רשת. ניסיונות אלה הצליחו כצפוי.
-
מידע נוסף
בשל עיצוב מערכת המשנה של AMA ואבטחה המתואר בסעיף "מאפייני הבעיה", המשתמשים נתקלים בתרחישים הבאים שבהם AMA לא יכול לזהות בצורה מהימנה את סוג הכניסה האינטראקטיבית.
כניסה/התחברות
אם מיטוב הכניסה המהירה פעיל, מערכת המשנה של האבטחה המקומית (lsass) משתמשת במטמון מקומי כדי ליצור חברות בקבוצה אסימון הכניסה. על-ידי ביצוע פעולה זו, התקשורת עם בקר התחום (DC) אינה נדרשת. לכן, זמן הכניסה מופחת. זוהי תכונה רצויה ביותר.עם זאת, מצב זה גורם לבעיה הבאה: לאחר SC Logon and SC Logoff, the locally cached AMA group is, incorrectly, still present in the user token after the user name/password interactive logon.הערות
-
מצב זה חל רק על כניסות אינטראקטיביות.
-
קבוצת AMA מאוחסנת במטמון באותו אופן ועל-ידי שימוש באותה לוגיקה של קבוצות אחרות.
במצב זה, אם המשתמש מנסה לאחר מכן לגשת למשאבי רשת, חברות בקבוצה המאוחסנת במטמון בצד המשאב אינה בשימוש והפעלת הכניסה של המשתמש בצד המשאב לא תכלול קבוצת AMA.בעיה זו יכולה לפתור על-ידי ביטול מיטוב הכניסה המהירה ("תצורת מחשב > תבניות ניהול > מערכת > כניסה > המתן תמיד לרשת בעת אתחול המחשב והכניסה"). חשוב אופן פעולה זה רלוונטי רק בתרחיש הכניסה האינטראקטיבית. הגישה למשאבי הרשת יפעלו כצפוי מאחר שאין צורך במיטוב כניסה. לכן, חברות בקבוצה המאוחסנת במטמון אינה בשימוש. המערכת יוצרת קשר עם זרם ישר כדי ליצור את הכרטיס החדש באמצעות פרטי החברות החדשים ביותר בקבוצת AMA.
נעילה/ביטול נעילה
שקול את התרחיש הבא:
-
משתמש נכנס באופן אינטראקטיבי באמצעות הכרטיס החכם ולאחר מכן פותח משאבי רשת המוגנים באמצעות AMA.הערה ניתן לגשת למשאבי רשת המוגנים באמצעות AMA רק למשתמשים שיש להם קבוצת AMA אסימון הגישה שלהם.
-
המשתמש נועל את המחשב מבלי לסגור תחילה את משאב הרשת המוגן באמצעות AMA שנפתח קודם לכן.
-
המשתמש מבטל את נעילת המחשב באמצעות שם המשתמש והסיסמה של אותו משתמש שנכנס בעבר באמצעות כרטיס חכם).
בתרחיש זה, המשתמש עדיין יכול לגשת למשאבים המוגנים באמצעות AMA לאחר ביטול נעילת המחשב. אופן פעולה זה תם. כאשר נעילת המחשב אינה נעולה, Windows אינו יוצר מחדש את כל ההפעלות הפתוחות הכוללות משאבי רשת. Windows גם אינו בודק מחדש חברות בקבוצה. הסיבה לכך היא שפעולות אלה עשויות לגרום לקנסות ביצועים לא קבילים.אין פתרון מוכן מראש עבור תרחיש זה. פתרון אחד יהיה ליצור מסנן ספק אישורים המסנן את ספק שם המשתמש/סיסמה לאחר שמתרחשים שלבי הכניסה והנעילה של SC. לקבלת מידע נוסף אודות ספק האישורים, עיין במשאבים הבאים:
ממשק ICredentialProviderFilter דוגמאות לספק אישורים של Windows Vistaהערה איננו יכולים לאשר אם גישה זו יושמה בהצלחה.
מידע נוסף אודות AMA
AMA אינו יכול לזהות או לאכוף את סוג הכניסה האינטראקטיבי (כרטיס חכם או שם משתמש/סיסמה). אופן פעולה זה תם.AMA מיועד לתרחישים שבהם משאבי רשת דורשים כרטיס חכם. הוא אינו מיועד לשימוש לגישה מקומית.כל ניסיון לפתור בעיה זו על-ידי הצגת תכונות חדשות, כגון היכולת להשתמש לחברות דינאמית בקבוצה או טיפול בקבוצות AMA כקבוצה דינאמית, עלול לגרום לבעיות משמעותיות. זו הסיבה לכך שאסימוני NT אינם תומכים חברויות דינאמיות בקבוצה. אם המערכת אפשרה חיתוך אמיתי של קבוצות, ייתכן למנוע מהמשתמשים לקיים אינטראקציה עם שולחן העבודה והיישומים שלהם. לכן, חברויות בקבוצה נעולות בזמן שההפעלה נוצרת ונשמרות לאורך כל ההפעלה.כניסות המאוחסנות במטמון הן גם בעייתיות. אם כניסה ממוטבת זמינה, lsass מנסה תחילה מטמון מקומי לפני שהוא מפעיל הלוך ושוב ברשת. אם שם המשתמש והסיסמה זהים לפריט שצוין ב- lsass עבור הכניסה הקודמת (הדבר נכון עבור רוב הכניסות), lsass יוצר אסימון הכולל את אותן חברויות בקבוצה שהיו למשתמש בעבר. אם כניסה ממוטבת מבוטלת, נדרש הלוך ושוב ברשת. פעולה זו תוודא כי חברויות הקבוצה פועלות בעת הכניסה כמצופה.בכניסה המאוחסנת במטמון, lsass שומר ערך אחד לכל משתמש. ערך זה כולל את החברות בקבוצה הקודמת של המשתמש. פעולה זו מוגנת הן על-ידי הסיסמה האחרונה והן באמצעות אישור הכרטיס החכם שראית. הן מבטלות את הפריסה של אותו אסימון ומפתח אישור. אם המשתמשים היו מנסים להיכנס באמצעות מפתח אישור ישן, הם יאבדו נתוני DPAPI, תוכן המוגן באמצעות EFS וכן הלאה. לכן, כניסות המאוחסנות במטמון מפיקות תמיד את החברויות האחרונות בקבוצה המקומית, ללא קשר למנגנון המשמש לכניסה.