Hatókör
Windows Server 2012 R2 Standard Windows Server 2012 R2 Datacenter Windows 8.1 Pro Windows 8.1 Enterprise Windows Server 2012 Standard Windows Server 2012 Standard Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows 8 Pro Windows 8 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows 7 Enterprise Windows 7 Professional

Összefoglalás

Ez a cikk azt ismerteti, hogyan használható a hitelesítési mechanizmus garanciája (AMA) interaktív bejelentkezési forgatókönyvekben.

Bevezetés

Az AMA rendszergazda által kijelölt univerzális csoporttagságokat ad hozzá a felhasználó hozzáférési jogkivonatához, ha a felhasználó hitelesítő adatai tanúsítványalapú bejelentkezési módszerrel vannak hitelesítve a bejelentkezés során. Így a hálózati erőforrások rendszergazdái szabályozhatják az erőforrásokhoz, például fájlokhoz, mappákhoz és nyomtatókhoz való hozzáférést. Ez a hozzáférés azon alapul, hogy a felhasználó tanúsítványalapú bejelentkezési módszerrel és a bejelentkezéshez használt tanúsítvány típusával jelentkezik-e be.

Ebben a cikkben

Ez a cikk két problémaforgatókönyvre összpontosít: bejelentkezés/kijelentkezés és zárolás/feloldás. Az AMA viselkedése ezekben a forgatókönyvekben "szándékosan" történik, és a következőképpen összegezhető:

  • Az AMA a hálózati erőforrások védelmére szolgál.

  • Az AMA nem tudja azonosítani és nem tudja kikényszeríteni a felhasználó helyi számítógépéhez tartozó interaktív bejelentkezési típust (intelligens kártya vagy felhasználónév/jelszó). Ennek az az oka, hogy az interaktív felhasználói bejelentkezés után elért erőforrások nem védhetők megbízhatóan az AMA használatával.

Jelenségek

1. problémaforgatókönyv (bejelentkezés/kijelentkezés)

Vegye figyelembe a következő forgatókönyvet:

  • A rendszergazda szeretné kikényszeríteni az intelligens kártya (SC) bejelentkezési hitelesítését, amikor a felhasználók bizonyos, biztonsági szempontból érzékeny erőforrásokhoz férnek hozzá. Ehhez a rendszergazda üzembe helyezi az AMA-t az AD DS hitelesítési mechanizmusának garanciája szerint a Windows Server 2008 R2 részletes útmutatójában az összes intelligenskártya-tanúsítványban használt kiállítási szabályzat objektumazonosítójához. Megjegyzés Ebben a cikkben ezt az új leképezett csoportot "az intelligens kártyás univerzális biztonsági csoportnak" nevezzük.

  • Az "Interaktív bejelentkezés: Intelligens kártya megkövetelése" szabályzat nincs engedélyezve a munkaállomásokon. Ezért a felhasználók más hitelesítő adatokkal, például felhasználónévvel és jelszóval jelentkezhetnek be.

  • A helyi és hálózati erőforrásokhoz való hozzáféréshez az intelligens kártya univerzális biztonsági csoportja szükséges.

Ebben a forgatókönyvben arra számít, hogy csak azok a felhasználók férhetnek hozzá a helyi és hálózati erőforrásokhoz, akik intelligens kártyák használatával jelentkeznek be. Mivel azonban a munkaállomás lehetővé teszi az optimalizált/gyorsítótárazott bejelentkezést, a rendszer a bejelentkezés során a gyorsítótárazott hitelesítőt használja az NT hozzáférési jogkivonat létrehozásához a felhasználó asztalához. Ezért az előző bejelentkezésből származó biztonsági csoportokat és jogcímeket használja a rendszer a jelenlegi helyett.

Példaforgatókönyvek

Megjegyzés Ebben a cikkben a rendszer a "whoami/groups" használatával kéri le a csoporttagságokat az interaktív bejelentkezési munkamenetekhez. Ez a parancs lekéri a csoportokat és jogcímeket az asztal hozzáférési jogkivonatából.

  • 1. példa: Ha az előző bejelentkezést intelligens kártyával hajtották végre, az asztal hozzáférési jogkivonata tartalmazza az AMA által biztosított intelligens kártya univerzális biztonsági csoportot. Az alábbi eredmények egyike következik be:

    • A felhasználó az intelligens kártyával jelentkezik be: A felhasználó továbbra is hozzáférhet a helyi biztonsági szempontból érzékeny erőforrásokhoz. A felhasználó megpróbál hozzáférni azokhoz a hálózati erőforrásokhoz, amelyekhez az intelligens kártya univerzális biztonsági csoportja szükséges. Ezek a kísérletek sikeresek.

    • A felhasználó felhasználónévvel és jelszóval jelentkezik be: A felhasználó továbbra is hozzáférhet a helyi biztonsági szempontból érzékeny erőforrásokhoz. Ez az eredmény nem várható. A felhasználó megpróbál hozzáférni azokhoz a hálózati erőforrásokhoz, amelyekhez az intelligens kártya univerzális biztonsági csoportja szükséges. Ezek a kísérletek a várt módon meghiúsulnak.

  • 2. példa: Ha az előző bejelentkezést jelszóval hajtották végre, az asztali hozzáférési jogkivonat nem rendelkezik az AMA által biztosított intelligens kártyás univerzális biztonsági csoporttal. Az alábbi eredmények egyike következik be:

    • A felhasználó felhasználónévvel és jelszóval jelentkezik be: A felhasználó nem férhet hozzá a helyi biztonsági szempontból bizalmas erőforrásokhoz. A felhasználó megpróbál hozzáférni azokhoz a hálózati erőforrásokhoz, amelyekhez az intelligens kártya univerzális biztonsági csoportja szükséges. Ezek a kísérletek sikertelenek.

    • A felhasználó az intelligens kártyával jelentkezik be: A felhasználó nem férhet hozzá a helyi biztonsági szempontból érzékeny erőforrásokhoz. A felhasználó megpróbál hozzáférni a hálózati erőforrásokhoz. Ezek a kísérletek sikeresek. Ezt az eredményt az ügyfelek nem várják el. Ezért hozzáférés-vezérlési problémákat okoz.

2. problémaforgatókönyv (zárolás/zárolás feloldása)

Vegye figyelembe a következő forgatókönyvet:

  • A rendszergazda szeretné kikényszeríteni az intelligens kártya (SC) bejelentkezési hitelesítését, amikor a felhasználók bizonyos, biztonsági szempontból érzékeny erőforrásokhoz férnek hozzá. Ehhez a rendszergazda az AMA-t az AD DS hitelesítési mechanizmusának garanciája szerint helyezi üzembe a Windows Server 2008 R2-ben részletes útmutatót az összes intelligenskártya-tanúsítványban használt kiállítási szabályzat objektumazonosítójához.

  • Az "Interaktív bejelentkezés: Intelligens kártya megkövetelése" szabályzat nincs engedélyezve a munkaállomásokon. Ezért a felhasználók más hitelesítő adatokkal, például felhasználónévvel és jelszóval jelentkezhetnek be.

  • A helyi és hálózati erőforrásokhoz való hozzáféréshez az intelligens kártya univerzális biztonsági csoportja szükséges.

Ebben a forgatókönyvben arra számít, hogy csak az intelligens kártyákkal bejelentkező felhasználók férhetnek hozzá a helyi és a hálózati erőforrásokhoz. Mivel azonban a felhasználó asztalának hozzáférési jogkivonata a bejelentkezés során jön létre, az nem változik.

Példaforgatókönyvek

  • 1. példa: Ha az asztali hozzáférési jogkivonat az AMA által biztosított intelligens kártyás univerzális biztonsági csoporttal rendelkezik, az alábbi eredmények egyike következik be:

    • A felhasználó az intelligens kártyával oldja fel a zárolást: A felhasználó továbbra is hozzáférhet a helyi biztonsági szempontból érzékeny erőforrásokhoz. A felhasználó megpróbál hozzáférni azokhoz a hálózati erőforrásokhoz, amelyekhez az intelligens kártya univerzális biztonsági csoportja szükséges. Ezek a kísérletek sikeresek.

    • A felhasználó a felhasználónév és a jelszó használatával oldja fel a zárolást: A felhasználó továbbra is hozzáférhet a helyi biztonsági szempontból érzékeny erőforrásokhoz. Ez az eredmény nem várható. A felhasználó megpróbál hozzáférni azokhoz a hálózati erőforrásokhoz, amelyekhez az intelligens kártya univerzális biztonsági csoportja szükséges. Ezek a kísérletek sikertelenek.

  • 2. példa Ha az asztali hozzáférési jogkivonat nem rendelkezik az AMA által biztosított univerzális intelligenskártya-biztonsági csoporttal, az alábbi eredmények egyike következik be:

    • A felhasználó felhasználónévvel és jelszóval oldja fel a zárolást: A felhasználó nem férhet hozzá a helyi biztonsági szempontból érzékeny erőforrásokhoz. A felhasználó megpróbálja elérni az intelligens kártya univerzális biztonsági csoportját igénylő hálózati erőforrásokat. Ezek a kísérletek sikertelenek.

    • A felhasználó az intelligens kártyával oldja fel a zárolást: A felhasználó nem férhet hozzá a helyi biztonsági szempontból érzékeny erőforrásokhoz. Ez az eredmény nem várható. A felhasználó megpróbál hozzáférni a hálózati erőforrásokhoz. Ezek a kísérletek a várt módon sikeresek.

További információ

A "Tünetek" szakaszban leírt AMA és biztonsági alrendszer kialakítása miatt a felhasználók a következő forgatókönyveket tapasztalják, amelyekben az AMA nem tudja megbízhatóan azonosítani az interaktív bejelentkezés típusát.

Bejelentkezés/kijelentkezés

Ha a gyors bejelentkezés optimalizálása aktív, a helyi biztonsági alrendszer (lsass) helyi gyorsítótárat használ a csoporttagság létrehozásához a bejelentkezési jogkivonatban. Ehhez nincs szükség a tartományvezérlővel (DC) folytatott kommunikációra. Ezért a bejelentkezési idő csökken. Ez nagyon kívánatos funkció.Ez a helyzet azonban a következő problémát okozza: Az SC-bejelentkezés és az SC Logoff után a helyileg gyorsítótárazott AMA-csoport helytelenül továbbra is jelen van a felhasználói jogkivonatban a felhasználónév/jelszó interaktív bejelentkezése után.Megjegyzések

  • Ez a helyzet csak az interaktív bejelentkezésekre vonatkozik.

  • Az AMA-csoportok gyorsítótárazása ugyanúgy történik, mint a többi csoporté.

Ebben az esetben, ha a felhasználó ezután megpróbál hozzáférni a hálózati erőforrásokhoz, a rendszer nem használja a gyorsítótárazott csoporttagságokat az erőforrásoldalon, és a felhasználó erőforrásoldali bejelentkezési munkamenete nem tartalmaz AMA-csoportot.Ez a probléma megoldható a gyors bejelentkezés optimalizálásának kikapcsolásával ("Számítógép konfigurációja > Felügyeleti sablonok > Rendszer > Bejelentkezés > Mindig várjon a hálózatra a számítógép indításakor és bejelentkezéskor"). Fontos: Ez a viselkedés csak az interaktív bejelentkezési forgatókönyvben releváns. A hálózati erőforrásokhoz való hozzáférés a várt módon fog működni, mert nincs szükség a bejelentkezés optimalizálására. Ezért a gyorsítótárazott csoporttagság nem használatos. A rendszer felveszi a kapcsolatot a tartományvezérlővel az új jegy létrehozásához a legfrissebb AMA-csoporttagsági adatok használatával.

Zárolás/zárolás feloldása

Vegye figyelembe a következő forgatókönyvet:

  • Egy felhasználó interaktívan bejelentkezik az intelligens kártyán keresztül, majd megnyitja az AMA által védett hálózati erőforrásokat.Megjegyzés: Az AMA által védett hálózati erőforrások csak azokhoz a felhasználókhoz érhetők el, akik AMA-csoporttal rendelkeznek a hozzáférési jogkivonatukban.

  • A felhasználó a korábban megnyitott AMA által védett hálózati erőforrás bezárása nélkül zárolja a számítógépet.

  • A felhasználó feloldja a számítógép zárolását annak a felhasználónak a felhasználónevével és jelszavával, aki korábban intelligens kártyával jelentkezett be).

Ebben a forgatókönyvben a felhasználó a számítógép zárolásának feloldása után is hozzáférhet az AMA által védett erőforrásokhoz. A jelenség szándékos. A számítógép zárolásának feloldása után a Windows nem hozza létre újra az összes olyan nyitott munkamenetet, amely hálózati erőforrásokkal rendelkezik. A Windows a csoporttagság újraellenőrzését sem végzi el. Ennek az az oka, hogy ezek az intézkedések elfogadhatatlan teljesítménybírságot okoznának.Ehhez a forgatókönyvhöz nincs beépített megoldás. Az egyik megoldás egy olyan hitelesítőadat-szolgáltatói szűrő létrehozása, amely kiszűri a felhasználónevet/jelszószolgáltatót az SC-bejelentkezés és a zárolási lépések végrehajtása után. A hitelesítőadat-szolgáltatóval kapcsolatos további információkért tekintse meg a következő forrásanyagokat:

ICredentialProviderFilter interfész Windows Vista hitelesítőadat-szolgáltatói mintákMegjegyzés: Nem tudjuk ellenőrizni, hogy ez a megközelítés sikeresen implementálva lett-e.

További információ az AMA-ról

Az AMA nem tudja azonosítani vagy kikényszeríteni az interaktív bejelentkezési típust (intelligens kártya vagy felhasználónév/jelszó). A jelenség szándékos.Az AMA olyan forgatókönyvekhez készült, amelyekben a hálózati erőforrások intelligens kártyát igényelnek. Nem helyi hozzáférésre szolgál.Ha új funkciók bevezetésével próbálják megoldani ezt a problémát, például a dinamikus csoporttagság használatára vagy az AMA-csoportok dinamikus csoportként való kezelésére, jelentős problémákat okozhatnak. Ezért nem támogatják az NT-jogkivonatok a dinamikus csoporttagságokat. Ha a rendszer lehetővé tette a csoportok valós vágását, előfordulhat, hogy a felhasználók nem tudják használni a saját asztalukat és alkalmazásaikat. Ezért a csoporttagságok a munkamenet létrehozásakor zárolva vannak, és az egész munkamenetben megmaradnak.A gyorsítótárazott bejelentkezések is problémásak. Ha az optimalizált bejelentkezés engedélyezve van, az lsass először megpróbál egy helyi gyorsítótárat, mielőtt hálózatváltást hívna meg. Ha a felhasználónév és a jelszó megegyezik azzal, amit az lsass látott az előző bejelentkezéshez (ez a legtöbb bejelentkezésre igaz), az lsass létrehoz egy jogkivonatot, amely ugyanazokkal a csoporttagságokkal rendelkezik, mint a felhasználó korábban. Ha az optimalizált bejelentkezés ki van kapcsolva, hálózati lekérésre lenne szükség. Ez biztosítja, hogy a csoporttagságok a várt módon működjenek a bejelentkezéskor.A gyorsítótárazott bejelentkezésekben az lsass felhasználónként egy bejegyzést tart meg. Ez a bejegyzés tartalmazza a felhasználó korábbi csoporttagságát. Ezt az lsass által látott utolsó jelszó vagy intelligenskártya-hitelesítő adatok is védik. Mindkettő ugyanazt a jogkivonatot és hitelesítőadat-kulcsot csomagolja ki. Ha a felhasználók elavult hitelesítőadat-kulccsal próbálnának bejelentkezni, elveszítenék a DPAPI-adatokat, az EFS által védett tartalmakat stb. Ezért a gyorsítótárazott bejelentkezések mindig a legutóbbi helyi csoporttagságokat hozzák létre, függetlenül a bejelentkezéshez használt mechanizmustól.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.