Deskripsi AMA penggunaan dalam skenario interaktif log masuk di Windows

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 3101129
Ringkasan
Artikel ini membahas cara menggunakan otentikasi mekanisme jaminan (AMA) dalam skenario interaktif log masuk.
Pendahuluan
AMA menambah Kelompok anggota administrator yang ditetapkan, universal token akses pengguna bila kredensial pengguna yang diotentikasi selama log masuk dengan menggunakan metode berbasis sertifikat log masuk. Hal ini memungkinkan administrator sumber daya jaringan untuk mengontrol akses ke sumber daya, seperti berkas, folder, dan printer. Akses ini didasarkan pada apakah pengguna log masuk dengan menggunakan metode log masuk berbasis sertifikat dan jenis sertifikat yang digunakan untuk log masuk.
Di dalam artikel ini
Artikel ini fokus pada dua masalah skenario: log masuk logoff dan membuka bukti kunci. Perilaku AMA dalam skenario ini adalah "desain" dan dapat diringkas sebagai berikut:

  • AMA ditujukan untuk melindungi sumber jaringan.
  • AMA dapat maupun mengidentifikasi memaksakan tipe log masuk interaktif (kartu pintar atau sandi pengguna nama) untuk pengguna komputer lokal. Hal ini karena sumber daya yang dapat diakses setelah log masuk pengguna interaktif tidak dapat diandalkan dilindungi dengan menggunakan AMA.
Gejala

Masalah skenario 1 (logon/logoff)

Pertimbangkan skenario berikut ini:
  • Administrator ingin memaksakan otentikasi log masuk Smart Card (SC) ketika pengguna mengakses sumber sensitif tertentu. Untuk melakukannya, administrator menyebarkan AMA menurut Otentikasi mekanisme jaminan untuk AD DS di Windows Server 2008 R2 panduan langkah demi langkah untuk penerbitan kebijakan pengidentifikasi objek yang digunakan pada semua Kartu Bisnis pintar sertifikat.

    Catatan Di dalam artikel ini, kami merujuk ke grup dipetakan baru ini sebagai "kartu pintar universal kelompok keamanan."
  • "Interaktif logon: memerlukan Kartu Bisnis pintar" kebijakan tidak diaktifkan pada workstation. Oleh karena itu, pengguna dapat log masuk menggunakan kredensial lain, seperti Nama pengguna dan sandi.
  • Lokal dan kelompok keamanan universal Kartu Bisnis pintar memerlukan akses sumber daya jaringan.
Dalam skenario ini, Anda mengharapkan bahwa hanya pengguna yang masuk dengan menggunakan Kartu Bisnis pintar dapat mengakses lokal dan sumber daya jaringan. Namun, karena workstation memungkinkan log masuk dioptimalkan/cache, verifier cache digunakan selama log masuk untuk membuat token akses NT untuk pengguna desktop. Oleh karena itu, kelompok keamanan dan klaim dari log masuk sebelumnya digunakan sebagai satu saat ini.

Contoh skenario

Catatan Dalam artikel ini, keanggotaan grup diakses untuk sesi interaktif log masuk dengan menggunakan "whoami/grup." Perintah ini mengambil kelompok dan klaim dari token akses desktop.

  • Contoh 1

    Jika masuk sebelumnya dilakukan dengan menggunakan Kartu Bisnis pintar, token akses untuk desktop memiliki Kartu Bisnis pintar grup universal keamanan yang disediakan oleh AMA. Salah satu dari hasil berikut terjadi:

    • Pengguna yang log on dengan menggunakan Kartu Bisnis pintar: pengguna masih dapat mengakses sumber daya sensitif keamanan lokal. Pengguna mencoba untuk mengakses sumber jaringan yang memerlukan kelompok keamanan universal Kartu Bisnis pintar. Upaya tersebut berhasil.
    • Pengguna yang log masuk menggunakan Nama pengguna dan sandi: pengguna masih dapat mengakses sumber daya sensitif keamanan lokal. Hasil ini tidak diharapkan. Pengguna mencoba untuk mengakses sumber jaringan yang memerlukan kelompok keamanan universal Kartu Bisnis pintar. Upaya ini gagal seperti yang diharapkan.
  • Contoh 2

    Jika masuk sebelumnya dilakukan dengan menggunakan sandi, token akses untuk desktop tidak memiliki Kartu Bisnis pintar grup universal keamanan yang disediakan oleh AMA. Salah satu dari hasil berikut terjadi:

    • Pengguna yang log masuk menggunakan Nama pengguna dan sandi: pengguna tidak dapat mengakses sumber daya sensitif keamanan lokal. Pengguna mencoba untuk mengakses sumber jaringan yang memerlukan kelompok keamanan universal Kartu Bisnis pintar. Upaya ini gagal.
    • Pengguna yang log on dengan menggunakan Kartu Bisnis pintar: pengguna tidak dapat mengakses sumber daya sensitif keamanan lokal. Pengguna mencoba untuk mengakses sumber jaringan. Upaya tersebut berhasil. Outcomeisn't ini diharapkan oleh pelanggan. Oleh karena itu, hal ini menyebabkan masalah kontrol akses.

Masalah skenario 2 (membuka kunci)

Pertimbangkan skenario berikut ini:

  • Administrator ingin memaksakan otentikasi log masuk Smart Card (SC) ketika pengguna mengakses sumber sensitif tertentu. Untuk melakukannya, administrator menyebarkan AMA menurut Otentikasi mekanisme jaminan untuk AD DS di Windows Server 2008 R2 panduan langkah demi langkah untuk penerbitan kebijakan pengidentifikasi objek yang digunakan pada semua Kartu Bisnis pintar sertifikat.
  • "Interaktif logon: memerlukan Kartu Bisnis pintar" kebijakan tidak diaktifkan pada workstation. Oleh karena itu, pengguna dapat log masuk menggunakan kredensial lain, seperti Nama pengguna dan sandi.
  • Lokal dan kelompok keamanan universal Kartu Bisnis pintar memerlukan akses sumber daya jaringan.
Dalam skenario ini, Anda mengharapkan bahwa hanya pengguna yang masuk dengan menggunakan Kartu Bisnis pintar dapat mengakses lokal dan sumber daya jaringan. Namun, karena token akses untuk pengguna desktop dibuat selama log masuk, itu tidak berubah.

Contoh skenario

  • Contoh 1

    Jika token akses untuk desktop kelompok keamanan universal Kartu Bisnis pintar yang disediakan oleh AMA, salah satu dari hasil berikut terjadi:

    • Pengguna membuka menggunakan Kartu Bisnis pintar: pengguna masih dapat mengakses sumber daya sensitif keamanan lokal. Pengguna mencoba untuk mengakses sumber jaringan yang memerlukan kelompok keamanan universal Kartu Bisnis pintar. Upaya tersebut berhasil.
    • Pengguna membuka dengan menggunakan Nama pengguna dan sandi: pengguna masih dapat mengakses sumber daya sensitif keamanan lokal. Outcomeisn't ini diharapkan. Pengguna mencoba untuk mengakses sumber jaringan yang memerlukan kelompok keamanan universal Kartu Bisnis pintar. Upaya ini gagal.
  • Contoh 2

    Jika token akses untuk desktop tidak memiliki Kartu Bisnis pintar grup universal keamanan yang disediakan oleh AMA, salah satu dari hasil berikut terjadi:

    • Pengguna membuka dengan menggunakan Nama pengguna dan sandi: pengguna tidak dapat mengakses sumber daya sensitif keamanan lokal. Pengguna mencoba untuk mengakses sumber jaringan yang memerlukan kelompok keamanan universal Kartu Bisnis pintar. Upaya ini gagal.
    • Pengguna membuka menggunakan Kartu Bisnis pintar: pengguna tidak dapat mengakses sumber daya sensitif keamanan lokal. Outcomeisn't ini diharapkan. Pengguna mencoba untuk mengakses sumber jaringan. Upaya ini berhasil seperti yang diharapkan.
Informasi lebih lanjut
Karena Desain AMA dan subsistem keamanan yang dijelaskan di bagian "gejala", pengguna mengalami skenario berikut ini di mana AMA andal tidak dapat mengidentifikasi jenis interaktif log masuk.

log masuk logoff

Jika optimasi cepat log masuk aktif, subsistem keamanan lokal (lsass) menggunakan tembolok lokal untuk menghasilkan keanggotaan grup dalam log masuk token. Dengan melakukannya, komunikasi dengan pengontrol domain (DC) tidak diperlukan. Oleh karena itu, saat log masuk dikurangi. Ini adalah fitur yang sangat baik.

Namun, situasi ini menyebabkan masalah berikut ini: setelah log masuk SC dan SC Logoff, grup AMA tembolok lokal tersebut, dengan tidak benar, masih ada di token pengguna setelah nama sandi log masuk pengguna interaktif.

Catatan

  • Situasi ini hanya berlaku untuk log masuk interaktif.
  • Grup AMA cache dengan cara yang sama dan menggunakan logika yang sama sebagai kelompok lainnya.

Dalam situasi ini, jika pengguna kemudian mencoba untuk mengakses sumber daya jaringan, Pengusaha Kawasan keanggotaan grup cache sideisn'tused sumber daya, dan sesi log masuk pengguna di sebelah sumber daya tidak berisi grup AMA.

Masalah ini dapat diperbaiki dengan mematikan cepat log masuk optimasi ("konfigurasi komputer > pola dasar administratif > sistem > log masuk > selalu menunggu jaringan di komputer startup dan masuk").

Penting Perilaku ini relevan hanya dalam skenario interaktif log masuk. Akses ke sumber daya jaringan akan bekerja seperti yang diharapkan karena ada tidak perlu untuk optimasi log masuk. Oleh karena itu, cache grup membershipisn't digunakan. DC dihubungi untuk membuat tiket baru menggunakan informasi keanggotaan grup AMA tersegar.

Membuka bukti kunci

Pertimbangkan skenario berikut ini:

  • Pengguna yang log masuk secara interaktif dengan menggunakan Kartu Bisnis pintar dan kemudian membuka sumber jaringan AMA yang dilindungi.

    Catatan AMA dilindungi jaringan sumber daya yang dapat diakses hanya pengguna yang memiliki grup AMA token akses mereka.
  • Pengguna mengunci komputer tanpa menutup pertama sumber terbuka sebelumnya dilindungi AMA jaringan.
  • Pengguna membuka komputer dengan menggunakan Nama pengguna dan kata sandi pengguna yang sama yang sebelumnya log masuk dengan menggunakan Kartu Bisnis pintar).
Dalam skenario ini, pengguna masih dapat mengakses sumber daya yang dilindungi AMA setelah komputer terkunci. Perilaku ini merupakan bagian dari rancangan. Komputer Whenthe dibuka, Windows tidak membuat ulang semua sesi terbuka yang memiliki sumber daya jaringan. Windows juga tidak lagi keanggotaan grup. Hal ini karena tindakan ini akan menyebabkan penalti kinerja yang dapat diterima.

Ada solusi out-of-box untuk skenario ini. Salah satu solusi akan membuat filter penyedia kredensial yang menyaring penyedia nama sandi pengguna setelah SC log masuk dan langkah-langkah bukti kunci terjadi. Untuk mempelajari selengkapnya tentang penyedia kredensial, lihat topik berikut:

Catatan Kami tidak dapat mengkonfirmasi apakah pendekatan ini sebelumnya telah berhasil diterapkan.

Informasi lebih lanjut tentang AMA

AMA dapat maupun mengidentifikasi memaksakan tipe log masuk interaktif (kartu pintar oruser nama/sandi). Perilaku ini merupakan bagian dari rancangan.

AMA ditujukan untuk skenario di mana sumber daya jaringan permintaan Kartu Bisnis pintar. Ini tidak dimaksudkan untuk menjadi usedfor akses lokal.

Setiap upaya untuk memperbaiki masalah ini dengan memperkenalkan fitur baru, seperti kemampuan untuk menggunakan keanggotaan grup dinamis atau menangani AMA grup sebagai grup dinamis, dapat menyebabkan masalah signifikan. Itulah sebabnya NT bukti tidak mendukung keanggotaan grup dinamis. Jika sistem diizinkan grup dipotong di nyata, pengguna mungkin dicegah dari berinteraksi dengan desktop dan aplikasi. Oleh karena itu, keanggotaan grup terkunci saat sesi yang dibuat dan disimpan selama sesi.

Cache log masuk juga bermasalah. Jika dioptimalkan log masuk diaktifkan, lsass pertama kali mencoba tembolok lokal sebelum memanggil jaringan perjalanan. Apabila Nama pengguna dan sandi yang identik apa lsass melihat untuk log masuk sebelumnya (ini benar untuk sebagian besar logon), lsass membuat token yang memiliki keanggotaan grup sama yang pengguna sebelumnya.

Jika dioptimalkan log masuk dimatikan, Penawaran jaringan akan diperlukan. Thiswould pastikan bahwa keanggotaan grup kerja di log masuk seperti yang diharapkan.

Di log masuk cache, lsass membuat satu entri per pengguna. Entri ini mencakup keanggotaan Grup pengguna sebelumnya. Ini adalah dilindungi oleh kedua terakhir passwordor Kartu Bisnis pintar kredensial yang lsass melihat. Kedua membuka bukti kunci token dan kredensial yang sama. Jika pengguna mencoba log masuk menggunakan kredensial kedaluwarsa bukti kunci, mereka akan kehilangan data DPAPI, konten yang dilindungi EFS dan sebagainya. Oleh karena itu, tembolok log masuk selalu menghasilkan keanggotaan grup lokal terbaru, tanpa memandang mekanisme yang digunakan untuk log masuk.
Otentikasi mekanisme jaminan AMA interaktif log masuk

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 3101129 - Tinjauan Terakhir: 11/21/2015 02:10:00 - Revisi: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtid
Tanggapan