Si applica a
Windows Server 2012 R2 Standard Windows Server 2012 R2 Datacenter Windows 8.1 Pro Windows 8.1 Enterprise Windows Server 2012 Standard Windows Server 2012 Standard Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows 8 Pro Windows 8 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows 7 Enterprise Windows 7 Professional

Riepilogo

Questo articolo descrive come usare Authentication Mechanism Assurance (AMA) in scenari di accesso interattivo.

Introduzione

AMA aggiunge un'appartenenza a un gruppo universale designata dall'amministratore al token di accesso di un utente quando le credenziali dell'utente vengono autenticate durante l'accesso usando un metodo di accesso basato su certificato. In questo modo gli amministratori delle risorse di rete possono controllare l'accesso alle risorse, ad esempio file, cartelle e stampanti. Questo accesso si basa sul fatto che l'utente acceda usando un metodo di accesso basato su certificato e il tipo di certificato usato per l'accesso.

In questo articolo

Questo articolo è incentrato su due scenari di problema: accesso/disconnessione e blocco/sblocco. Il comportamento dell'AMA in questi scenari è "da progettazione" e può essere riassunto come segue:

  • AMA ha lo scopo di proteggere le risorse di rete.

  • AMA non può né identificare né applicare il tipo di accesso interattivo (smart card o nome utente/password) per il computer locale dell'utente. Questo perché le risorse a cui si accede dopo un accesso utente interattivo non possono essere protette in modo affidabile con AMA.

Sintomi

Scenario di problema 1 (accesso/disconnessione)

Considerare lo scenario descritto di seguito:

  • Un amministratore vuole applicare l'autenticazione di accesso con smart card (SC) quando gli utenti accedono a determinate risorse sensibili alla sicurezza. A tale scopo, l'amministratore distribuisce l'AMA in base all'identificatore dell'oggetto criteri di emissione usato in tutti i certificati della smart card in Windows Server 2008 R2. Nota In questo articolo il nuovo gruppo mappato viene definito "gruppo di sicurezza universale smart card".

  • Il criterio "Accesso interattivo: richiede smart card" non è abilitato nelle workstation. Di conseguenza, gli utenti possono accedere usando altre credenziali, ad esempio il nome utente e la password.

  • L'accesso alle risorse locali e di rete richiede il gruppo di sicurezza universale smart card.

In questo scenario, ci si aspetta che solo l'utente che esegue l'accesso tramite smart card possa accedere alle risorse locali e di rete. Tuttavia, poiché la workstation consente l'accesso ottimizzato/memorizzato nella cache, la verifica memorizzata nella cache viene usata durante l'accesso per creare il token di accesso NT per il desktop dell'utente. Di conseguenza, vengono usati i gruppi di sicurezza e le attestazioni dell'accesso precedente al posto di quello corrente.

Esempi di scenari

Nota In questo articolo l'appartenenza ai gruppi viene recuperata per le sessioni di accesso interattivo utilizzando "whoami/groups". Questo comando recupera i gruppi e le attestazioni dal token di accesso del desktop.

  • Esempio 1Se l'accesso precedente è stato eseguito con una smart card, il token di accesso per il desktop include il gruppo di sicurezza universale della smart card fornito da AMA. Si verifica uno dei seguenti risultati:

    • L'utente accede usando la smart card: l'utente può comunque accedere alle risorse sensibili alla sicurezza locali. L'utente prova ad accedere alle risorse di rete che richiedono il gruppo di sicurezza universale smart card. Questi tentativi hanno esito positivo.

    • L'utente accede usando il nome utente e la password: l'utente può comunque accedere alle risorse sensibili alla sicurezza locali. Questo risultato non è previsto. L'utente prova ad accedere alle risorse di rete che richiedono il gruppo di sicurezza universale smart card. Questi tentativi non riescono come previsto.

  • Esempio 2Se l'accesso precedente è stato eseguito con una password, il token di accesso per il desktop non ha la smart card del gruppo di sicurezza universale fornito da AMA. Si verifica uno dei seguenti risultati:

    • L'utente accede usando un nome utente e una password: l'utente non può accedere alle risorse sensibili alla sicurezza locali. L'utente prova ad accedere alle risorse di rete che richiedono il gruppo di sicurezza universale smart card. Questi tentativi hanno esito negativo.

    • L'utente accede usando la smart card: l'utente non può accedere alle risorse sensibili alla sicurezza locali. L'utente prova ad accedere alle risorse di rete. Questi tentativi hanno esito positivo. Questo risultato non è previsto dai clienti. Di conseguenza, provoca problemi di controllo degli accessi.

Scenario di problema 2 (blocco/sblocco)

Si consideri lo scenario seguente:

  • Un amministratore vuole applicare l'autenticazione di accesso con smart card (SC) quando gli utenti accedono a determinate risorse sensibili alla sicurezza. A tale scopo, l'amministratore distribuisce l'AMA in base all'identificatore dell'oggetto criteri di emissione usato in tutti i certificati della smart card in Windows Server 2008 R2 in base all'identificatore dell'oggetto criterio di emissione.

  • Il criterio "Accesso interattivo: richiede smart card" non è abilitato nelle workstation. Di conseguenza, gli utenti possono accedere usando altre credenziali, ad esempio il nome utente e la password.

  • L'accesso alle risorse locali e di rete richiede il gruppo di sicurezza universale smart card.

In questo scenario, si prevede che solo un utente che esegue l'accesso tramite smart card possa accedere alle risorse locali e di rete. Tuttavia, poiché il token di accesso per il desktop dell'utente viene creato durante l'accesso, non viene modificato.

Esempi di scenari

  • Esempio 1Se il token di accesso per il desktop ha la smart card del gruppo di sicurezza universale fornito da AMA, si verifica uno dei risultati seguenti:

    • L'utente si sblocca usando la smart card: l'utente può comunque accedere alle risorse sensibili alla sicurezza locali. L'utente prova ad accedere alle risorse di rete che richiedono il gruppo di sicurezza universale smart card. Questi tentativi hanno esito positivo.

    • L'utente si sblocca usando il nome utente e la password: l'utente può comunque accedere alle risorse sensibili alla sicurezza locali. Questo risultato non è previsto. L'utente prova ad accedere alle risorse di rete che richiedono il gruppo di sicurezza universale smart card. Questi tentativi hanno esito negativo.

  • Esempio 2Se il token di accesso per il desktop non ha la smart card del gruppo di sicurezza universale fornito da AMA, si verifica uno dei risultati seguenti:

    • L'utente si sblocca usando il nome utente e la password: l'utente non può accedere alle risorse sensibili alla sicurezza locali. L'utente prova ad accedere alle risorse di rete che richiedono il gruppo di sicurezza universale smart card. Questi tentativi hanno esito negativo.

    • L'utente si sblocca usando la smart card: l'utente non può accedere alle risorse sensibili alla sicurezza locali. Questo risultato non è previsto. L'utente prova ad accedere alle risorse di rete. Questi tentativi hanno esito positivo come previsto.

Ulteriori informazioni

A causa della progettazione ama e sottosistema di sicurezza descritta nella sezione "Sintomi", gli utenti sperimentano i seguenti scenari in cui AMA non è in grado di identificare in modo affidabile il tipo di accesso interattivo.

Accesso/disconnessione

Se è attiva l'ottimizzazione accesso rapido, il sottosistema di sicurezza locale (lsass) usa la cache locale per generare l'appartenenza ai gruppi nel token di accesso. In questo modo, la comunicazione con il controller di dominio non è necessaria. Di conseguenza, il tempo di accesso viene ridotto. Questa funzionalità è altamente auspicabile.Tuttavia, questa situazione causa il problema seguente: dopo accesso SC e disconnessione SC, il gruppo AMA memorizzato nella cache locale è, erroneamente, ancora presente nel token utente dopo l'accesso interattivo con nome utente/password.Note

  • Questa situazione si applica solo agli accessi interattivi.

  • Un gruppo AMA viene memorizzato nella cache nello stesso modo e utilizzando la stessa logica di altri gruppi.

In questo caso, se l'utente prova ad accedere alle risorse di rete, non viene usata l'appartenenza ai gruppi memorizzati nella cache sul lato delle risorse e la sessione di accesso dell'utente sul lato delle risorse non conterrà un gruppo AMA.Questo problema può essere risolto disattivando Ottimizzazione accesso rapido ("Configurazione computer > Modelli amministrativi > > Accesso > > Attendi sempre la rete all'avvio e all'accesso del computer"). Importante Questo comportamento è rilevante solo nello scenario di accesso interattivo. L'accesso alle risorse di rete funzionerà come previsto perché non è necessaria l'ottimizzazione dell'accesso. Di conseguenza, non viene usata l'appartenenza ai gruppi memorizzata nella cache. Il DC viene contattato per creare il nuovo ticket utilizzando le informazioni di appartenenza al gruppo AMA più recenti.

Bloccare/sbloccare

Si consideri lo scenario seguente:

  • Un utente accede in modo interattivo usando la smart card e quindi apre le risorse di rete protette da AMA.Nota Le risorse di rete protette con AMA sono accessibili solo agli utenti che hanno un gruppo AMA nel token di accesso.

  • L'utente blocca il computer senza prima chiudere la risorsa di rete protetta AMA aperta in precedenza.

  • L'utente sblocca il computer usando il nome utente e la password dello stesso utente che ha eseguito l'accesso in precedenza usando una smart card.

In questo scenario, l'utente può ancora accedere alle risorse protette da AMA dopo che il computer è sbloccato. Si tratta di un comportamento correlato alla progettazione del prodotto. Quando il computer è sbloccato, Windows non crea nuovamente tutte le sessioni aperte che disponevano di risorse di rete. Inoltre, Windows non ricontrolla l'appartenenza ai gruppi. Ciò è dovuto al fatto che tali azioni provocherebbero penali per le prestazioni inammissibili.In questo scenario non esiste una soluzione guidata. Una soluzione consiste nel creare un filtro del provider di credenziali che filtra il provider di nome utente/password dopo i passaggi di accesso e blocco sc. Per altre informazioni su Provider credenziali, vedere le risorse seguenti:

Interfaccia ICredentialProviderFilter Esempi di provider di credenziali di Windows VistaNota Non è possibile confermare se questo approccio è stato implementato correttamente.

Altre informazioni sull'AMA

AMA non può né identificare né applicare il tipo di accesso interattivo (smart card o nome utente/password). Si tratta di un comportamento correlato alla progettazione del prodotto.L'AMA è destinato a scenari in cui le risorse di rete richiedono una smart card. Non è destinato ad essere usato per l'accesso locale.Qualsiasi tentativo di risolvere il problema con l'introduzione di nuove caratteristiche, ad esempio la possibilità di usare l'appartenenza ai gruppi dinamici o di gestire i gruppi AMA come gruppo dinamico, potrebbe causare problemi significativi. Ecco perché i token NT non supportano le appartenenze ai gruppi dinamici. Se il sistema consentiva la pulizia dei gruppi in modo reale, gli utenti potrebbero non interagire con il proprio desktop e le proprie applicazioni. Di conseguenza, le appartenenze ai gruppi sono bloccate al momento della creazione della sessione e vengono mantenute per tutta la sessione.Anche gli accessi memorizzati nella cache sono problematici. Se l'accesso ottimizzato è abilitato, lsass prova innanzitutto una cache locale prima di richiamare un round trip di rete. Se il nome utente e la password sono identici a quello visto dall'lsass per l'accesso precedente (questo vale per la maggior parte degli accessi), lsass crea un token con le stesse appartenenze ai gruppi dell'utente in precedenza. Se l'accesso ottimizzato è disattivato, è necessario un roundtrip di rete. In questo modo, le appartenenze ai gruppi funzioneranno come previsto all'accesso.In un accesso memorizzato nella cache, lsass mantiene una voce per ogni utente. Questa voce include l'appartenenza al gruppo precedente dell'utente. Questo è protetto sia dall'ultima password che dalle credenziali della smart card che lsass ha visto. Entrambi scartano lo stesso token e la stessa chiave di credenziale. Se gli utenti provassero ad accedere usando una chiave di credenziali non aggiornata, perderebbero i dati DPAPI, il contenuto protetto con EFS e così via. Pertanto, gli accessi memorizzati nella cache producono sempre le appartenenze ai gruppi locali più recenti, indipendentemente dal meccanismo usato per l'accesso.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità