요약
인증 메커니즘 보증 (AMA) 대화형 로그온 시나리오에서 사용 하는 방법을 설명 합니다.
소개
AMA는 인증서 기반 로그온 방법으로 로그온 할 때 사용자의 자격 증명이 인증 되 면 사용자의 액세스 토큰에는 관리자가 지정한 유니버설 그룹 구성원 자격을 추가 합니다. 그러면 네트워크 리소스 관리자는 파일과 폴더, 프린터 등의 리소스에 대 한 액세스를 제어할 수 있습니다. 이 액세스 기반으로 사용자 여부에 로그온 하는 데 사용 되는 인증서 종류와 인증서 기반 로그온 방법을 사용 하 여 로그온 합니다.
이 문서에서
이 문서에서는 두 가지 문제 시나리오: 로그온/로그 오프 하 고 잠금/잠금 해제 합니다. 이 경우 AMA 동작 "의도적" 이며 다음과 같이 요약할 수 있습니다.
-
AMA는 네트워크 리소스를 보호 하는 데 사용 됩니다.
-
AMA 식별 하거나 사용자의 로컬 컴퓨터에 대 한 대화형 로그온 종류 (스마트 카드 또는 사용자 이름/암호)을 적용할 수 없습니다. 즉, AMA를 사용 하 여 대화형 사용자가 로그온 한 후 액세스 되는 리소스를 안전 하 게 보호할 수 없습니다.
증상
문제가 시나리오 1 (로그온/로그 오프)
다음 시나리오를 고려하십시오.
-
관리자는 사용자가 특정 보안 관련 리소스에 액세스 (SC) 스마트 카드 로그온 인증을 적용 하려고 합니다. 이렇게 하려면 관리자는 AMA는 모든 스마트 카드 인증서에서 사용 되는 발급 정책 개체 식별자에 대 한 AD DS에서 Windows Server 2008 R2 단계별 가이드에 대 한 인증 메커니즘 보증 에 따라 배포 합니다.
참고: 이 문서에서는 라고이 새 매핑된 그룹 "스마트 카드 유니버설 보안 그룹입니다." -
해당 "대화형 로그온: 스마트 카드 필요" 정책을 워크스테이션에서 사용 되지 않습니다. 따라서 사용자가 사용자 이름 및 암호와 같은 다른 자격 증명을 사용 하 여 로그온 할 수 있습니다.
-
로컬 네트워크 리소스 액세스가 필요한 스마트 카드 유니버설 보안 그룹입니다.
이 경우에만 스마트 카드를 사용 하 여 로그온 한 사용자를 로컬 액세스 네트워크 리소스 예상. 그러나 워크스테이션 로그온 캐시 최적화 되어 있으므로 확인자 캐시 된 로그온 하는 동안 사용자의 데스크톱에 대 한 NT 액세스 토큰을 만들 사용 됩니다. 따라서 보안 그룹 및 클레임 이전 로그온에서 현재 대신에 사용 됩니다.
시나리오 예제
참고: 여기서에서 그룹 구성원은 대화형 로그온 세션에 대 한 사용 하 여 검색 "whoami/그룹." 이 명령은 데스크탑의 액세스 토큰의 그룹 및 클레임을 가져옵니다.
-
예제 1
이전 로그온에 스마트 카드를 사용 하 여 수행 하는 경우 바탕 화면에 대 한 액세스 토큰이 AMA에 의해 제공 되는 스마트 카드 유니버설 보안 그룹을 있습니다. 다음 결과 중 하나가 발생합니다.-
사용자가 스마트 카드를 사용 하 여 로그온: 사용자 로컬 보안에 중요 한 리소스에 계속 액세스할 수 있습니다. 사용자의 스마트 카드 유니버설 보안 그룹을 필요로 하는 네트워크 리소스에 액세스 하려고 시도 합니다. 이러한 시도가 성공 합니다.
-
사용자가 사용자 이름과 암호를 사용 하 여 로그온: 사용자 로컬 보안에 중요 한 리소스에 계속 액세스할 수 있습니다. 이 결과 예상 되지 않습니다. 사용자의 스마트 카드 유니버설 보안 그룹을 필요로 하는 네트워크 리소스에 액세스 하려고 시도 합니다. 이러한 시도 예상 대로 실패 합니다.
-
-
예제 2
이전 로그온 암호를 사용 하 여를 수행 하는 경우 바탕 화면에 대 한 액세스 토큰이 AMA에 의해 제공 되는 스마트 카드 유니버설 보안 그룹에 없는 경우 다음 결과 중 하나가 발생합니다.-
사용자가 사용자 이름과 암호를 사용 하 여 로그온: 사용자 로컬 보안에 중요 한 리소스에 액세스할 수 없습니다. 사용자의 스마트 카드 유니버설 보안 그룹을 필요로 하는 네트워크 리소스에 액세스 하려고 시도 합니다. 이 시도가 실패합니다.
-
사용자가 스마트 카드를 사용 하 여 로그온: 사용자 로컬 보안에 중요 한 리소스에 액세스할 수 없습니다. 사용자가 네트워크 리소스에 액세스 하려고 합니다. 이러한 시도가 성공 합니다. 이 결과 고객에 의해 예상 되지 않습니다. 따라서 액세스 제어 문제 발생 합니다.
-
문제가 시나리오 2 (잠금/잠금 해제)
다음 시나리오를 고려하십시오.
-
관리자는 사용자가 특정 보안 관련 리소스에 액세스 (SC) 스마트 카드 로그온 인증을 적용 하려고 합니다. 이렇게 하려면 관리자는 모든 스마트 카드 인증서에서 사용 되는 발급 정책 개체 식별자에 대 한 AD DS에서 Windows Server 2008 R2 단계별 가이드에 대 한 인증 메커니즘 보증 에 따라 AMA 배포 합니다.
-
해당 "대화형 로그온: 스마트 카드 필요" 정책을 워크스테이션에서 사용 되지 않습니다. 따라서 사용자가 사용자 이름 및 암호와 같은 다른 자격 증명을 사용 하 여 로그온 할 수 있습니다.
-
로컬 네트워크 리소스 액세스가 필요한 스마트 카드 유니버설 보안 그룹입니다.
이 시나리오에서는 스마트 카드를 사용 하 여 로그온 한 사용자만 액세스할 로컬 및 네트워크 리소스 수를 예상 합니다. 그러나 액세스 토큰이 사용자의 데스크톱 로그온 중 만들어지므로 변경 되지 않습니다.
시나리오 예제
-
예제 1
바탕 화면에 대 한 액세스 토큰이 AMA에서 제공 하는 스마트 카드 유니버설 보안 그룹에 있는 경우 다음 결과 중 하나가 발생 합니다.-
사용자의 스마트 카드를 사용 하 여 잠금을 해제: 사용자 로컬 보안에 중요 한 리소스에 계속 액세스할 수 있습니다. 사용자의 스마트 카드 유니버설 보안 그룹을 필요로 하는 네트워크 리소스에 액세스 하려고 시도 합니다. 이러한 시도가 성공 합니다.
-
사용자의 사용자 이름 및 암호를 사용 하 여 잠금을 해제: 사용자 로컬 보안에 중요 한 리소스에 계속 액세스할 수 있습니다. 이 결과 예상 되지 않습니다. 사용자의 스마트 카드 유니버설 보안 그룹을 필요로 하는 네트워크 리소스에 액세스 하려고 시도 합니다. 이 시도가 실패합니다.
-
-
예제 2
바탕 화면에 대 한 액세스 토큰에 AMA가 제공 하는 스마트 카드 유니버설 보안 그룹 다음 결과 중 하나가 발생 합니다.-
사용자의 사용자 이름 및 암호를 사용 하 여 잠금을 해제: 사용자 로컬 보안에 중요 한 리소스에 액세스할 수 없습니다. 사용자는 스마트 카드 유니버설 보안 그룹에 필요한 네트워크 리소스에 액세스 하려고 합니다. 이 시도가 실패합니다.
-
사용자의 스마트 카드를 사용 하 여 잠금을 해제: 사용자 로컬 보안에 중요 한 리소스에 액세스할 수 없습니다. 이 결과 예상 되지 않습니다. 사용자가 네트워크 리소스에 액세스 하려고 합니다. 이러한 시도 예상 대로 성공 합니다.
-
자세한 내용
"현상" 절에서 설명 하는 AMA와 보안 하위 시스템 디자인을 사용자가 AMA 대화형 로그온 유형을 식별할 안정적으로 수 없는 다음과 같은 시나리오를 발생 합니다.
Logon/logoff
빠른 로그온 최적화 활성화 되 면 로컬 보안 하위 시스템 (lsass) 로그온 토큰의 그룹 구성원을 생성 하 여 로컬 캐시를 사용 합니다. 이렇게 하면 도메인 컨트롤러 (DC)와 통신 필요 없습니다. 따라서 로그온 시간이 단축 됩니다. 이것은 매우 유용한 기능입니다.
하지만 이러한 상황으로 인해 다음과 같은 문제가: SC 로그 오프 후 SC 로그온을 로컬로 캐시 된 AMA 그룹은 받지를 올바르게 사용자 이름/암호 대화형 로그온 후 사용자 토큰에 여전히 존재 합니다.
참고
-
이 경우는 대화형 로그온에만 적용 됩니다.
-
AMA 그룹에는 동일한 방식으로 하 고 다른 그룹으로 동일한 논리를 사용 하 여 캐시 됩니다.
이 상황에서는 사용자 네트워크 리소스를 액세스 하 려 하 고 캐시 된 그룹 구성원이 리소스에 사용 되지 않는 사용자의 로그온 세션이 리소스 쪽 AMA 그룹에는 포함 되지 않을 경우.
빠른 로그온 최적화를 해제 하 여이 문제를 해결할 수 있습니다 ("컴퓨터 구성 > 관리 템플릿 > 시스템 > 로그온 > 항상 컴퓨터 시작 및 로그온 시 네트워크 대기").
중요 이 동작은 대화식 로그온 시나리오에만 해당 합니다. 네트워크 리소스에 액세스할 수 로그온 최적화에 대 한 필요가 없습니다 있기 때문에 작동 합니다. 따라서 캐시 된 그룹 구성원이 사용 되지 않습니다. DC 최신 AMA 그룹 구성원 정보를 사용 하 여 새 티켓을 연결 합니다.
Lock/unlock
다음 시나리오를 고려하십시오.
-
사용자는 스마트 카드를 사용 하 여 대화형으로 로그온 한 다음 AMA 암호로 보호 된 네트워크 리소스를 엽니다.
참고: AMA 그룹은 액세스 토큰에 권한이 있는 사용자만 액세스 하는 AMA 보호 된 네트워크 리소스를 수 있습니다. -
사용자는 이전에 열었던된 AMA 암호로 보호 된 네트워크 리소스를 먼저 닫지 않고 컴퓨터를 잠급니다.
-
사용자 컴퓨터의 잠금을 해제 하면 사용자 이름 및 이전에 스마트 카드를 사용 하 여 로그온 되어 있는 사용자의 암호를 사용 하 여).
이 시나리오에서는 사용자 액세스할 수 AMA 보호 리소스 컴퓨터가 잠겨. 이 동작은 의도된 것입니다. 컴퓨터가 잠겨 있을 때 Windows는 네트워크 리소스의 모든 열린 세션을 다시 생성 하지 않습니다. Windows 또한 다시 확인 하지 않습니다 그룹 구성원입니다. 이러한 동작은 허용 되지 않는 성능 저하로 인해 때문입니다.
이 시나리오의 기본 솔루션이 있습니다. 해결 하는 한 자격 증명 공급자 SC 로그온 후 사용자 이름/암호 공급자를 필터링 하는 필터를 만드는 것과 잠금 단계가 발생 합니다. 자격 증명 공급자에 대 한 자세한 내용은 다음 리소스를 참조 합니다.
ICredentialProviderFilter 인터페이스
Windows Vista의 자격 증명 공급자 샘플참고: 우리가 여부를이 이렇게도 성공적으로 구현 되었는지 확인할 수 없습니다.
AMA에 대 한 자세한 내용
AMA 수 없으며 확인 (스마트 카드 또는 사용자 이름/암호) 대화형 로그온 형식을 적용 합니다. 이 동작은 의도된 것입니다.
AMA는 네트워크 리소스에 스마트 카드를 요구 하는 시나리오를 위한 것입니다. 로컬 액세스에 사용할 수는 없습니다.
또는 핸들 AMA 그룹 동적 그룹 동적 그룹 멤버 자격을 사용 하는 기능 등 새로운 기능을 도입 하 여이 문제를 해결 하려고 많은 문제를 일으킬 수 있습니다. 이 때문에 NT 토큰 동적 그룹 멤버 자격을 지원 하지 않습니다. Real에서 잘라내야 할 그룹에 허용 하는 시스템 사용자가 자신의 바탕 화면 및 응용 프로그램과 상호 작용할 수 없게 수 있습니다. 따라서 그룹 구성원 세션이 만들어질 때 잠겨 있으며 세션 동안 유지 됩니다.
캐시 된 로그온 문제가 발생할 수 있습니다. 로그온 최적화 설정 되어 있으면 lsass 우선 로컬 캐시를 시도 라운드트립 네트워크 호출 합니다. 사용자 이름 및 암호 (이러한 현상은 일어나는가) 이전 로그온 본 될 lsass를 동일한 경우 lsass는 사용자가 이전에 있는 동일한 그룹 구성원 자격을 가진 토큰을 만듭니다.
로그온 최적화를 해제할 네트워크 왕복 해야 합니다. 그룹 구성원이 로그온 할 때 예상 대로 작동 하는지 확인 합니다.
캐시 된 로그온 lsass는 사용자 당 하나의 항목을 유지합니다. 이 항목에는 사용자의 이전 그룹 구성원을 포함 됩니다. 이 마지막 암호나 lsass 본 스마트 카드 자격 증명에 의해 보호 됩니다. 둘 다 래핑을 동일한 자격 증명 및 토큰 키. 부실 자격 증명 키를 사용 하 여 로그온 하려고 사용자가을 DPAPI 데이터 EFS 보호와 등 손실 될 것입니다. 따라서 캐시 된 로그온 로그온 하는 데 사용 되는 메커니즘에 상관 없이 최신 로컬 그룹 구성원 자격을 생성 합니다.
