요약
이 문서에서는 대화형 로그온 시나리오에서 AMA(인증 메커니즘 보증)를 사용하는 방법을 설명합니다.
소개
AMA는 인증서 기반 로그온 방법을 사용하여 로그온하는 동안 사용자의 자격 증명이 인증될 때 관리자가 지정한 범용 그룹 멤버 자격을 사용자의 액세스 토큰에 추가합니다. 이렇게 하면 네트워크 리소스 관리자가 파일, 폴더 및 프린터와 같은 리소스에 대한 액세스를 제어할 수 있습니다. 이 액세스는 사용자가 인증서 기반 로그온 방법을 사용하여 로그온하는지 여부와 로그온하는 데 사용되는 인증서 유형을 기반으로 합니다.
이 문서에서는
이 문서에서는 로그온/로그오프 및 잠금/잠금 해제라는 두 가지 문제 시나리오에 중점을 둡니다. 이러한 시나리오에서 AMA의 동작은 "의도적으로"이며 다음과 같이 요약할 수 있습니다.
-
AMA는 네트워크 리소스를 보호하기 위한 것입니다.
-
AMA는 사용자의 로컬 컴퓨터에 대한 대화형 로그온 유형(스마트 카드 또는 사용자 이름/암호)을 식별하거나 적용할 수 없습니다. 대화형 사용자 로그온 후에 액세스하는 리소스는 AMA를 사용하여 안정적으로 보호할 수 없기 때문입니다.
증상
문제 시나리오 1(로그온/로그오프)
다음과 같은 경우를 생각해 볼 수 있습니다.
-
관리자는 사용자가 특정 보안에 민감한 리소스에 액세스할 때 SC(스마트 카드) 로그온 인증을 적용하려고 합니다. 이를 위해 관리자는 모든 스마트 카드 인증서에 사용되는 발급 정책 개체 식별자에 대한 Windows Server 2008 R2 단계별 가이드의 AD DS에 대한 인증 메커니즘 보증에 따라 AMA를 배포합니다. 참고 이 문서에서는 이 새 매핑된 그룹을 "스마트 카드 범용 보안 그룹"이라고 합니다.
-
워크스테이션에서는 "대화형 로그온: 스마트 카드 필요" 정책을 사용할 수 없습니다. 따라서 사용자는 사용자 이름 및 암호와 같은 다른 자격 증명을 사용하여 로그온할 수 있습니다.
-
로컬 및 네트워크 리소스 액세스에는 스마트 카드 범용 보안 그룹이 필요합니다.
이 시나리오에서는 스마트 카드를 사용하여 로그온하는 사용자만 로컬 및 네트워크 리소스에 액세스할 수 있습니다. 그러나 워크스테이션에서 최적화/캐시된 로그온을 허용하므로, 캐시된 검증 도구는 로그온하는 동안 사용자의 데스크톱에 대한 NT 액세스 토큰을 만드는 데 사용됩니다. 따라서 이전 로그온의 보안 그룹 및 클레임은 현재 로그온 대신 사용됩니다.
시나리오 예제
참고 이 문서에서는 "whoami/groups"를 사용하여 대화형 로그온 세션에 대한 그룹 멤버 자격을 검색합니다. 이 명령은 데스크톱의 액세스 토큰에서 그룹 및 클레임을 검색합니다.
-
예제 1스마트 카드 사용하여 이전 로그온을 수행한 경우 데스크톱의 액세스 토큰에는 AMA에서 제공하는 스마트 카드 범용 보안 그룹이 있습니다. 다음 결과 중 하나가 발생합니다.
-
사용자는 스마트 카드 사용하여 로그온합니다. 사용자는 로컬 보안에 중요한 리소스에 계속 액세스할 수 있습니다. 사용자는 스마트 카드 범용 보안 그룹이 필요한 네트워크 리소스에 액세스하려고 합니다. 이러한 시도는 성공합니다.
-
사용자는 사용자 이름 및 암호를 사용하여 로그온합니다. 사용자는 로컬 보안에 중요한 리소스에 계속 액세스할 수 있습니다. 이 결과는 예상되지 않습니다. 사용자는 스마트 카드 범용 보안 그룹이 필요한 네트워크 리소스에 액세스하려고 합니다. 이러한 시도는 예상대로 실패합니다.
-
-
예제 2암호를 사용하여 이전 로그온을 수행한 경우 데스크톱의 액세스 토큰에는 AMA에서 제공하는 스마트 카드 범용 보안 그룹이 없습니다. 다음 결과 중 하나가 발생합니다.
-
사용자는 사용자 이름 및 암호를 사용하여 로그온합니다. 사용자는 로컬 보안에 중요한 리소스에 액세스할 수 없습니다. 사용자는 스마트 카드 범용 보안 그룹이 필요한 네트워크 리소스에 액세스하려고 합니다. 이러한 시도는 실패합니다.
-
사용자는 스마트 카드 사용하여 로그온합니다. 사용자는 로컬 보안에 중요한 리소스에 액세스할 수 없습니다. 사용자가 네트워크 리소스에 액세스하려고 합니다. 이러한 시도는 성공합니다. 이 결과는 고객이 예상하지 않습니다. 따라서 액세스 제어 문제가 발생합니다.
-
문제 시나리오 2(잠금/잠금 해제)
다음 시나리오를 고려합니다.
-
관리자는 사용자가 특정 보안에 민감한 리소스에 액세스할 때 SC(스마트 카드) 로그온 인증을 적용하려고 합니다. 이를 위해 관리자는 모든 스마트 카드 인증서에 사용되는 발급 정책 개체 식별자에 대한 Windows Server 2008 R2 단계별 가이드에서 AD DS에 대한 인증 메커니즘 보증에 따라 AMA를 배포합니다.
-
워크스테이션에서는 "대화형 로그온: 스마트 카드 필요" 정책을 사용할 수 없습니다. 따라서 사용자는 사용자 이름 및 암호와 같은 다른 자격 증명을 사용하여 로그온할 수 있습니다.
-
로컬 및 네트워크 리소스 액세스에는 스마트 카드 범용 보안 그룹이 필요합니다.
이 시나리오에서는 스마트 카드를 사용하여 로그온하는 사용자만 로컬 및 네트워크 리소스에 액세스할 수 있습니다. 그러나 사용자의 데스크톱에 대한 액세스 토큰은 로그온하는 동안 생성되므로 변경되지 않습니다.
시나리오 예제
-
예제 1데스크톱에 대한 액세스 토큰에 AMA에서 제공하는 스마트 카드 범용 보안 그룹이 있는 경우 다음 결과 중 하나가 발생합니다.
-
사용자는 스마트 카드 사용하여 잠금을 해제합니다. 사용자는 로컬 보안에 중요한 리소스에 계속 액세스할 수 있습니다. 사용자는 스마트 카드 범용 보안 그룹이 필요한 네트워크 리소스에 액세스하려고 합니다. 이러한 시도는 성공합니다.
-
사용자는 사용자 이름 및 암호를 사용하여 잠금을 해제합니다. 사용자는 로컬 보안에 중요한 리소스에 계속 액세스할 수 있습니다. 이 결과는 예상되지 않습니다. 사용자는 스마트 카드 범용 보안 그룹이 필요한 네트워크 리소스에 액세스하려고 합니다. 이러한 시도는 실패합니다.
-
-
예제 2데스크톱에 대한 액세스 토큰에 AMA에서 제공하는 스마트 카드 범용 보안 그룹이 없는 경우 다음 결과 중 하나가 발생합니다.
-
사용자가 사용자 이름 및 암호를 사용하여 잠금을 해제합니다. 사용자는 로컬 보안에 중요한 리소스에 액세스할 수 없습니다. 사용자는 스마트 카드 범용 보안 그룹이 필요한 네트워크 리소스에 액세스하려고 합니다. 이러한 시도는 실패합니다.
-
사용자는 스마트 카드 사용하여 잠금을 해제합니다. 사용자는 로컬 보안에 중요한 리소스에 액세스할 수 없습니다. 이 결과는 예상되지 않습니다. 사용자가 네트워크 리소스에 액세스하려고 합니다. 이러한 시도는 예상대로 성공합니다.
-
추가 정보
"증상" 섹션에 설명된 AMA 및 보안 하위 시스템 디자인으로 인해 사용자는 AMA가 대화형 로그온 유형을 안정적으로 식별할 수 없는 다음과 같은 시나리오를 경험합니다.
로그온/로그오프
빠른 로그온 최적화가 활성화된 경우 로컬 보안 하위 시스템(lsass)은 로컬 캐시를 사용하여 로그온 토큰에서 그룹 멤버 자격을 생성합니다. 이렇게 하면 DC(도메인 컨트롤러)와의 통신이 필요하지 않습니다. 따라서 로그온 시간이 줄어듭니다. 이는 매우 바람직한 기능입니다.그러나 이 경우 다음과 같은 문제가 발생합니다. SC 로그온 및 SC 로그오프 후 로컬로 캐시된 AMA 그룹은 사용자 이름/암호 대화형 로그온 후 사용자 토큰에 잘못 표시됩니다.노트
-
이 상황은 대화형 로그온에만 적용됩니다.
-
AMA 그룹은 다른 그룹과 동일한 논리를 사용하여 동일한 방식으로 캐시됩니다.
이 경우 사용자가 네트워크 리소스에 액세스하려고 하면 리소스 쪽에서 캐시된 그룹 멤버 자격이 사용되지 않으며 리소스 쪽에 있는 사용자의 로그온 세션에는 AMA 그룹이 포함되지 않습니다.이 문제는 빠른 로그온 최적화("컴퓨터 구성 > 관리 템플릿 > 시스템 > 로그온 > 항상 컴퓨터 시작 및 로그온 시 네트워크 대기")를 해제하여 해결할 수 있습니다. 중요 이 동작은 대화형 로그온 시나리오에서만 관련됩니다. 로그온 최적화가 필요하지 않으므로 네트워크 리소스에 대한 액세스가 예상대로 작동합니다. 따라서 캐시된 그룹 멤버 자격은 사용되지 않습니다. DC에 연락하여 최신 AMA 그룹 멤버 자격 정보를 사용하여 새 티켓을 만듭니다.
잠금/잠금 해제
다음 시나리오를 고려합니다.
-
사용자는 스마트 카드 사용하여 대화형으로 로그온한 다음 AMA로 보호되는 네트워크 리소스를 엽니다.참고 AMA 보호 네트워크 리소스는 액세스 토큰에 AMA 그룹이 있는 사용자만 액세스할 수 있습니다.
-
사용자는 이전에 연 AMA로 보호된 네트워크 리소스를 먼저 닫지 않고 컴퓨터를 잠급 수 있습니다.
-
사용자는 이전에 스마트 카드)를 사용하여 로그온한 동일한 사용자의 사용자 이름과 암호를 사용하여 컴퓨터의 잠금을 해제합니다.
이 시나리오에서는 컴퓨터가 잠금 해제된 후에도 사용자가 AMA로 보호되는 리소스에 계속 액세스할 수 있습니다. 이것은 의도적으로 설계된 동작입니다. 컴퓨터가 잠금 해제되면 Windows는 네트워크 리소스가 있는 열려 있는 세션을 모두 다시 만들지 않습니다. 또한 Windows는 그룹 멤버 자격을 다시 검사하지 않습니다. 이러한 작업으로 인해 용납할 수 없는 성능 저하가 발생하기 때문입니다.이 시나리오에 대한 기본 솔루션은 없습니다. 한 가지 해결 방법은 SC 로그온 및 잠금 단계가 발생한 후 사용자 이름/암호 공급자를 필터링하는 자격 증명 공급자 필터를 만드는 것입니다. 자격 증명 공급자에 대한 자세한 내용은 다음 리소스를 참조하세요.
ICredentialProviderFilter 인터페이스 Windows Vista 자격 증명 공급자 샘플참고 이 방법이 성공적으로 구현되었는지는 확인할 수 없습니다.
AMA에 대한 자세한 정보
AMA는 대화형 로그온 유형(스마트 카드 또는 사용자 이름/암호)을 식별하거나 적용할 수 없습니다. 이것은 의도적으로 설계된 동작입니다.AMA는 네트워크 리소스가 스마트 카드 요구하는 시나리오를 위한 것입니다. 로컬 액세스에 사용할 수 없습니다.동적 그룹 멤버 자격을 사용하거나 AMA 그룹을 동적 그룹으로 처리하는 기능과 같은 새로운 기능을 도입하여 이 문제를 해결하려고 하면 심각한 문제가 발생할 수 있습니다. NT 토큰이 동적 그룹 멤버 자격을 지원하지 않는 이유입니다. 시스템에서 그룹을 실제로 트리밍하도록 허용한 경우 사용자는 자신의 데스크톱 및 애플리케이션과 상호 작용하지 못할 수 있습니다. 따라서 그룹 멤버 자격은 세션이 만들어지고 세션 전체에서 유지 관리될 때 잠깁니다.캐시된 로그온도 문제가 됩니다. 최적화된 로그온을 사용하는 경우 lsass는 먼저 네트워크 왕복을 호출하기 전에 로컬 캐시를 시도합니다. 사용자 이름 및 암호가 이전 로그온에 대해 lsass가 본 것과 동일한 경우(대부분의 로그온에 대해 true임) lsass는 사용자가 이전에 가지고 있던 것과 동일한 그룹 멤버 자격을 가진 토큰을 만듭니다. 최적화된 로그온이 꺼져 있으면 네트워크 왕복이 필요합니다. 이렇게 하면 그룹 멤버 자격이 예상대로 로그온될 때 작동합니다.캐시된 로그온에서 lsass는 사용자당 하나의 항목을 유지합니다. 이 항목에는 사용자의 이전 그룹 멤버 자격이 포함됩니다. 이는 lsass가 본 마지막 암호 또는 스마트 카드 자격 증명으로 보호됩니다. 둘 다 동일한 토큰 및 자격 증명 키를 래프 해제합니다. 사용자가 부실 자격 증명 키를 사용하여 로그온하려고 하면 DPAPI 데이터, EFS로 보호되는 콘텐츠 등이 손실됩니다. 따라서 캐시된 로그온은 로그온하는 데 사용되는 메커니즘에 관계없이 항상 가장 최근의 로컬 그룹 멤버 자격을 생성합니다.