Beskrivelse av AMA-bruk i scenarier med interaktiv pålogging i Windows

VIKTIG: Denne artikkelen ble oversatt med maskinoversettelsesprogramvare fra Microsoft og muligens redigert av Microsoft Community via CTF-teknologi i stedet for av en oversetter. Microsoft tilbyr både menneskelig oversatte og maskinoversatte/Community-redigerte artikler, slik at du får tilgang til alle artiklene i vår Knowledge Base på ditt eget språk. En maskinoversatt eller Community-redigert artikkel er imidlertid ikke alltid perfekt. Den kan inneholde feil i vokabular, syntaks eller grammatikk, mye likt en fremmedspråklig som forsøker å snakke språket ditt. Microsoft har ikke ansvar for unøyaktige opplysninger, feil eller skade forårsaket av feilaktig oversettelse av innholdet eller kundenes bruk av informasjonen. Microsoft oppdaterer jevnlig maskinoversettelsesprogramvaren og -verktøyene for å forbedre redigering av maskinoversatte tekster.

Den engelske versjonen av denne artikkelen er den følgende: 3101129
Sammendrag
Denne artikkelen beskriver hvordan du bruker godkjenning mekanisme forsikring (AMA) i interaktiv pålogging scenarier.
Introduksjon
AMA legger til en angitt av administratoren, universelle gruppemedlemskap en brukerens tilgangsmerke når legitimasjonen for brukeren godkjennes under pålogging ved hjelp av en sertifikatbasert påloggingsmetoden. Dette gjør det mulig for nettverksadministratorer ressurs til å kontrollere tilgangen til ressurser, for eksempel filer, mapper og skrivere. Denne tilgangen er basert på om brukeren logger på ved hjelp av en sertifikatbasert Påloggingsmetode og hvilken type sertifikat som brukes til å logge på.
I denne artikkelen
Denne artikkelen fokuserer på to scenarier for problemet: / avlogging og Lås/Lås opp. Virkemåten for AMA i disse scenariene er "standard" og kan oppsummeres som følger:

  • AMA er ment å beskytte nettverksressurser.
  • AMA kan verken identifisere eller Gjennomfør interaktiv pålogging-type (smartkort eller brukernavn/passord) for brukerens lokale datamaskin. Dette er fordi ressurser som er tilgjengelig etter en interaktiv brukerpålogging effektivt ikke kan beskyttes ved hjelp av AMA.
Symptom

Feil Scenario 1 (på-/ avlogging)

Tenk deg følgende:
  • En administrator ønsker å gjennomføre smartkort (SC) påloggingsgodkjenning når brukere får tilgang til bestemte ressurser sikkerhetssensitiv. Hvis du vil gjøre dette, administratoren distribuerer AMA i henhold til den Godkjenning mekanisme forsikring for AD DS i trinnvise instruksjoner for Windows Server 2008 R2 for utstedelse policy objekt-IDen som brukes i alle sertifikater på smartkort.

    Obs! I denne artikkelen vil refererer vi til denne nye tilordnede gruppen som "smart card universal sikkerhetsgruppen."
  • Den "interaktiv pålogging: Krev smartkort" policyen ikke er aktivert på arbeidsstasjoner. Brukere kan derfor logge på ved hjelp av andre rettigheter, for eksempel brukernavn og passord.
  • Lokale og nettverkstilgang for ressursen krever smartkort universal sikkerhetsgruppen.
I dette scenariet kan du forvente at brukeren som logger ved hjelp av smartkort kan få tilgang til lokale og nettverksressurser. Men fordi arbeidsstasjonen tillater optimalisert/bufret pålogging, brukes bufrede verifier under pålogging til å opprette NT tokenet for brukerens skrivebord. Derfor brukes sikkerhetsgrupper og krav fra forrige pålogging i stedet for den gjeldende.

Scenario-eksempler

Obs! I denne artikkelen hentes gruppemedlemskap for interaktiv påloggingsøkter ved hjelp av "whoami/grupper." Denne kommandoen henter gruppene og krav fra tilgangstoken på skrivebordet.

  • Eksempel 1

    Hvis det ble utført forrige pålogging ved hjelp av et smartkort, har tokenet for skrivebordet smartkort universal sikkerhetsgruppen som tilbys av AMA. Oppstår ett av følgende resultater:

    • Brukeren logger på ved hjelp av smartkort: brukeren har fortsatt tilgang til lokal sikkerhet sensitiv ressurser. Brukeren prøver å få tilgang til nettverksressurser som krever smartkort universal sikkerhetsgruppen. Disse forsøkene lykkes.
    • Brukeren logger på ved hjelp av brukernavn og passord: brukeren har fortsatt tilgang til lokal sikkerhet sensitiv ressurser. Dette resultatet er ikke forventet. Brukeren prøver å få tilgang til nettverksressurser som krever smartkort universal sikkerhetsgruppen. Disse forsøkene mislykkes som forventet.
  • Eksempel 2

    Hvis det ble utført forrige pålogging ved hjelp av et passord, har ikke tilgangstokenet for skrivebordet smartkort universal sikkerhetsgruppen som tilbys av AMA. Oppstår ett av følgende resultater:

    • Brukeren logger på ved hjelp av et brukernavn og passord: brukeren får ikke tilgang til sensitive ressurser for lokal sikkerhetspolicy. Brukeren prøver å få tilgang til nettverksressurser som krever smartkort universal sikkerhetsgruppen. Disse forsøkene mislykkes.
    • Brukeren logger på ved hjelp av smartkort: brukeren får ikke tilgang til sensitive ressurser for lokal sikkerhetspolicy. Brukeren prøver å få tilgang til nettverksressurser. Disse forsøkene lykkes. Denne outcomeisn't er forventet etter kunder. Derfor, det gjør at access control problemer.

Feil Scenario 2 (Lås/Lås opp)

Tenk deg følgende:

  • En administrator ønsker å gjennomføre smartkort (SC) påloggingsgodkjenning når brukere får tilgang til bestemte ressurser sikkerhetssensitiv. Hvis du vil gjøre dette, distribuerer administratoren AMA i henhold til Godkjenning mekanisme forsikring for AD DS i trinnvise instruksjoner for Windows Server 2008 R2 for utstedelse policy objekt-IDen som brukes i alle sertifikater på smartkort.
  • Den "interaktiv pålogging: Krev smartkort" policyen ikke er aktivert på arbeidsstasjoner. Brukere kan derfor logge på ved hjelp av andre rettigheter, for eksempel brukernavn og passord.
  • Lokale og nettverkstilgang for ressursen krever smartkort universal sikkerhetsgruppen.
I dette scenariet kan du forvente at bare en bruker som logger ved hjelp av smartkort kan få tilgang til lokale og nettverksressurser. Men fordi tilgangstoken for brukerens skrivebord er opprettet under påloggingen, er det ikke endret.

Scenario-eksempler

  • Eksempel 1

    Hvis tokenet for skrivebordet har smartkort universal sikkerhetsgruppen fra AMA, oppstår ett av følgende resultater:

    • Brukeren låser opp ved hjelp av smartkort: brukeren har fortsatt tilgang til lokal sikkerhet sensitiv ressurser. Brukeren prøver å få tilgang til nettverksressurser som krever smartkort universal sikkerhetsgruppen. Disse forsøkene lykkes.
    • Brukeren låser opp ved hjelp av brukernavn og passord: brukeren har fortsatt tilgang til lokal sikkerhet sensitiv ressurser. Denne outcomeisn't som forventet. Brukeren prøver å få tilgang til nettverksressurser som krever smartkort universal sikkerhetsgruppen. Disse forsøkene mislykkes.
  • Eksempel 2

    Hvis tokenet for skrivebordet ikke har den smartkort universell sikkerhetsgruppen fra AMA, oppstår ett av følgende resultater:

    • Brukeren låser opp ved hjelp av brukernavn og passord: brukeren får ikke tilgang til sensitive ressurser for lokal sikkerhetspolicy. Brukeren prøver å få tilgang til nettverksressurser som krever smartkort universal sikkerhetsgruppen. Disse forsøkene mislykkes.
    • Brukeren låser opp ved hjelp av smartkort: brukeren får ikke tilgang til sensitive ressurser for lokal sikkerhetspolicy. Denne outcomeisn't som forventet. Brukeren prøver å få tilgang til nettverksressurser. Disse forsøkene lykkes som forventet.
Mer informasjon
På grunn av AMA og sikkerhetsdelsystemet design som er beskrevet i delen "Symptomer", vil brukere oppleve følgende scenarier som AMA effektivt ikke kan identifisere hvilken type interaktiv pålogging.

Pålogging/avlogging

Hvis optimalisering av rask pålogging er aktivert, bruker lokale sikkerhetsdelsystemet (lsass) lokal hurtigbuffer til å generere gruppemedlemskap i logon-token. Ved å gjøre dette, kommunikasjon med domenekontrolleren (DC) ikke er nødvendig. Derfor reduseres påloggingstidspunkt. Dette er svært ønskelig funksjon.

Imidlertid denne situasjonen forårsaker følgende problem: etter at SC-pålogging og avlogging for SC, lokalt hurtigbufret AMA gruppen er, på feil måte, fortsatt er til stede i brukertoken etter bruker og passord interaktiv pålogging.

Notater

  • Dette gjelder bare for interaktive pålogginger.
  • En gruppe for AMA hurtigbufres på samme måte, og ved å bruke den samme logikken som andre grupper.

I dette tilfellet hvis brukeren deretter prøver å få tilgang til nettverksressurser, bufrede gruppemedlemskap på ressurs-sideisn'tused, og brukerens påloggingsøkt på ressurser-siden inneholder ikke en gruppe for AMA.

Dette problemet kan løst ved å deaktivere optimalisering av rask pålogging ("Computer Configuration > Administrative maler > System > pålogging > Vent alltid på nettverket ved datamaskinoppstart og pålogging").

Viktig Dette problemet gjelder bare i scenariet for interaktiv pålogging. Tilgang til nettverksressurser, vil fungere som forventet fordi det er ikke behov for optimalisering av pålogging. Derfor hurtigbufret membershipisn't for gruppe brukes. DC kontaktes for å opprette nye billetten ved hjelp av den nyeste AMA medlemskap gruppeinformasjonen.

Lås/Lås opp

Tenk deg følgende:

  • En bruker logger på interaktivt ved hjelp av smart-kortet, og deretter åpnes AMA-beskyttede nettverksressurser.

    Obs! AMA beskyttet nettverk ressurser kan være tilgjengelig bare brukere som har en gruppe for AMA i sine tilgangstoken.
  • Brukeren låser datamaskinen uten å først lukke tidligere åpnede AMA-beskyttede nettverksressursen.
  • Brukeren låser opp datamaskinen ved hjelp av brukernavnet og passordet for den samme brukeren som tidligere logget deg på ved hjelp av et smartkort).
I dette tilfellet har brukeren fremdeles tilgang til AMA-beskyttede ressurser når datamaskinen er låst. Denne virkemåten er standard. Whenthe datamaskinen er låst, kan opprette ikke alle åpne økter som hadde nettverksressurser på nytt. Windows også kontroller ikke gruppemedlemskap. Dette er fordi disse handlingene kan føre til at uakseptabel ytelsesstraffer.

Det finnes ingen out-of-box-løsning for dette scenariet. Én løsning er å opprette et legitimasjonsleverandør-filter som filtrerer ut leverandøren bruker/passord etter SC-pålogging og Lås det inntreffer prosesstrinn. Hvis du vil vite mer om legitimasjonsleverandør, kan du se følgende ressurser:

Obs! Vi kan ikke bekrefte om denne tilnærmingen er noen gang ble implementert.

Hvis du vil ha mer informasjon om AMA

AMA kan verken identifisere eller fremtvinge typen interaktiv pålogging (smartkort oruser navn og passord). Denne virkemåten er standard.

AMA er ment for scenarioer der nettverksressurser krever et smartkort. Det er ikke ment å være usedfor lokal tilgang.

Alle forsøk på å løse dette problemet ved å introdusere nye funksjoner, for eksempel muligheten til å bruke dynamiske gruppemedlemskap eller håndtaket AMA grupper som en dynamisk gruppe, kan forårsake alvorlige problemer. Dette er grunnen til at NT tokener ikke støtter dynamisk gruppemedlemskap. Hvis systemet tillatt grupper skal trimmes reelle, forhindres brukere fra samhandle med sine egne skrivebord og programmer. Derfor, medlemskap i gruppen er låst når økten opprettes og vedlikeholdes i hele økten.

Hurtigbufrede pålogginger er også problematisk. Hvis optimalisert pålogging er aktivert, prøver lsass først en lokal hurtigbuffer før du aktiverer et nettverk rundtur. Hvis brukernavnet og passordet er identiske med lsass så for den forrige påloggingen (Dette gjelder for de fleste pålogging), oppretter lsass et token som har samme gruppemedlemskap som brukeren tidligere har hatt.

Hvis optimalisert pålogging er slått av, kan kreves en rundtur på nettverket. Thiswould må du kontrollere at gruppemedlemsskapet fungerer ved pålogging som forventet.

I en bufret pålogging holder lsass én post per bruker. Denne posten inneholder brukerens forrige gruppemedlemskap. Dette er beskyttet av både den siste passwordor smartkort-legitimasjonen som lsass så. Begge Pakk den samme nøkkelen token og legitimasjon. Hvis brukere prøver å logge på ved hjelp av en foreldet legitimasjonen nøkkel, vil de miste DPAPI data, EFS-beskyttet innhold og så videre. Derfor gi bufret pålogging alltid de siste lokale gruppemedlemskap, uansett mekanisme som brukes til å logge.
Godkjenning mekanisme forsikring AMA interaktiv pålogging

Advarsel: Denne artikkelen er autooversatt

Egenskaper

Artikkel-ID: 3101129 – Forrige gjennomgang: 11/21/2015 16:48:00 – Revisjon: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtno
Tilbakemelding