Gjelder for
Windows Server 2012 R2 Standard Windows Server 2012 R2 Datacenter Windows 8.1 Pro Windows 8.1 Enterprise Windows Server 2012 Standard Windows Server 2012 Standard Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows 8 Pro Windows 8 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows 7 Enterprise Windows 7 Professional

Sammendrag

Denne artikkelen beskriver hvordan du bruker Authentication Mechanism Assurance (AMA) i interaktive påloggingsscenarioer.

Innledning

AMA legger til et administratorutnevnt, universelt gruppemedlemskap i en brukers tilgangstoken når brukerens legitimasjon godkjennes under pålogging ved hjelp av en sertifikatbasert påloggingsmetode. Dette gjør det mulig for nettverksressursadministratorer å kontrollere tilgangen til ressurser, for eksempel filer, mapper og skrivere. Denne tilgangen er basert på om brukeren logger på ved hjelp av en sertifikatbasert påloggingsmetode og hvilken type sertifikat som brukes til å logge på.

I denne artikkelen

Denne artikkelen fokuserer på to problemscenarioer: pålogging/pålogging og lås/lås opp. Virkemåten til AMA i disse scenariene er «etter utforming» og kan oppsummeres på følgende måte:

  • AMA er ment å beskytte nettverksressurser.

  • AMA kan verken identifisere eller fremtvinge interaktiv påloggingstype (smartkort eller brukernavn/passord) for brukerens lokale datamaskin. Dette er fordi ressurser som er tilgjengelige etter en interaktiv brukerpålogging, ikke kan beskyttes på en pålitelig måte ved hjelp av AMA.

Symptomer

Problemscenario 1 (pålogging/pålogging)

Vurder følgende scenario:

  • En administrator ønsker å fremtvinge påloggingsgodkjenning for smartkort (SC) når brukere får tilgang til visse sikkerhetssensitive ressurser. For å gjøre dette distribuerer administratoren AMA i henhold til Godkjenningsmekanismesikring for AD DS i Windows Server trinnvise veiledningen for 2008 R2 for utstedelsespolicyobjektidentifikatoren som brukes i alle smartkortsertifikatene. Obs! I denne artikkelen omtaler vi denne nye tilordnede gruppen som «den universelle sikkerhetsgruppen for smartkort».

  • Policyen «Interaktiv pålogging: Krev smartkort» er ikke aktivert på arbeidsstasjoner. Brukere kan derfor logge på ved hjelp av annen legitimasjon, for eksempel brukernavn og passord.

  • Lokal og nettverksressurstilgang krever den universelle sikkerhetsgruppen for smartkort.

I dette scenarioet forventer du at bare brukere som logger på ved hjelp av smartkort, har tilgang til lokale ressurser og nettverksressurser. Men fordi arbeidsstasjonen tillater optimalisert/bufret pålogging, brukes den bufrede verifisatoren under pålogging til å opprette NT-tilgangstokenet for brukerens skrivebord. Sikkerhetsgruppene og krav fra den forrige påloggingen brukes derfor i stedet for den gjeldende.

Scenarioeksempler

Obs! I denne artikkelen hentes gruppemedlemskap for interaktive påloggingsøkter ved hjelp av «whoami/groups». Denne kommandoen henter grupper og krav fra skrivebordets tilgangstoken.

  • Eksempel 1Hvis den forrige påloggingen ble utført ved hjelp av et smartkort, har tilgangstokenet for skrivebordet den universelle sikkerhetsgruppen for smartkort som leveres av AMA. Ett av følgende resultater oppstår:

    • Brukeren logger på ved hjelp av smartkortet: Brukeren kan fortsatt få tilgang til lokale sikkerhetssensitive ressurser. Brukeren prøver å få tilgang til nettverksressurser som krever den universelle sikkerhetsgruppen for smartkort. Disse forsøkene er fullført.

    • Brukeren logger på ved hjelp av brukernavn og passord: Brukeren har fortsatt tilgang til lokale ressurser som er sensitive for sikkerhet. Dette resultatet forventes ikke. Brukeren prøver å få tilgang til nettverksressurser som krever den universelle sikkerhetsgruppen for smartkort. Disse forsøkene mislykkes som forventet.

  • Eksempel 2Hvis den forrige påloggingen ble utført ved hjelp av et passord, har ikke tilgangstokenet for skrivebordet den universelle sikkerhetsgruppen for smartkort som leveres av AMA. Ett av følgende resultater oppstår:

    • Brukeren logger på ved hjelp av brukernavn og passord: Brukeren får ikke tilgang til lokale sikkerhetssensitive ressurser. Brukeren prøver å få tilgang til nettverksressurser som krever den universelle sikkerhetsgruppen for smartkort. Disse forsøkene mislykkes.

    • Brukeren logger på ved hjelp av smartkortet: Brukeren får ikke tilgang til lokale sikkerhetssensitive ressurser. Brukeren prøver å få tilgang til nettverksressurser. Disse forsøkene er fullført. Dette resultatet forventes ikke av kunder. Det forårsaker derfor problemer med tilgangskontrollen.

Problemscenario 2 (lås/lås opp)

Vurder følgende scenario:

  • En administrator ønsker å fremtvinge påloggingsgodkjenning for smartkort (SC) når brukere får tilgang til visse sikkerhetssensitive ressurser. For å gjøre dette distribuerer administratoren AMA i henhold til Godkjenningsmekanismesikring for AD DS i Windows Server trinnvise veiledningen for 2008 R2 for utstedelse av policyobjektidentifikatoren som brukes i alle smartkortsertifikatene.

  • Policyen «Interaktiv pålogging: Krev smartkort» er ikke aktivert på arbeidsstasjoner. Brukere kan derfor logge på ved hjelp av annen legitimasjon, for eksempel brukernavn og passord.

  • Lokal og nettverksressurstilgang krever den universelle sikkerhetsgruppen for smartkort.

I dette scenarioet forventer du at bare en bruker som logger på ved hjelp av smartkort, har tilgang til lokale ressurser og nettverksressurser. Fordi tilgangstokenet for brukerens skrivebord opprettes under påloggingen, endres det imidlertid ikke.

Scenarioeksempler

  • Eksempel 1Hvis tilgangstokenet for skrivebordet har den universelle sikkerhetsgruppen for smartkort levert av AMA, oppstår ett av følgende resultater:

    • Brukeren låser opp ved hjelp av smartkortet: Brukeren kan fortsatt få tilgang til lokale sikkerhetssensitive ressurser. Brukeren prøver å få tilgang til nettverksressurser som krever den universelle sikkerhetsgruppen for smartkort. Disse forsøkene er fullført.

    • Brukeren låser opp ved hjelp av brukernavnet og passordet: Brukeren har fortsatt tilgang til lokale sikkerhetssensitive ressurser. Dette resultatet forventes ikke. Brukeren prøver å få tilgang til nettverksressurser som krever den universelle sikkerhetsgruppen for smartkort. Disse forsøkene mislykkes.

  • Eksempel 2Hvis tilgangstokenet for skrivebordet ikke har den universelle sikkerhetsgruppen for smartkort levert av AMA, oppstår ett av følgende resultater:

    • Brukeren låser opp ved hjelp av brukernavn og passord: Brukeren får ikke tilgang til lokale sikkerhetssensitive ressurser. Brukeren prøver å få tilgang til nettverksressurser som krever den universelle sikkerhetsgruppen for smartkort. Disse forsøkene mislykkes.

    • Brukeren låser opp ved hjelp av smartkortet: Brukeren får ikke tilgang til lokale sikkerhetssensitive ressurser. Dette resultatet forventes ikke. Brukeren prøver å få tilgang til nettverksressurser. Disse forsøkene lykkes som forventet.

Mer informasjon

På grunn av AMA- og Security Subsystem-utformingen som er beskrevet i delen Symptomer, opplever brukerne følgende scenarioer der AMA ikke på en pålitelig måte kan identifisere typen interaktiv pålogging.

Pålogging/pålogging

Hvis rask påloggingsoptimalisering er aktiv, bruker det lokale sikkerhetsdelsystemet (lsass) lokal hurtigbuffer til å generere gruppemedlemskap i påloggingstokenet. Når du gjør dette, er ikke kommunikasjonen med domenekontrolleren (DC) nødvendig. Derfor reduseres påloggingstiden. Dette er svært ønskelig funksjon.Denne situasjonen forårsaker imidlertid følgende problem: Etter SC-pålogging og SC-pålogging finnes fortsatt den lokalt bufrede AMA-gruppen på feil måte i brukertokenet etter interaktiv pålogging med brukernavn/passord.Notater

  • Denne situasjonen gjelder bare for interaktive pålogginger.

  • En AMA-gruppe bufres på samme måte og ved å bruke samme logikk som andre grupper.

I denne situasjonen, hvis brukeren deretter prøver å få tilgang til nettverksressurser, brukes ikke bufret gruppemedlemskap på ressurssiden, og brukerens påloggingsøkt på ressurssiden ikke inneholder en AMA-gruppe.Dette problemet kan løses ved å deaktivere rask påloggingsoptimalisering («Datamaskinkonfigurasjon > Administrative maler > system > pålogging > Vent alltid på nettverket ved oppstart og pålogging av datamaskinen).) Viktig! Denne virkemåten er bare relevant i det interaktive påloggingsscenarioet. Tilgang til nettverksressurser vil fungere som forventet fordi det ikke er behov for påloggingsoptimalisering. Bufret gruppemedlemskap brukes derfor ikke. DC kontaktes for å opprette den nye billetten ved hjelp av den nyeste informasjonen om AMA-gruppemedlemskap.

Lås / lås opp

Vurder følgende scenario:

  • En bruker logger seg på interaktivt ved hjelp av smartkortet og åpner deretter AMA-beskyttede nettverksressurser.Vær oppmerksom på at AMA-beskyttede nettverksressurser bare kan få tilgang til brukere som har en AMA-gruppe i tilgangstokenet.

  • Brukeren låser datamaskinen uten først å lukke den tidligere åpnede AMA-beskyttede nettverksressursen.

  • Brukeren låser opp datamaskinen ved hjelp av brukernavnet og passordet til den samme brukeren som tidligere logget på ved hjelp av et smartkort).

I dette scenarioet kan brukeren fortsatt få tilgang til de AMA-beskyttede ressursene etter at datamaskinen er låst opp. Denne virkemåten er etter utforming. Når datamaskinen er ulåst, oppretter ikke Windows alle åpne økter som hadde nettverksressurser. Windows sjekker heller ikke gruppemedlemskap på nytt. Dette er fordi disse handlingene ville føre til uakseptable ytelsesstraffer.Det finnes ingen ferdig løsning for dette scenarioet. Én løsning er å opprette et filter for legitimasjonsleverandør som filtrerer ut brukernavnet/passordleverandøren etter at SC-påloggingen og låsetrinnene utføres. Hvis du vil ha mer informasjon om legitimasjonsleverandør, kan du se følgende ressurser:

ICredentialProviderFilter-grensesnitt Eksempler på legitimasjonsleverandør for Windows VistaObs! Vi kan ikke bekrefte om denne fremgangsmåten noensinne er implementert.

Mer informasjon om AMA

AMA kan verken identifisere eller fremtvinge den interaktive påloggingstypen (smartkort eller brukernavn/passord). Denne virkemåten er etter utforming.AMA er beregnet på scenarioer der nettverksressurser krever et smartkort. Den er ikke ment å brukes for lokal tilgang.Ethvert forsøk på å løse dette problemet ved å introdusere nye funksjoner, for eksempel muligheten til å bruke dynamisk gruppemedlemskap eller å håndtere AMA-grupper som en dynamisk gruppe, kan forårsake betydelige problemer. Derfor støtter ikke NT-tokener dynamiske gruppemedlemskap. Hvis systemet tillater at grupper trimmes i sanntid, kan brukere bli forhindret fra å samhandle med sine egne skrivebord og programmer. Gruppemedlemskap låses derfor når økten opprettes og opprettholdes gjennom hele økten.Bufrede pålogginger er også problematiske. Hvis optimalisert pålogging er aktivert, prøver lsass først en lokal hurtigbuffer før den aktiverer en rundtur i nettverket. Hvis brukernavnet og passordet er identisk med det lsass så for den forrige påloggingen (dette gjelder for de fleste pålogginger), oppretter lsass et token som har de samme gruppemedlemskapene som brukeren hadde tidligere. Hvis optimalisert pålogging er slått av, kreves det en nettverksrundestripe. Dette sikrer at gruppemedlemskapene fungerer på pålogging som forventet.I en bufret pålogging beholder lsass én oppføring per bruker. Denne oppføringen inkluderer brukerens forrige gruppemedlemskap. Dette er beskyttet av både det siste passordet eller smartkortlegitimasjonen som lsass så. Begge deler ut det samme tokenet og legitimasjonsnøkkelen. Hvis brukere prøver å logge på ved hjelp av en foreldet legitimasjonsnøkkel, mister de DPAPI-data, EFS-beskyttet innhold og så videre. Bufrede pålogginger produserer derfor alltid de nyeste lokale gruppemedlemskapene, uavhengig av mekanismen som brukes til å logge på.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter