Beschrijving van het gebruik van AMA in scenario's voor interactieve aanmelding in Windows

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 3101129
Samenvatting
In dit artikel wordt beschreven hoe u verificatie mechanisme Assurance (AMA) gebruiken in scenario's voor interactieve aanmelding.
Inleiding
AMA wordt een beheerder aangewezen, universeel groepslidmaatschap toegevoegd aan het toegangstoken van de gebruiker wanneer de referenties van de gebruiker worden geverifieerd tijdens het aanmelden met behulp van een methode logon op basis van certificaten. Zo stelt u voor een resource netwerkbeheerders de toegang tot bronnen, zoals bestanden, mappen en printers. Deze toegang is gebaseerd op de vraag of de gebruiker zich aanmeldt met behulp van een methode logon op basis van certificaten en het type certificaat dat wordt gebruikt voor aanmelding.
In dit artikel
In dit artikel ligt de nadruk op twee scenario's het probleem: aanmelden/afmelden en vergrendelen/ontgrendelen. Het gedrag van AMA in deze scenario's is het "ontwerp" en kan als volgt worden samengevat:

  • AMA is bedoeld om netwerkbronnen te beschermen.
  • AMA kunt identificeren, noch het type interactieve aanmelding (smartcard of gebruikersnaam/wachtwoord) voor de lokale computer van de gebruiker te dwingen. Dit is omdat de bronnen die toegankelijk zijn na de aanmelding van een interactieve gebruiker kunnen niet op betrouwbare wijze worden beveiligd met behulp van AMA.
Symptomen

Probleem Scenario 1 (aanmelden/afmelden)

Overweeg het volgende scenario:
  • Een beheerder wil aanmelden smartcard (SC) verificatie afdwingen wanneer gebruikers toegang bepaalde bronnen beveiligingsgevoelige tot. U doet dit door de beheerder installeert AMA volgens de Zekerheid van verificatiemechanisme voor AD DS in de stapsgewijze handleiding voor Windows Server 2008 R2 voor de uitgifte van object-id die wordt gebruikt in alle smartcardcertificaten.

    Opmerking In dit artikel wordt verwezen naar deze nieuwe groep toegewezen als de smartcard universal security group."
  • De ' interactief aanmelden: smartcard is vereist ' beleid is niet ingeschakeld op werkstations. Daarom kunnen gebruikers aanmelden met behulp van andere referenties, zoals gebruikersnaam en wachtwoord.
  • Lokale en toegang tot het netwerk bron de universele groep smartcard vereist.
In dit scenario wordt verwacht u dat enige gebruiker die zich aanmeldt op met behulp van smartcards kan toegang krijgen tot lokale en netwerkbronnen. Omdat het werkstation aanmelden geoptimaliseerd/cache toestaat, wordt de controle in de cache echter gebruikt tijdens het aanmelden voor het maken van het NT-toegangstoken voor het bureaublad van de gebruiker. Daarom worden de claims van de voorgaande aanmelding en de beveiligingsgroepen gebruikt in plaats van de huidige.

Voorbeelden van scenario

Opmerking In dit artikel wordt wordt groepslidmaatschap opgehaald voor interactieve aanmeldingssessies met ' whoami/groepen'. Met deze opdracht haalt de groepen en de vorderingen van het toegangstoken van het bureaublad.

  • Voorbeeld 1

    Als de voorgaande aanmelding met een smartcard is uitgevoerd, heeft het toegangstoken voor het bureaublad van de smartcard universele groep die wordt geleverd door de AMA. Een van de volgende resultaten plaatsvindt:

    • De gebruiker zich aanmeldt met de smartcard: de gebruiker nog steeds toegang tot lokale beveiliging gevoelige bronnen. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de smartcard universele beveiligingsgroep. Deze pogingen zijn mislukt.
    • De gebruiker zich aanmeldt via een gebruikersnaam en wachtwoord: de gebruiker nog steeds toegang tot lokale beveiliging gevoelige bronnen. Dit resultaat wordt niet verwacht. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de smartcard universele beveiligingsgroep. Deze pogingen niet zoals verwacht.
  • Voorbeeld 2

    Als de voorgaande aanmelding met een wachtwoord is uitgevoerd, heeft het toegangstoken voor het bureaublad van de smartcard universele groep die wordt geleverd door de AMA geen. Een van de volgende resultaten plaatsvindt:

    • De gebruiker zich aanmeldt met behulp van een gebruikersnaam en wachtwoord: de gebruiker heeft geen toegang tot lokale beveiliging gevoelige bronnen. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de smartcard universele beveiligingsgroep. Deze pogingen mislukken.
    • De gebruiker zich aanmeldt met de smartcard: de gebruiker heeft geen toegang tot lokale beveiliging gevoelige bronnen. De gebruiker probeert toegang te krijgen tot netwerkbronnen. Deze pogingen zijn mislukt. Dit outcomeisn't door klanten verwacht. Daarom access control problemen veroorzaakt.

Probleem Scenario 2 (vergrendelen/ontgrendelen)

Overweeg het volgende scenario:

  • Een beheerder wil aanmelden smartcard (SC) verificatie afdwingen wanneer gebruikers toegang bepaalde bronnen beveiligingsgevoelige tot. U doet dit door installeert de beheerder AMA volgens Zekerheid van verificatiemechanisme voor AD DS in de stapsgewijze handleiding voor Windows Server 2008 R2 voor de uitgifte van object-id die wordt gebruikt in alle smartcardcertificaten.
  • De ' interactief aanmelden: smartcard is vereist ' beleid is niet ingeschakeld op werkstations. Daarom kunnen gebruikers aanmelden met behulp van andere referenties, zoals gebruikersnaam en wachtwoord.
  • Lokale en toegang tot het netwerk bron de universele groep smartcard vereist.
In dit scenario wordt verwacht u dat alleen een gebruiker die zich aanmeldt op met behulp van smartcards kan toegang krijgen lokale tot en netwerkbronnen. Echter, aangezien het toegangstoken voor het bureaublad van de gebruiker wordt gemaakt tijdens de aanmelding, het niet gewijzigd.

Voorbeelden van scenario

  • Voorbeeld 1

    Als de smartcard universele beveiligingsgroep geleverd door AMA heeft het toegangstoken voor het bureaublad, doet zich een van de volgende resultaten:

    • De gebruiker wordt ontgrendeld met de smartcard: de gebruiker nog steeds toegang tot lokale beveiliging gevoelige bronnen. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de smartcard universele beveiligingsgroep. Deze pogingen zijn mislukt.
    • Hiermee ontgrendelt u de gebruiker met de gebruikersnaam en wachtwoord: de gebruiker nog steeds toegang tot lokale beveiliging gevoelige bronnen. Deze outcomeisn't verwacht. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de smartcard universele beveiligingsgroep. Deze pogingen mislukken.
  • Voorbeeld 2

    Als het toegangstoken voor het bureaublad niet de smartcard universele beveiligingsgroep geleverd door AMA, doet zich een van de volgende resultaten:

    • Hiermee ontgrendelt u de gebruiker met gebruikersnaam en wachtwoord: de gebruiker heeft geen toegang tot lokale beveiliging gevoelige bronnen. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de universele groep smartcard is vereist. Deze pogingen mislukken.
    • De gebruiker wordt ontgrendeld met de smartcard: de gebruiker heeft geen toegang tot lokale beveiliging gevoelige bronnen. Deze outcomeisn't verwacht. De gebruiker probeert toegang te krijgen tot netwerkbronnen. Deze pogingen succes zoals verwacht.
Meer informatie
Gebruikers ondervinden vanwege de AMA en beveiligingssubsysteem ontwerp dat wordt beschreven in de sectie 'Symptomen', de volgende scenario's waarin AMA op betrouwbare wijze de soort interactieve aanmelding niet identificeren.

Aanmelden/afmelden

Als Fast Logon optimization actief is, gebruikt het lokale beveiligingssubsysteem (lsass) lokale cache groepslidmaatschap gegenereerd in het token van de aanmelding. Op deze manier is de communicatie met de domeincontroller (DC) niet vereist. Daarom is aanmeldingstijd verminderd. Dit is zeer wenselijk functie.

Deze situatie veroorzaakt echter het volgende probleem: nadat SC en SC afmelden, de lokale cache AMA-groep is onjuist, nog steeds aanwezig in het gebruikerstoken nadat de gebruiker de naam en het wachtwoord interactief aanmelden.

Opmerkingen

  • Deze situatie geldt alleen voor interactieve aanmelding.
  • Een groep AMA opgeslagen op dezelfde manier en met dezelfde logica als andere groepen.

In deze situatie als de gebruiker vervolgens probeert toegang te krijgen tot netwerkbronnen, lidmaatschap van in de cache op de bron sideisn'tused en de aanmeldingssessie van de gebruiker aan de bronzijde niet opgenomen een AMA-groep.

Dit probleem kan worden opgelost door het uitschakelen van Fast Logon Optimization ("Computer Configuration > Beheersjablonen > System > aanmelding > altijd wachten op het netwerk bij het opstarten van de computer en het aanmelden ').

Belangrijk Dit probleem is alleen relevant als het scenario voor interactieve aanmelding. Toegang tot netwerkbronnen, zoals verwacht, omdat er geen noodzaak voor aanmeldingsoptimalisatie werken. Groep membershipisn't gebruikt daarom in de cache. De domeincontroller contact wordt opgenomen met het nieuwe ticket maken met behulp van de nieuwste AMA gegevens over het groepslidmaatschap.

Vergrendelen/ontgrendelen

Overweeg het volgende scenario:

  • Een gebruiker zich interactief aanmeldt met de smartcard en netwerkbronnen AMA beschermd wordt geopend.

    Opmerking AMA beveiligd netwerk bronnen kunnen worden benaderd alleen gebruikers met een AMA-groep in het toegangstoken.
  • De gebruiker Hiermee vergrendelt u de computer zonder eerst de eerder geopende AMA beveiligd netwerkbron sluiten.
  • De gebruiker Hiermee ontgrendelt u de computer met behulp van de gebruikersnaam en het wachtwoord van de gebruiker die eerder heeft aangemeld met behulp van een smartcard).
In dit scenario wordt de gebruiker nog steeds toegang tot de AMA beveiligde bronnen nadat de computer vergrendeld is. Dit gedrag is inherent aan het ontwerp. Wanneer computer wordt ontgrendeld, Windows alle geopende sessies die netwerkbronnen had niet opnieuw maken. Windows wordt niet opnieuw groepslidmaatschap. Dit is omdat deze acties leiden onaanvaardbare prestaties sancties tot zou.

Er is geen kant-en-klare oplossing voor dit scenario. Een mogelijke oplossing zou een filter Credential Provider die gefilterd op de naam en het wachtwoord gebruiker provider na de SC-aanmelding maken en lock stappen uitgevoerd. Voor meer informatie over de Provider referenties, Zie de volgende bronnen:

Opmerking We kunnen niet bevestigen of deze aanpak ooit met succes geïmplementeerd.

Meer informatie over AMA

AMA kunt identificeren, noch afdwingen van het type voor interactieve aanmelding (smartcard oruser naam/wachtwoord). Dit gedrag is inherent aan het ontwerp.

AMA is bedoeld voor scenario's waarin de netwerkbronnen vraag een smartcard. Het is niet bedoeld voor lokale toegang usedfor.

Elke poging om dit probleem oplossen door de invoering van nieuwe functies, zoals de mogelijkheid om dynamische groepslidmaatschap gebruiken of verwerken AMA groepen als een dynamische groep kan aanzienlijke problemen veroorzaken. Dit is de reden waarom de NT-tokens ondersteunen geen dynamische groepslidmaatschappen. Als het systeem mag de groepen die u wilt bijsnijden in real, gebruikers mogelijk geen interactie met hun eigen bureaublad en toepassingen. Groepslidmaatschappen worden vergrendeld op het moment dat de sessie is gemaakt en daarom worden bijgehouden tijdens de sessie.

Aanmeldingen in de cache zijn ook problemen veroorzaken. Als geoptimaliseerde aanmelding is ingeschakeld, probeert lsass eerst een lokale cache voordat deze een netwerk benaderen aanroept. Als de gebruikersnaam en het wachtwoord gelijk zijn aan lsass zag voor de voorgaande aanmelding (dit geldt voor de meeste aanmeldingen), wordt een token met dezelfde schijf die de gebruiker eerder heeft gemaakt in lsass.

Geoptimaliseerde aanmelding is uitgeschakeld, zouden een netwerk roundtrip gelden. Thiswould Zorg ervoor dat het groepslidmaatschap bij aanmelding werkt zoals verwacht.

Lsass zorgt ervoor dat één post per gebruiker in een aanmelding in de cache. Deze post omvat de vorige groepslidmaatschap van de gebruiker. Dit wordt beschermd door zowel de laatste passwordor smartcard referentie die lsass hebt gezien. Beide pak dezelfde sleutel token en referenties. Als gebruikers probeert aan te melden via een referentiesleutel verlopen, verliest zij DPAPI gegevens, EFS-beveiligde inhoud, enzovoort. Daarom produceren aanmeldingen in de cache altijd de meest recente lokale groepslidmaatschappen, ongeacht het mechanisme dat wordt gebruikt voor aanmelding.
Verificatie mechanisme Assurance AMA interactieve aanmelding

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 3101129 - Laatst bijgewerkt: 11/21/2015 16:48:00 - Revisie: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtnl
Feedback