Van toepassing op
Windows Server 2012 R2 Standard Windows Server 2012 R2 Datacenter Windows 8.1 Pro Windows 8.1 Enterprise Windows Server 2012 Standard Windows Server 2012 Standard Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows 8 Pro Windows 8 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows 7 Enterprise Windows 7 Professional

Samenvatting

In dit artikel wordt beschreven hoe u Authentication Mechanism Assurance (AMA) gebruikt in interactieve aanmeldingsscenario's.

Inleiding

AMA voegt een door een beheerder aangewezen, universeel groepslidmaatschap toe aan het toegangstoken van een gebruiker wanneer de referenties van de gebruiker worden geverifieerd tijdens het aanmelden met behulp van een aanmeldingsmethode op basis van een certificaat. Hierdoor kunnen netwerkresourcebeheerders de toegang tot resources, zoals bestanden, mappen en printers, beheren. Deze toegang is gebaseerd op het feit of de gebruiker zich aanmeldt met behulp van een aanmeldingsmethode op basis van certificaten en het type certificaat dat wordt gebruikt om zich aan te melden.

In dit artikel

Dit artikel richt zich op twee probleemscenario's: aanmelden/afmelden en vergrendelen/ontgrendelen. Het gedrag van AMA in deze scenario's is 'by design' en kan als volgt worden samengevat:

  • AMA is bedoeld om netwerkresources te beveiligen.

  • AMA kan het interactieve aanmeldingstype (smartcard of gebruikersnaam/wachtwoord) voor de lokale computer van de gebruiker niet identificeren of afdwingen. Dit komt doordat resources die worden geopend na een interactieve gebruikersaanmelding, niet betrouwbaar kunnen worden beveiligd met behulp van AMA.

Symptomen

Probleemscenario 1 (aanmelden/afmelden)

Neem het volgende scenario:

  • Een beheerder wil aanmeldingsverificatie voor smartcards (SC) afdwingen wanneer gebruikers toegang hebben tot bepaalde beveiligingsgevoelige resources. Hiervoor implementeert de beheerder AMA volgens de verificatiemechanismecontrole voor AD DS in Windows Server stapsgewijze handleiding 2008 R2 voor de object-id van het uitgiftebeleid die wordt gebruikt in alle smartcardcertificaten. Opmerking In dit artikel verwijzen we naar deze nieuwe toegewezen groep als 'de universele smartcardbeveiligingsgroep'.

  • Het beleid 'Interactieve aanmelding: smartcard vereisen' is niet ingeschakeld op werkstations. Daarom kunnen gebruikers zich aanmelden met behulp van andere referenties, zoals gebruikersnaam en wachtwoord.

  • Voor toegang tot lokale en netwerkresources is de universele beveiligingsgroep van de smartcard vereist.

In dit scenario verwacht u dat alleen gebruikers die zich aanmelden met smartcards toegang hebben tot lokale en netwerkbronnen. Omdat het werkstation geoptimaliseerde/in de cache opgeslagen aanmelding toestaat, wordt de verificator in de cache tijdens het aanmelden echter gebruikt om het NT-toegangstoken voor het bureaublad van de gebruiker te maken. Daarom worden de beveiligingsgroepen en claims uit de vorige aanmelding gebruikt in plaats van de huidige.

Scenariovoorbeelden

Opmerking In dit artikel wordt groepslidmaatschap opgehaald voor interactieve aanmeldingssessies met behulp van 'whoami/groups'. Met deze opdracht worden de groepen en claims opgehaald uit het toegangstoken van het bureaublad.

  • Voorbeeld 1Als de vorige aanmelding is uitgevoerd met behulp van een smartcard, bevat het toegangstoken voor het bureaublad de universele smartcardbeveiligingsgroep die wordt geleverd door AMA. Een van de volgende resultaten treedt op:

    • De gebruiker meldt zich aan met behulp van de smartcard: de gebruiker heeft nog steeds toegang tot lokale beveiligingsgevoelige resources. De gebruiker probeert toegang te krijgen tot netwerkresources waarvoor de universele beveiligingsgroep van de smartcard is vereist. Deze pogingen slagen.

    • De gebruiker meldt zich aan met behulp van gebruikersnaam en wachtwoord: de gebruiker heeft nog steeds toegang tot lokale beveiligingsgevoelige resources. Dit resultaat wordt niet verwacht. De gebruiker probeert toegang te krijgen tot netwerkresources waarvoor de universele beveiligingsgroep van de smartcard is vereist. Deze pogingen mislukken zoals verwacht.

  • Voorbeeld 2Als de vorige aanmelding is uitgevoerd met behulp van een wachtwoord, heeft het toegangstoken voor het bureaublad niet de universele beveiligingsgroep van de smartcard die wordt geleverd door AMA. Een van de volgende resultaten treedt op:

    • De gebruiker meldt zich aan met behulp van een gebruikersnaam en wachtwoord: de gebruiker heeft geen toegang tot lokale beveiligingsgevoelige resources. De gebruiker probeert toegang te krijgen tot netwerkresources waarvoor de universele beveiligingsgroep van de smartcard is vereist. Deze pogingen mislukken.

    • De gebruiker meldt zich aan met behulp van de smartcard: de gebruiker heeft geen toegang tot lokale beveiligingsgevoelige resources. De gebruiker probeert toegang te krijgen tot netwerkbronnen. Deze pogingen slagen. Dit resultaat wordt niet verwacht door klanten. Daarom veroorzaakt dit problemen met toegangsbeheer.

Probleemscenario 2 (vergrendelen/ontgrendelen)

Bekijk het volgende scenario:

  • Een beheerder wil aanmeldingsverificatie voor smartcards (SC) afdwingen wanneer gebruikers toegang hebben tot bepaalde beveiligingsgevoelige resources. Hiervoor implementeert de beheerder AMA volgens Authentication Mechanism Assurance voor AD DS in Windows Server 2008 R2 Stapsgewijze handleiding voor de object-id van het uitgiftebeleid die wordt gebruikt in alle smartcardcertificaten.

  • Het beleid 'Interactieve aanmelding: smartcard vereisen' is niet ingeschakeld op werkstations. Daarom kunnen gebruikers zich aanmelden met behulp van andere referenties, zoals gebruikersnaam en wachtwoord.

  • Voor toegang tot lokale en netwerkresources is de universele beveiligingsgroep van de smartcard vereist.

In dit scenario verwacht u dat alleen een gebruiker die zich aanmeldt met behulp van smartcards toegang heeft tot lokale en netwerkresources. Omdat het toegangstoken voor het bureaublad van de gebruiker echter wordt gemaakt tijdens de aanmelding, wordt het niet gewijzigd.

Scenariovoorbeelden

  • Voorbeeld 1Als het toegangstoken voor het bureaublad de universele beveiligingsgroep van de smartcard heeft die wordt geleverd door AMA, treedt een van de volgende resultaten op:

    • De gebruiker ontgrendelt met behulp van de smartcard: de gebruiker heeft nog steeds toegang tot lokale beveiligingsgevoelige resources. De gebruiker probeert toegang te krijgen tot netwerkresources waarvoor de universele beveiligingsgroep van de smartcard is vereist. Deze pogingen slagen.

    • De gebruiker ontgrendelt met behulp van de gebruikersnaam en het wachtwoord: de gebruiker heeft nog steeds toegang tot lokale beveiligingsgevoelige resources. Dit resultaat wordt niet verwacht. De gebruiker probeert toegang te krijgen tot netwerkresources waarvoor de universele beveiligingsgroep van de smartcard is vereist. Deze pogingen mislukken.

  • Voorbeeld 2Als het toegangstoken voor het bureaublad niet beschikt over de universele smartcardbeveiligingsgroep die wordt geleverd door AMA, treedt een van de volgende resultaten op:

    • De gebruiker ontgrendelt met behulp van gebruikersnaam en wachtwoord: de gebruiker heeft geen toegang tot lokale beveiligingsgevoelige resources. De gebruiker probeert toegang te krijgen tot netwerkresources waarvoor de universele beveiligingsgroep van de smartcard is vereist. Deze pogingen mislukken.

    • De gebruiker ontgrendelt met behulp van de smartcard: de gebruiker heeft geen toegang tot lokale beveiligingsgevoelige resources. Dit resultaat wordt niet verwacht. De gebruiker probeert toegang te krijgen tot netwerkbronnen. Deze pogingen slagen zoals verwacht.

Meer informatie

Vanwege het ontwerp van het AMA- en beveiligingssubsysteem dat wordt beschreven in de sectie Symptomen, ervaren gebruikers de volgende scenario's waarin AMA het type interactieve aanmelding niet betrouwbaar kan identificeren.

Aanmelden/afmelden

Als snelle aanmeldingsoptimalisatie actief is, gebruikt het lokale beveiligingssubsysteem (lsass) lokale cache om groepslidmaatschap in het aanmeldingstoken te genereren. Hierdoor is de communicatie met de domeincontroller (DC) niet vereist. Daarom is de aanmeldingstijd korter. Dit is zeer wenselijke functie.Deze situatie veroorzaakt echter het volgende probleem: na SC-aanmelding en SC-afmelding is de lokaal opgeslagen AMA-groep ten onrechte nog steeds aanwezig in het gebruikerstoken na de interactieve aanmelding met gebruikersnaam/wachtwoord.Notities

  • Deze situatie is alleen van toepassing op interactieve aanmeldingen.

  • Een AMA-groep wordt op dezelfde manier in de cache opgeslagen en met dezelfde logica als andere groepen.

In deze situatie, als de gebruiker vervolgens toegang probeert te krijgen tot netwerkresources, wordt het groepslidmaatschap in de cache aan de resourcezijde niet gebruikt en bevat de aanmeldingssessie van de gebruiker aan de resourcezijde geen AMA-groep.Dit probleem kan worden opgelost door Fast Logon Optimization ('Computerconfiguratie > Beheersjablonen > Systeem > Aanmelden > Wacht altijd op het netwerk bij het opstarten en aanmelden van de computer'). Belangrijk Dit gedrag is alleen relevant in het interactieve aanmeldingsscenario. Toegang tot netwerkresources werkt zoals verwacht, omdat er geen aanmeldingsoptimalisatie nodig is. Daarom wordt het groepslidmaatschap in de cache niet gebruikt. Er wordt contact opgenomen met de domeincontroller om het nieuwe ticket te maken met behulp van de meest recente AMA-groepslidmaatschapsgegevens.

Vergrendelen/ontgrendelen

Bekijk het volgende scenario:

  • Een gebruiker meldt zich interactief aan met behulp van de smartcard en opent vervolgens met AMA beveiligde netwerkresources.Opmerking: met AMA beveiligde netwerkresources hebben alleen toegang tot gebruikers die een AMA-groep in hun toegangstoken hebben.

  • De gebruiker vergrendelt de computer zonder eerst de eerder geopende met AMA beveiligde netwerkresource te sluiten.

  • De gebruiker ontgrendelt de computer met behulp van de gebruikersnaam en het wachtwoord van dezelfde gebruiker die zich eerder heeft aangemeld met behulp van een smartcard).

In dit scenario heeft de gebruiker nog steeds toegang tot de met AMA beveiligde resources nadat de computer is ontgrendeld. Dit gedrag is inherent aan het ontwerp van het product. Wanneer de computer is ontgrendeld, worden niet alle geopende sessies met netwerkbronnen opnieuw gemaakt. Windows controleert ook het groepslidmaatschap niet opnieuw. Dit komt omdat deze acties onaanvaardbare prestatieboetes zouden veroorzaken.Er is geen out-of-box oplossing voor dit scenario. Een oplossing is om een referentieproviderfilter te maken waarmee de gebruikersnaam/wachtwoordprovider wordt gefilterd nadat de sc-aanmeldings- en vergrendelingsstappen zijn uitgevoerd. Zie de volgende bronnen voor meer informatie over referentieprovider:

Interface ICredentialProviderFilter Voorbeelden van Windows Vista-referentieproviderOpmerking We kunnen niet bevestigen of deze aanpak ooit is geïmplementeerd.

Meer informatie over AMA

AMA kan het interactieve aanmeldingstype (smartcard of gebruikersnaam/wachtwoord) niet identificeren of afdwingen. Dit gedrag is inherent aan het ontwerp van het product.AMA is bedoeld voor scenario's waarin netwerkresources een smartcard nodig hebben. Het is niet bedoeld om te worden gebruikt voor lokale toegang.Elke poging om dit probleem op te lossen door nieuwe functies te introduceren, zoals de mogelijkheid om dynamisch groepslidmaatschap te gebruiken of om AMA-groepen als een dynamische groep te verwerken, kan aanzienlijke problemen veroorzaken. Daarom bieden NT-tokens geen ondersteuning voor dynamische groepslidmaatschappen. Als het systeem toestaat dat groepen in werkelijkheid worden ingekort, kunnen gebruikers mogelijk geen interactie hebben met hun eigen bureaublad en toepassingen. Daarom worden groepslidmaatschappen vergrendeld op het moment dat de sessie wordt gemaakt en worden ze gedurende de sessie onderhouden.Aanmeldingen in de cache zijn ook problematisch. Als geoptimaliseerde aanmelding is ingeschakeld, probeert lsass eerst een lokale cache voordat er een retour van het netwerk wordt aangeroepen. Als de gebruikersnaam en het wachtwoord identiek zijn aan wat lsass heeft gezien voor de vorige aanmelding (dit geldt voor de meeste aanmeldingen), maakt lsass een token met dezelfde groepslidmaatschappen die de gebruiker eerder had. Als geoptimaliseerde aanmelding is uitgeschakeld, is een netwerk roundtrip vereist. Dit zorgt ervoor dat de groepslidmaatschappen bij het aanmelden werken zoals verwacht.In een aanmelding in de cache houdt lsass één vermelding per gebruiker bij. Deze vermelding bevat het vorige groepslidmaatschap van de gebruiker. Dit wordt beveiligd door zowel het laatste wachtwoord of de smartcardreferentie die lsass heeft gezien. Beide pakken hetzelfde token en dezelfde referentiesleutel uit. Als gebruikers zich zouden proberen aan te melden met behulp van een verouderde referentiesleutel, zouden ze DPAPI-gegevens, met EFS beveiligde inhoud, enzovoort, kwijtraken. Daarom produceren aanmeldingen in de cache altijd de meest recente lokale groepslidmaatschappen, ongeacht het mechanisme dat wordt gebruikt om u aan te melden.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum