Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Samenvatting

In dit artikel wordt beschreven hoe u verificatie mechanisme Assurance (AMA) gebruiken in scenario's voor interactieve aanmelding.

Inleiding

AMA wordt een beheerder aangewezen, universele groepslidmaatschappen toegevoegd aan het toegangstoken van de gebruiker wanneer de referenties van de gebruiker worden geverifieerd tijdens het aanmelden via een aanmelding op basis van certificaten. Zo stelt u voor een resource netwerkbeheerders de toegang tot bronnen, zoals bestanden, mappen en printers. Deze toegang is gebaseerd op de vraag of de gebruiker zich aanmeldt met behulp van een methode logon op basis van certificaten en het type certificaat dat wordt gebruikt voor aanmelding.

In dit artikel

Dit artikel richt zich op twee scenario's het probleem: aanmelden/afmelden en vergrendelen/ontgrendelen. Het gedrag van AMA in deze scenario's is het ' ontwerp' en kan als volgt worden samengevat:

  • AMA is bedoeld om netwerkbronnen te beschermen.

  • AMA kunt identificeren, noch het type van de interactieve aanmelding (smartcard of gebruikersnaam/wachtwoord) voor de lokale computer van de gebruiker te dwingen. Dit is omdat de bronnen die toegankelijk zijn na de aanmelding van een interactieve gebruiker kunnen niet op betrouwbare wijze worden beveiligd met behulp van AMA.

Symptomen

Probleem Scenario 1 (aanmelden/afmelden)

Overweeg het volgende scenario:

  • Een beheerder wil aanmelden smartcard (SC) verificatie afdwingen wanneer gebruikers toegang bepaalde bronnen beveiligingsgevoelige tot. U doet dit door installeert de beheerder AMA volgens de Zekerheid van verificatiemechanisme voor AD DS in de stapsgewijze handleiding voor Windows Server 2008 R2 voor de uitgifte van object-id die wordt gebruikt in alle smartcardcertificaten.

    Opmerking In dit artikel wordt verwezen naar deze nieuwe groep toegewezen als "de smartcard universele beveiligingsgroep."

  • De ' interactief aanmelden: smartcard is vereist ' beleid is niet ingeschakeld op werkstations. Gebruikers kunnen dus met andere referenties, zoals gebruikersnaam en wachtwoord aanmelden.

  • Lokale en resource netwerktoegang vereist de universele groep smartcard.

In dit scenario wordt verwacht u dat enige gebruiker die zich aanmeldt op met behulp van smartcards kan toegang krijgen tot lokale en netwerkbronnen. Echter omdat het werkstation aanmelden geoptimaliseerd/cache toestaat, wordt de verificateur in de cache gebruikt tijdens het aanmelden voor het maken van de NT-toegangstoken voor het bureaublad van de gebruiker. Daarom worden de claims van de voorgaande aanmelding en de beveiligingsgroepen gebruikt in plaats van de huidige.



Voorbeelden van scenario

Opmerking In dit artikel, wordt groepslidmaatschap opgehaald voor interactieve aanmeldingssessies met ' whoami/groepen'. Met deze opdracht haalt de groepen en de vorderingen van het toegangstoken van het bureaublad.

  • Voorbeeld 1

    Als de voorgaande aanmelding met een smartcard is uitgevoerd, heeft het toegangstoken voor het bureaublad van de smartcard universele groep die wordt geleverd door de AMA. Een van de volgende resultaten plaatsvindt:

    • De gebruiker zich aanmeldt met de smartcard: de gebruiker nog steeds toegang tot lokale beveiliging gevoelige bronnen. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de smartcard universele beveiligingsgroep. Deze pogingen zijn mislukt.

    • De gebruiker zich aanmeldt met de gebruikersnaam en wachtwoord: de gebruiker nog steeds toegang tot lokale beveiliging gevoelige bronnen. Dit resultaat wordt niet verwacht. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de smartcard universele beveiligingsgroep. Deze pogingen niet zoals verwacht.

  • Voorbeeld 2

    Als de voorgaande aanmelding is uitgevoerd met een wachtwoord, heeft het toegangstoken voor het bureaublad van de smartcard universele groep die wordt geleverd door de AMA geen. Een van de volgende resultaten plaatsvindt:

    • De gebruiker zich aanmeldt met behulp van een gebruikersnaam en wachtwoord: de gebruiker heeft geen toegang tot lokale beveiliging gevoelige bronnen. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de smartcard universele beveiligingsgroep. Deze pogingen mislukken.

    • De gebruiker zich aanmeldt met de smartcard: de gebruiker heeft geen toegang tot lokale beveiliging gevoelige bronnen. De gebruiker probeert toegang te krijgen tot netwerkbronnen. Deze pogingen zijn mislukt. Dit resultaat wordt niet verwacht door klanten. Daarom access control problemen veroorzaakt.

Probleem Scenario 2 (vergrendelen/ontgrendelen)

Overweeg het volgende scenario:

  • Een beheerder wil aanmelden smartcard (SC) verificatie afdwingen wanneer gebruikers toegang bepaalde bronnen beveiligingsgevoelige tot. Hiertoe implementeert u de beheerder van de AMA volgens Zekerheid van verificatiemechanisme voor AD DS in de stapsgewijze handleiding voor Windows Server 2008 R2 voor de uitgifte van object-id die wordt gebruikt in alle smartcardcertificaten.

  • De ' interactief aanmelden: smartcard is vereist ' beleid is niet ingeschakeld op werkstations. Gebruikers kunnen dus met andere referenties, zoals gebruikersnaam en wachtwoord aanmelden.

  • Lokale en resource netwerktoegang vereist de universele groep smartcard.

In dit scenario wordt u verwacht dat alleen een gebruiker die zich aanmeldt op met behulp van smartcards, kan toegang tot lokale en netwerkbronnen. Echter omdat het toegangstoken voor het bureaublad van de gebruiker tijdens de aanmelding wordt gemaakt, wordt dit niet gewijzigd.



Voorbeelden van scenario

  • Voorbeeld 1

    Als de smartcard universele beveiligingsgroep geleverd door AMA heeft het toegangstoken voor het bureaublad, doet zich een van de volgende resultaten:

    • De gebruiker wordt ontgrendeld met de smartcard: de gebruiker nog steeds toegang tot lokale beveiliging gevoelige bronnen. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de smartcard universele beveiligingsgroep. Deze pogingen zijn mislukt.

    • Hiermee ontgrendelt u de gebruiker met gebruikersnaam en wachtwoord: de gebruiker nog steeds toegang tot lokale beveiliging gevoelige bronnen. Dit resultaat wordt niet verwacht. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de smartcard universele beveiligingsgroep. Deze pogingen mislukken.

  • Voorbeeld 2

    Als het toegangstoken voor het bureaublad niet de smartcard universele beveiligingsgroep geleverd door AMA, treedt een van de volgende resultaten op:

    • Hiermee ontgrendelt u de gebruiker met gebruikersnaam en wachtwoord: de gebruiker heeft geen toegang tot lokale beveiliging gevoelige bronnen. De gebruiker probeert toegang te krijgen tot netwerkbronnen waarvoor de smartcard universele beveiligingsgroep. Deze pogingen mislukken.

    • De gebruiker wordt ontgrendeld met de smartcard: de gebruiker heeft geen toegang tot lokale beveiliging gevoelige bronnen. Dit resultaat wordt niet verwacht. De gebruiker probeert toegang te krijgen tot netwerkbronnen. Deze pogingen succes zoals verwacht.

Meer informatie

Gebruikers ondervinden vanwege de AMA en het beveiligingssubsysteem ontwerp dat wordt beschreven in de sectie 'Symptomen', de volgende scenario's waarin AMA op betrouwbare wijze de soort interactieve aanmelding niet identificeren.

Logon/logoff

Als u Fast Logon optimization actief is, gebruikt lokale beveiligingssubsysteem (lsass) lokale cache groepslidmaatschap gegenereerd in het token van de aanmelding. Op deze manier niet de communicatie met de domeincontroller (DC) is vereist. Dus is aanmelden verminderd. Dit is zeer wenselijk functie.

Deze situatie veroorzaakt echter het volgende probleem: na SC en SC afmelden, de lokale cache AMA-groep is onjuist, nog steeds aanwezig in het gebruikerstoken nadat de gebruiker de naam en het wachtwoord interactief aanmelden.

Opmerkingen

  • Deze situatie geldt alleen voor interactieve aanmelding.

  • Een groep AMA opgeslagen op dezelfde manier en met dezelfde logica als andere groepen.


In dit geval, als de gebruiker vervolgens probeert toegang te krijgen tot netwerkbronnen, lidmaatschap aan de kant van de resource in de cache niet gebruikt en de aanmeldingssessie van de gebruiker aan de bronzijde een AMA-groep niet opgenomen.

Dit probleem kan opgelost door het uitschakelen van Fast Logon Optimization (' Computerconfiguratie > Beheersjablonen > systeem > aanmelden > altijd wachten op het netwerk bij het opstarten van de computer en het aanmelden ').

Belangrijk Dit is alleen relevant als het scenario voor interactieve aanmelding. Toegang tot netwerkbronnen, zoals verwacht, omdat er geen noodzaak voor aanmeldingsoptimalisatie werken. Daarom wordt niet groepslidmaatschap in de cache gebruikt. De domeincontroller contact wordt opgenomen met het nieuwe ticket maken met behulp van de nieuwste AMA gegevens over het groepslidmaatschap.

Lock/unlock

Overweeg het volgende scenario:

  • Een gebruiker zich interactief aanmeldt met de smartcard en AMA beveiligd netwerkbronnen opent.

    Opmerking AMA beveiligd netwerk bronnen kunnen worden benaderd alleen gebruikers met een AMA-groep in het toegangstoken.

  • De gebruiker Hiermee vergrendelt u de computer zonder eerst de eerder geopende AMA beveiligd netwerkbron sluiten.

  • De gebruiker account ontgrendelt de computer met behulp van de gebruikersnaam en het wachtwoord van de gebruiker die eerder heeft aangemeld met behulp van een smartcard).

In dit scenario wordt de gebruiker nog steeds toegang tot de AMA beveiligde bronnen nadat de computer vergrendeld is. Dit gedrag is inherent aan het ontwerp. Wanneer de computer ontgrendeld wordt, zal Windows niet opnieuw alle geopende sessies die netwerkbronnen had gemaakt. Windows wordt niet opnieuw groepslidmaatschap. Dit is omdat deze acties leiden onaanvaardbare prestaties sancties tot zouden.

Er is geen kant-en-klare oplossing voor dit scenario. Een oplossing zou een filter Credential Provider die gefilterd op de naam en het wachtwoord gebruiker provider na de aanmelding SC maken en lock stappen uitgevoerd. Voor meer informatie over de Provider referenties, Zie de volgende bronnen:

Interface ICredentialProviderFilter

Windows Vista Credential Provider monstersOpmerking  We kunnen niet bevestigen of deze aanpak is ooit met succes geïmplementeerd.

Meer informatie over AMA

AMA kunt identificeren, noch afdwingen van het type interactieve aanmelding (smartcard of gebruikersnaam/wachtwoord). Dit gedrag is inherent aan het ontwerp.

AMA is bedoeld voor scenario's waarin de netwerkbronnen vraag een smartcard. Het is niet bedoeld om te worden gebruikt voor lokale toegang.

Elke poging om dit probleem oplossen door de invoering van nieuwe functies, zoals de mogelijkheid om dynamische groepslidmaatschap gebruiken of verwerken AMA groepen als een dynamische groep kan aanzienlijke problemen veroorzaken. Dit is de reden waarom de NT-tokens ondersteunen geen dynamische groepslidmaatschappen. Als het systeem mogen de groepen die u wilt bijsnijden in real, gebruikers mogelijk geen interactie met hun eigen bureaublad en toepassingen. Groepslidmaatschappen worden vergrendeld op het moment dat de sessie is gemaakt en daarom behouden blijven gedurende de sessie.

Aanmeldingen in de cache zijn ook problemen veroorzaken. Als de geoptimaliseerde aanmelding is ingeschakeld, probeert lsass eerst een lokale cache voordat deze een netwerk benaderen roept. Als de gebruikersnaam en het wachtwoord gelijk zijn aan lsass zag voor de voorgaande aanmelding (dit geldt voor de meeste aanmeldingen), wordt een token met dezelfde schijf die de gebruiker eerder heeft gemaakt in lsass.

Geoptimaliseerde aanmelding is uitgeschakeld, zouden een netwerk roundtrip gelden. Dit zorgt ervoor dat het groepslidmaatschap bij aanmelding werkt zoals verwacht.

Lsass zorgt ervoor dat één post per gebruiker in een aanmelding in de cache. Deze post omvat de vorige groepslidmaatschap van de gebruiker. Dit wordt beschermd door zowel de laatst opgegeven wachtwoord of smartcard-referenties die lsass zag. Beide pakken dezelfde sleutel token en referenties. Als gebruikers probeert aan te melden met behulp van een referentiesleutel verlopen, verliest zij DPAPI gegevens, EFS-beveiligde inhoud, enzovoort. Cache aanmeldingen produceren daarom altijd de meest recente lokale groepslidmaatschappen, ongeacht het mechanisme dat wordt gebruikt om aan te melden.

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×