Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

Opis użycia AMA w scenariuszach interakcyjnego logowania w systemie Windows

WAŻNE: Ten artykuł został przetłumaczony przy użyciu oprogramowania firmy Microsoft do tłumaczenia maszynowego i może być poprawiony przy użyciu technologii Community Translation Framework (CTF). Firma Microsoft udostępnia artykuły tłumaczone maszynowo, poprawione przez społeczność, a także tłumaczone przez tłumaczy profesjonalnych, aby zapewnić dostęp do wszystkich artykułów w bazie wiedzy w wielu językach. Artykuły tłumaczone maszynowo i poprawione mogą zawierać błędy pisowni, składniowe i gramatyczne. Firma Microsoft nie ponosi odpowiedzialności za żadne nieścisłości, błędy ani szkody spowodowane przez niepoprawne tłumaczenia zawartości ani przez korzystanie z niej przez klientów. Więcej o strukturze CTF: http://support.microsoft.com/gp/machine-translation-corrections/pl.

Anglojęzyczna wersja tego artykułu to: 3101129
Streszczenie
W tym artykule omówiono sposób użyć ubezpieczeń mechanizm uwierzytelniania (AMA) w scenariuszach logowania interakcyjnego.
Wprowadzenie
AMA dodaje członkostwa w grupie uniwersalnej, wyznaczonych przez administratora do tokenu dostępu użytkownika, gdy poświadczenia użytkownika są uwierzytelniane podczas logowania przy użyciu metody logowania opartego na certyfikatach. Umożliwia administratorom zasobów sieci do kontrolowania dostępu do zasobów, takich jak pliki, foldery i drukarki. Dostęp ten opiera się na tego, czy użytkownik loguje się przy użyciu metody logowania opartego na certyfikatach i typ certyfikatu, który jest używany do logowania się.
W tym artykule
Ten artykuł skupia się na dwóch scenariuszy problem: Logowanie i wylogowywanie i Zablokuj/Odblokuj. Zachowanie AMA w tych scenariuszach jest "zgodnie z projektem" i mogą być podsumowywane w następujący sposób:

  • AMA jest przeznaczony do ochrony zasobów sieciowych.
  • AMA nie można zidentyfikować ani wymuszać typu interakcyjnego logowania (karta inteligentna lub nazwa użytkownika/hasło) na komputerze lokalnym. Jest to spowodowane zasoby, które są dostępne po zalogowaniu użytkownika interakcyjnego, które nie mogą być niezawodnie chronione za pomocą AMA.
Symptomy

Problem scenariusz 1 (logowanie/wylogowywanie)

Rozważ następujący scenariusz:
  • Administrator chce wymusić uwierzytelniania logowania karty inteligentnej (SC), gdy użytkownicy dostęp do pewnych zasobów uwzględniających zabezpieczenia. Aby to zrobić, administrator wdraża AMA według Gwarancja mechanizmu uwierzytelniania dla AD DS w przewodniku krok po kroku systemu Windows Server 2008 R2 Aby uzyskać identyfikator obiektu zasad wystawiania używanym w wszystkich certyfikatów kart inteligentnych.

    Uwaga: W tym artykule mówimy o nowej grupy mapowane jako "karty inteligentnej grupy uniwersalne zabezpieczeń."
  • "Logowanie interakcyjne: Wymagaj karty inteligentnej" zasady nie jest włączone na stacjach roboczych. W związku z tym użytkownicy mogą logować się przy użyciu innych poświadczeń, takich jak nazwa użytkownika i hasło.
  • Lokalne i dostęp do zasobów sieciowych wymaga grupy uniwersalne zabezpieczeń kart inteligentnych.
W tym scenariuszu można oczekiwać, że tylko użytkownik, który podpisuje przy użyciu karty inteligentnej można uzyskać dostęp lokalny i zasobów sieciowych. Jednak ponieważ stacji roboczej pozwala zoptymalizowany buforowane logowania, kontroler pamięci podręcznej jest używany podczas logowania do utworzenia tokenu dostępu NT dla pulpitu użytkownika. W związku z tym grupy zabezpieczeń i roszczeń od poprzedniego logowania są używane zamiast obecną.

Przykłady scenariuszy

Uwaga: W niniejszym artykule są pobierane członkostwa grupy dla sesji logowania interakcyjnego za pomocą "whoami/grupy." To polecenie pobiera grup i roszczenia z tokenu dostępu do pulpitu.

  • Przykład 1

    Jeśli wykonano poprzednie logowania przy użyciu karty inteligentnej, token dostępu do pulpitu ma grupy uniwersalnej zabezpieczeń kart inteligentnych, dostarczonego przez ARR. Występuje jeden z następujących wyników:

    • Użytkownik loguje się przy użyciu karty inteligentnej: użytkownik nadal dostęp do poufnych zasobów zabezpieczeń lokalnych. Użytkownik próbuje uzyskać dostęp do zasobów sieci, wymagające grupy uniwersalne zabezpieczeń kart inteligentnych. Sukces tych prób.
    • Użytkownik loguje się przy użyciu nazwy użytkownika i hasła: użytkownik nadal dostęp do poufnych zasobów zabezpieczeń lokalnych. Ten wynik nie jest oczekiwany. Użytkownik próbuje uzyskać dostęp do zasobów sieci, wymagające grupy uniwersalne zabezpieczeń kart inteligentnych. Te próby nie dadzą rezultatu, zgodnie z oczekiwaniami.
  • Przykład 2

    Jeśli wykonano poprzednie logowania przy użyciu hasła, token dostępu do pulpitu nie ma grupy uniwersalnej zabezpieczeń kart inteligentnych, dostarczonego przez ARR. Występuje jeden z następujących wyników:

    • Użytkownik loguje się przy użyciu nazwy użytkownika i hasła: użytkownik nie ma dostępu zabezpieczeń lokalnych ważnych zasobów. Użytkownik próbuje uzyskać dostęp do zasobów sieci, wymagające grupy uniwersalne zabezpieczeń kart inteligentnych. Te próby nie dadzą rezultatu.
    • Użytkownik loguje się przy użyciu karty inteligentnej: użytkownik nie ma dostępu zabezpieczeń lokalnych ważnych zasobów. Użytkownik próbuje uzyskać dostęp do zasobów sieciowych. Sukces tych prób. Ta outcomeisn't oczekiwany przez klientów. W związku z tym to powoduje, że dostęp do problemów z kontrolą.

Problem 2 scenariusz (Zablokuj/odblokuj)

Rozważ następujący scenariusz:

  • Administrator chce wymusić uwierzytelniania logowania karty inteligentnej (SC), gdy użytkownicy dostęp do pewnych zasobów uwzględniających zabezpieczenia. Aby to zrobić, administrator wdraża AMA według Gwarancja mechanizmu uwierzytelniania dla AD DS w przewodniku krok po kroku systemu Windows Server 2008 R2 Aby uzyskać identyfikator obiektu zasad wystawiania używanym w wszystkich certyfikatów kart inteligentnych.
  • "Logowanie interakcyjne: Wymagaj karty inteligentnej" zasady nie jest włączone na stacjach roboczych. W związku z tym użytkownicy mogą logować się przy użyciu innych poświadczeń, takich jak nazwa użytkownika i hasło.
  • Lokalne i dostęp do zasobów sieciowych wymaga grupy uniwersalne zabezpieczeń kart inteligentnych.
W tym scenariuszu można oczekiwać, że tylko użytkownik, który podpisuje przy użyciu kart inteligentnych można uzyskać dostęp lokalny i zasobów sieciowych. Jednakże ponieważ token dostępu do komputera użytkownika jest tworzony podczas logowania, nie jest zmieniana.

Przykłady scenariuszy

  • Przykład 1

    Jeśli token dostępu do pulpitu ma grupy uniwersalnej zabezpieczeń kart inteligentnych dostarczone przez ARR, występuje jeden z następujących wyników:

    • Odblokowuje użytkownika przy użyciu karty inteligentnej: użytkownik nadal dostęp do poufnych zasobów zabezpieczeń lokalnych. Użytkownik próbuje uzyskać dostęp do zasobów sieci, wymagające grupy uniwersalne zabezpieczeń kart inteligentnych. Sukces tych prób.
    • Odblokowuje użytkownika przy użyciu nazwy użytkownika i hasła: użytkownik nadal dostęp do poufnych zasobów zabezpieczeń lokalnych. Ta outcomeisn't oczekuje. Użytkownik próbuje uzyskać dostęp do zasobów sieci, wymagające grupy uniwersalne zabezpieczeń kart inteligentnych. Te próby nie dadzą rezultatu.
  • Przykład 2

    Jeśli token dostępu do pulpitu nie ma grupy uniwersalnej zabezpieczeń kart inteligentnych dostarczone przez ARR, występuje jeden z następujących wyników:

    • Odblokowuje użytkownika przy użyciu nazwy użytkownika i hasła: użytkownik nie ma dostępu zabezpieczeń lokalnych ważnych zasobów. Użytkownik próbuje uzyskać dostęp do zasobów sieciowych wymagające grupy uniwersalne zabezpieczeń kart inteligentnych. Te próby nie dadzą rezultatu.
    • Odblokowuje użytkownika przy użyciu karty inteligentnej: użytkownik nie ma dostępu zabezpieczeń lokalnych ważnych zasobów. Ta outcomeisn't oczekuje. Użytkownik próbuje uzyskać dostęp do zasobów sieciowych. Próby te powiodła się zgodnie z oczekiwaniami.
Więcej informacji
Ze względu na AMA oraz podsystem zabezpieczeń opisaną w sekcji "Symptomy" Użytkownicy wystąpić następujące scenariusze, w których AMA nie można wiarygodnie identyfikują typ logowania interakcyjnego.

Logowanie i wylogowywanie

Jeśli optymalizacji szybkiego logowania jest aktywne, lokalne podsystem zabezpieczeń (lsass) używa lokalnej pamięci podręcznej do generowania członkostwa grupy w tokenie logowania. W ten sposób komunikacji z kontrolerem domeny (DC) nie jest wymagane. W związku z tym zmniejsza się czas logowania. Jest to funkcja wysoce pożądane.

Jednakże sytuacja ta powoduje następujący problem: po SC logowania i wylogowywania SC, lokalnie buforowanych AMA grupa jest, nieprawidłowo, nadal obecne w tokenie użytkownika po logowanie interakcyjne nazwy i hasła użytkownika.

Uwagi

  • Sytuacja ta dotyczy tylko interakcyjne logowania.
  • Grupa AMA są buforowane w taki sam sposób i przy użyciu tej samej logiki jako innych grup.

W tej sytuacji, jeśli użytkownik próbuje uzyskać dostęp do zasobów sieciowych, członkostwo w grupie buforowane na sideisn'tused zasobów i sesji logowania użytkownika po stronie zasobów nie będzie zawierał grupą AMA.

Ten problem może być ustalona przez wyłączenie opcji optymalizacji szybkiego logowania ("Konfiguracja komputera > Szablony administracyjne > System > logowania > zawsze Czekaj na sieć podczas uruchamiania komputera i logowania").

Ważne: Takie zachowanie ma znaczenie tylko w scenariuszu logowania interakcyjnego. Dostęp do zasobów sieciowych będzie działać zgodnie z oczekiwaniami, ponieważ nie ma potrzeby Optymalizacja logowania. W związku z tym buforowane membershipisn't grupy używane. Kontroler domeny zostanie nawiązany kontakt z tworzenia nowego biletu za pomocą najświeższych informacji o członkostwie grup AMA.

Zablokuj/Odblokuj

Rozważ następujący scenariusz:

  • Użytkownik loguje się interakcyjnie przy użyciu karty inteligentnej, a następnie otworzy zasobów sieciowych zabezpieczonych AMA.

    Uwaga: AMA chronionej sieci, które zasoby mogą być dostępne tylko użytkownicy, którzy mają grupę AMA w ich tokenu dostępu.
  • Użytkownik zablokuje komputer bez uprzedniego zamknięcia zasobów sieci chronionych AMA wcześniej otwarte.
  • Użytkownik odblokowuje komputer przy użyciu nazwy użytkownika i hasła użytkownika sam, który wcześniej zalogować się przy użyciu karty inteligentnej).
W tym scenariuszu użytkownik nadal ma dostęp chroniony AMA zasobów po odblokowaniu komputera. To zachowanie jest zgodne z projektem. Kiedy komputer jest odblokowany, system Windows nie ponownie utworzyć wszystkie otwarte sesje, które miały zasobów sieciowych. System Windows nie również ponownie członkostwo w grupie. Dlatego te akcje mogłoby spowodować niedopuszczalne niewydolności.

Istnieje rozwiązanie out-of-box dla tego scenariusza. Jednym rozwiązaniem byłoby utworzenie filtru Dostawca poświadczeń, który filtruje dostawca nazwa i hasło użytkownika po zalogowaniu SC i wykonywane kroki blokady. Aby dowiedzieć się więcej na temat Dostawca poświadczeń, zobacz następujące zasoby:

Uwaga: Nie możemy potwierdzić, czy takie podejście nigdy nie została pomyślnie zrealizowana.

Więcej informacji na temat AMA

AMA nie można zidentyfikować ani wymuszać typu interakcyjnego logowania (karta inteligentna oruser nazwa/hasło). To zachowanie jest zgodne z projektem.

AMA jest przeznaczony dla scenariuszy, w których zasoby sieciowe wymagają karty inteligentnej. Nie zamierza być ię dostęp lokalny.

Wszelkie próby rozwiązania tego problemu poprzez wprowadzenie nowych funkcji, takich jak możliwość korzystania z członkostwa w grupie dynamiczne lub grupom AMA uchwyt jako dynamiczna grupa może spowodować poważne problemy. Dlatego NT tokenów nie obsługuje dynamicznego członkostw. Jeśli system może grup przycięcie w czasie rzeczywistym, użytkowników może być niemożliwe interakcji z pulpitu i aplikacji. W związku z tym przynależność do grupy są zablokowane w momencie tworzenia sesji i są utrzymywane w całej sesji.

Buforowane podczas logowania są problematyczne. Jeśli włączono zoptymalizowane logowania usługi lsass najpierw próbuje lokalnej pamięci podręcznej, zanim go wywołuje obie strony sieci. Jeśli nazwa użytkownika i hasło są identyczne do usługi lsass widział dla poprzedniego logowania (dotyczy to większości logowania), usługi lsass tworzy token, który ma samego członkostwa grupy, które uprzednio.

Jeśli zoptymalizowane logowania jest wyłączony, że obie strony sieci byłoby wymagane. Thiswould upewnij się, że przynależność do grupy działa przy logowaniu zgodnie z oczekiwaniami.

W pamięci podręcznej logowania usługi lsass zachowuje jeden wpis dla każdego użytkownika. Ten wpis zawiera poprzedni członkostwo grupy użytkownika. To jest chronione zarówno ostatni passwordor karty inteligentnej poświadczeń, który widział lsass. Rozwijać zarówno o tym samym kluczu token i poświadczeń. Gdyby użytkownik próbował się zalogować przy użyciu klucza starych poświadczeń, stracą one danych DPAPI, zawartości chronionej przez system EFS i tak dalej. W związku z tym pamięci podręcznej logowania tworzą zawsze najbardziej aktualne członkostwa grup lokalnych, bez względu na to mechanizm, który jest używany do logowania się.
Logowanie interakcyjne ubezpieczeń AMA mechanizmu uwierzytelniania

Ostrzeżenie: ten artykuł przetłumaczono automatycznie

Właściwości

Identyfikator artykułu: 3101129 — ostatni przegląd: 11/21/2015 16:49:00 — zmiana: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtpl
Opinia