Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Streszczenie

W tym artykule omówiono sposób użycia ubezpieczeń mechanizm uwierzytelniania (AMA) w scenariuszach logowania interakcyjnego.

Wprowadzenie

AMA dodaje członkostwo grupy uniwersalnej, wyznaczonych przez administratora do tokenu dostępu użytkownika podczas uwierzytelniania poświadczenia użytkownika podczas logowania przy użyciu metody logowania opartego na certyfikatach. Umożliwia administratorom zasobów sieci do kontrolowania dostępu do zasobów, takich jak pliki, foldery i drukarki. Dostęp ten opiera się na tego, czy użytkownik loguje się przy użyciu metody logowania opartego na certyfikatach i typ certyfikatu, który jest używany do logowania się.

W tym artykule

Ten artykuł skupia się na dwóch scenariuszy problem: logowanie/wylogowywanie i Zablokuj/Odblokuj. Zachowanie AMA w tych scenariuszach jest "zgodnie z projektem" i mogą być podsumowywane w następujący sposób:

  • AMA jest przeznaczony do ochrony zasobów sieciowych.

  • AMA nie można zidentyfikować ani wymuszać typ interakcyjnego logowania (karta inteligentna lub nazwa użytkownika/hasło) dla użytkownika komputera lokalnego. Jest to spowodowane zasobów, które są dostępne po zalogowaniu użytkownika interakcyjnego nie może być niezawodnie chronione za pomocą AMA.

Objawy

Problem scenariusz 1 (logowanie/wylogowywanie)

Rozważ następujący scenariusz:

  • Administrator chce wymuszania uwierzytelniania logowania karty inteligentnej (SC), gdy użytkownicy uzyskują dostęp pewne zasoby związane z zabezpieczeniami. Aby to zrobić, administrator wdraża AMA według Gwarancja mechanizmu uwierzytelniania dla AD DS w systemu Windows Server 2008 R2 — przewodnik krok po kroku dla identyfikator obiektu zasad wystawiania, używanym w wszystkie certyfikaty kart inteligentnych.

    Uwaga W tym artykule określamy tej nowej grupy mapowane jako "karty inteligentnej grupy uniwersalne zabezpieczeń."

  • "Logowanie interakcyjne: Wymagaj karty inteligentnej" nie jest włączona na stacjach roboczych. W związku z tym użytkownicy mogą logować się przy użyciu innych poświadczeń, takich jak nazwa użytkownika i hasło.

  • Lokalne i grupy uniwersalne zabezpieczeń kart inteligentnych wymaga dostępu do zasobów sieciowych.

W tym scenariuszu można oczekiwać, że jedynie użytkownik, który podpisuje przy użyciu kart inteligentnych można uzyskać dostęp lokalnych i zasobów sieciowych. Jednak ponieważ stacji roboczej pozwala zoptymalizowany buforowane logowania, kontroler pamięci podręcznej jest używany podczas logowania do tworzenia tokenu dostępu NT dla pulpitu użytkownika. W związku z tym grup zabezpieczeń i roszczeń od poprzedniego logowania są używane zamiast obecną.



Przykłady scenariuszy

Uwaga W tym artykule są pobierane członkostwa grupy dla sesji logowania interakcyjnego za pomocą "whoami/grupy". To polecenie pobiera grupy i oświadczenia z tokenu dostępu do pulpitu.

  • Przykład 1

    Jeśli wykonano poprzednie logowania przy użyciu karty inteligentnej, token dostępu dla komputerów stacjonarnych ma grupy zabezpieczeń uniwersalnym karty inteligentnej, dostarczonego przez ARR. Występuje jeden z następujących wyników:

    • Użytkownik loguje się przy użyciu karty inteligentnej: użytkownik nadal może uzyskać dostęp do zasobów wrażliwych zabezpieczeń lokalnych. Użytkownik próbuje dostępu do zasobów sieciowych, które wymagają grupy uniwersalne zabezpieczeń kart inteligentnych. Sukces tych prób.

    • Użytkownik loguje się przy użyciu nazwy użytkownika i hasła: użytkownik nadal może uzyskać dostęp do zasobów wrażliwych zabezpieczeń lokalnych. Ten wynik nie jest oczekiwany. Użytkownik próbuje dostępu do zasobów sieciowych, które wymagają grupy uniwersalne zabezpieczeń kart inteligentnych. Te próby nie powiodą się, zgodnie z oczekiwaniami.

  • Przykład 2

    Jeśli wykonano poprzednie logowania przy użyciu hasła, token dostępu na pulpicie nie ma grupy zabezpieczeń uniwersalnym karty inteligentnej, dostarczonego przez ARR. Występuje jeden z następujących wyników:

    • Użytkownik loguje się przy użyciu nazwy użytkownika i hasła: użytkownik nie ma dostępu zabezpieczeń lokalnych zasobów poufne. Użytkownik próbuje dostępu do zasobów sieciowych, które wymagają grupy uniwersalne zabezpieczeń kart inteligentnych. Te próby nie powiodą się.

    • Użytkownik loguje się przy użyciu karty inteligentnej: użytkownik nie ma dostępu zabezpieczeń lokalnych zasobów poufne. Użytkownik próbuje uzyskać dostęp do zasobów sieciowych. Sukces tych prób. Ten wynik nie jest oczekiwany przez klientów. W związku z tym powoduje dostępu problemów z kontrolą.

Problem Scenariusz 2 (blokada)

Rozważ następujący scenariusz:

  • Administrator chce wymuszania uwierzytelniania logowania karty inteligentnej (SC), gdy użytkownicy uzyskują dostęp pewne zasoby związane z zabezpieczeniami. Aby to zrobić, administrator wdraża AMA według Gwarancja mechanizmu uwierzytelniania dla AD DS w systemu Windows Server 2008 R2 — przewodnik krok po kroku dla identyfikator obiektu zasad wystawiania, używanym w wszystkie certyfikaty kart inteligentnych.

  • "Logowanie interakcyjne: Wymagaj karty inteligentnej" nie jest włączona na stacjach roboczych. W związku z tym użytkownicy mogą logować się przy użyciu innych poświadczeń, takich jak nazwa użytkownika i hasło.

  • Lokalne i grupy uniwersalne zabezpieczeń kart inteligentnych wymaga dostępu do zasobów sieciowych.

W tym scenariuszu można się spodziewać, że tylko użytkownik, który zarejestruje się na przy użyciu kart inteligentnych można dostęp do lokalnego i zasobów sieciowych. Jednakże ponieważ token dostępu do komputera użytkownika jest tworzony podczas logowania, nie jest zmieniana.



Przykłady scenariuszy

  • Przykład 1

    Jeśli token dostępu dla komputerów stacjonarnych ma grupy zabezpieczeń uniwersalnym karty inteligentnej, świadczone przez ARR, występuje jeden z następujących wyników:

    • Odblokowuje użytkownika przy użyciu karty inteligentnej: użytkownik nadal może uzyskać dostęp do zasobów wrażliwych zabezpieczeń lokalnych. Użytkownik próbuje dostępu do zasobów sieciowych, które wymagają grupy uniwersalne zabezpieczeń kart inteligentnych. Sukces tych prób.

    • Odblokowuje użytkownika przy użyciu nazwy użytkownika i hasła: użytkownik nadal może uzyskać dostęp do zasobów wrażliwych zabezpieczeń lokalnych. Ten wynik nie jest oczekiwany. Użytkownik próbuje dostępu do zasobów sieciowych, które wymagają grupy uniwersalne zabezpieczeń kart inteligentnych. Te próby nie powiodą się.

  • Przykład 2

    Jeśli token dostępu na pulpicie nie ma grupy zabezpieczeń uniwersalnym karty inteligentnej, świadczone przez ARR, występuje jeden z następujących wyników:

    • Odblokowuje użytkownika przy użyciu nazwy użytkownika i hasła: użytkownik nie ma dostępu zabezpieczeń lokalnych zasobów poufne. Użytkownik próbuje dostępu do zasobów sieciowych wymaga grupy uniwersalne zabezpieczeń kart inteligentnych. Te próby nie powiodą się.

    • Odblokowuje użytkownika przy użyciu karty inteligentnej: użytkownik nie ma dostępu zabezpieczeń lokalnych zasobów poufne. Ten wynik nie jest oczekiwany. Użytkownik próbuje uzyskać dostęp do zasobów sieciowych. Te próby powiodła się zgodnie z oczekiwaniami.

Więcej informacji

Ze względu na konstrukcję AMA i podsystem zabezpieczeń, opisaną w sekcji "Symptomy" Użytkownicy wystąpić następujące scenariusze, w których AMA nie można wiarygodnie identyfikują typ logowania interakcyjnego.

Logon/logoff

Jeśli funkcja optymalizacji szybkiego logowania jest aktywny, lokalnych podsystem zabezpieczeń (lsass) używa lokalnej pamięci podręcznej do generowania członkostwa grupy w tokenie logowania. W ten sposób komunikacji z kontrolerem domeny (DC) nie jest wymagane. W związku z tym czas logowania jest ograniczona. Jest to funkcja wysoce pożądane.

Jednakże sytuacja ta powoduje następujący problem: po SC logowania i wylogowywania SC, lokalnie buforowane AMA grupa jest, niepoprawnie, nadal obecne w tokenie użytkownika po logowanie interakcyjne nazwy i hasła użytkownika.

Uwagi

  • Sytuacja ta dotyczy tylko interakcyjne logowania.

  • Grupę AMA jest buforowany w taki sam sposób i przy użyciu tej samej logiki jako inne grupy.


W tej sytuacji, jeśli użytkownik próbuje uzyskać dostęp do zasobów sieciowych, członkostwo grupy pamięci podręcznej po stronie zasobów nie jest używany i sesji logowania użytkownika po stronie zasobów nie będzie zawierał grupę AMA.

Ten problem może być ustalona przez wyłączenie funkcji optymalizacji szybkiego logowania ("Konfiguracja komputera > Szablony administracyjne > System > logowanie > zawsze Czekaj na sieć podczas uruchamiania komputera i logowania").

Ważne: To zachowanie jest istotne tylko w przypadku logowania interakcyjnego. Dostęp do zasobów sieciowych będzie działać zgodnie z oczekiwaniami, ponieważ nie ma potrzeby Optymalizacja logowania. W związku z tym członkostwo w grupie pamięci podręcznej nie jest używany. Kontroler domeny zostanie nawiązany kontakt z do utworzenia nowego biletu za pomocą najświeższych informacji członkostwa grupy AMA.

Lock/unlock

Rozważ następujący scenariusz:

  • Użytkownik loguje się interakcyjnie przy użyciu karty inteligentnej, a następnie otworzy zasobów sieciowych chronionych AMA.

    Uwaga AMA chronionej sieci, które zasoby mogą być dostępne tylko użytkownicy, którzy mają grupę AMA w ich tokenu dostępu.

  • Użytkownik zablokuje komputer bez uprzedniego zamknięcia zasób sieciowy chroniony AMA wcześniej otwarte.

  • Użytkownik odblokowuje komputer przy użyciu nazwy użytkownika i hasła użytkownika sam, który wcześniej zalogować się przy użyciu karty inteligentnej).

W tym scenariuszu użytkownik może nadal dostęp chroniony AMA zasobów po odblokowaniu komputera. To zachowanie jest zgodne z projektem. Po odblokowaniu komputera Windows nie odtworzyć wszystkie otwarte sesje, które miały zasobów sieciowych. System Windows również nie ponownie sprawdzić członkostwo w grupie. Jest tak, ponieważ te akcje mogłoby spowodować niedopuszczalne niewydolności.

Istnieje rozwiązanie out-of-box dla tego scenariusza. Jednym rozwiązaniem byłoby, aby utworzyć filtr dostawcy poświadczeń, który filtruje dostawcę nazwy i hasła użytkowników po zalogowaniu SC i wykonywane kroki blokady. Aby dowiedzieć się więcej na temat dostawcy poświadczeń, zobacz następujące zasoby:

Interfejs ICredentialProviderFilter

Przykłady dostawcy poświadczeń systemu Windows VistaUwaga Nie możemy potwierdzić, czy takie podejście nigdy nie została pomyślnie zrealizowana.

Więcej informacji na temat AMA

AMA nie można zidentyfikować ani wymuszać typ interakcyjnego logowania (karta inteligentna lub nazwa użytkownika/hasło). To zachowanie jest zgodne z projektem.

AMA jest przeznaczona dla scenariuszy, w których zasoby sieciowe wymagają karty inteligentnej. To nie ma być używane dla dostępu lokalnego.

Każda próba rozwiązania tego problemu poprzez wprowadzenie nowych funkcji, takich jak możliwość korzystania z przynależności do grupy dynamicznej lub grupom AMA uchwyt jako dynamiczna grupa może spowodować poważne problemy. Dlatego tokeny NT nie obsługują członkostwa grup dynamicznych. Jeśli system dozwolone grupy do przycięcia w czasie rzeczywistym, użytkowników może być niemożliwe interakcji z ich własnych pulpitu i aplikacji. W związku z tym członkostwa w grupach są zablokowane w momencie tworzenia sesji i są utrzymywane w całej sesji.

Buforowanych logowania są problematyczne. Jeśli włączono zoptymalizowane logowania usługi lsass najpierw próbuje lokalnej pamięci podręcznej przed wywołuje sieci obie strony. Jeśli nazwa użytkownika i hasło są identyczne lsass piły dla poprzedniego logowania (dotyczy to większości logowania), lsass tworzy token, który ma samego członkostwa grupy, które uprzednio.

Jeśli zoptymalizowane logowania jest wyłączona, że obie strony sieci byłoby wymagane. Będzie to upewnij się, że członkostwo grup działa przy logowaniu zgodnie z oczekiwaniami.

W pamięci podręcznej logowania usługi lsass utrzymuje jeden zapis dla użytkownika. Ten wpis zawiera poprzedni członkostwo grupy użytkownika. To jest chroniony przez hasło ostatnio lub poświadczeń karty inteligentnej, który uczestniczył w usłudze lsass. Zarówno rozpakować tego samego klucza token i poświadczeń. Gdyby użytkownicy próbują zalogować się przy użyciu klucza starych poświadczeń, oni utracić dane DPAPI, zawartości chronionej przez system EFS i tak dalej. W związku z tym buforowanych logowania tworzą zawsze najbardziej aktualne członkostwa grup lokalnych, niezależnie od mechanizmu, który jest używany do logowania się.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×