Descrição do uso de AMA em cenários de logon interativo no Windows

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3101129
Sumário
Este artigo descreve como utilizar a garantia de mecanismo de autenticação (AMA) em cenários de logon interativo.
Introdução
AMA adiciona uma associação de grupo universal, administrador designado ao token de acesso do usuário quando as credenciais do usuário são autenticadas durante o logon usando um método de logon com base em certificado. Isso possibilita que os administradores de recursos de rede controlar o acesso a recursos, como arquivos, pastas e impressoras. Esse acesso é baseado em se o usuário fizer logon usando um método de logon com base em certificado e o tipo de certificado que é usado para fazer logon.
Neste artigo
Este artigo concentra-se em dois cenários de problema: logon/logoff e bloqueio e desbloqueio. O comportamento do AMA nessas situações é "por projeto" e pode ser resumido da seguinte maneira:

  • AMA destina-se a proteger os recursos de rede.
  • AMA não pode identificar nem aplicar o tipo de logon interativo (cartão inteligente ou nome de usuário/senha) para o computador local do usuário. Isso ocorre porque os recursos são acessados depois de um logon de usuário interativo não podem ser protegidos usando AMA confiável.
Sintomas

Problemas do cenário 1 (logon/logoff)

Considere o seguinte cenário:
  • Um administrador deseja impor a autenticação de Logon de cartão inteligente (SC) quando os usuários acessam determinados recursos sensíveis à segurança. Para fazer isso, o administrador implanta AMA de acordo com o Garantia do mecanismo de autenticação para o AD DS no guia passo a passo do Windows Server 2008 R2 o identificador de objeto de diretiva de emissão que é usado em todos os certificados de cartão inteligente.

    Observação: Neste artigo, nós nos referimos a esse novo grupo mapeado como "o grupo de segurança universal de cartão inteligente".
  • O "logon interativo: requer um cartão inteligente" política não estiver habilitada em estações de trabalho. Portanto, os usuários podem fazer logon usando outras credenciais, como nome de usuário e senha.
  • Local e o grupo de segurança universal de cartão inteligente requer o acesso aos recursos de rede.
Nesse cenário, você pode esperar que somente o usuário que assina usando cartões inteligentes pode acessar local e recursos de rede. No entanto, porque a estação de trabalho permite logon/em cache otimizado, é usado o verificador em cache durante o logon para criar o token de acesso do NT para o desktop do usuário. Portanto, os grupos de segurança e declarações de logon anterior são usadas em vez do atual.

Exemplos de cenário

Observação: Neste artigo, participação no grupo é recuperada para sessões de logon interativo usando "whoami grupos." Este comando recupera os grupos e as declarações do token de acesso da área de trabalho.

  • Exemplo 1

    Se o logon anterior foi realizado usando um cartão inteligente, o token de acesso para a área de trabalho tem o grupo de segurança universal de cartão inteligente é fornecido pela AMA. Ocorrer um dos seguintes resultados:

    • O usuário faz logon usando o cartão inteligente: O usuário ainda pode acessar os recursos confidenciais de segurança local. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas bem sucedidas.
    • O usuário faz logon usando o nome de usuário e senha: O usuário ainda pode acessar os recursos confidenciais de segurança local. Esse resultado não é esperado. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas falharem conforme o esperado.
  • Exemplo 2

    Se o logon anterior foi realizado por meio de uma senha, o token de acesso para a área de trabalho não tem o grupo de segurança universal de cartão inteligente é fornecido pela AMA. Ocorrer um dos seguintes resultados:

    • O usuário faz logon usando um nome de usuário e senha: O usuário não pode acessar recursos confidenciais de segurança local. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas falharem.
    • O usuário faz logon usando o cartão inteligente: O usuário não pode acessar recursos confidenciais de segurança local. O usuário tenta acessar recursos de rede. Essas tentativas bem sucedidas. Este outcomeisn't esperada pelos clientes. Portanto, ele causa acesso problemas de controle.

Cenário 2 problemas (bloqueio e desbloqueio)

Considere o seguinte cenário:

  • Um administrador deseja impor a autenticação de Logon de cartão inteligente (SC) quando os usuários acessam determinados recursos sensíveis à segurança. Para fazer isso, o administrador implanta AMA de acordo com Garantia do mecanismo de autenticação para o AD DS no guia passo a passo do Windows Server 2008 R2 o identificador de objeto de diretiva de emissão que é usado em todos os certificados de cartão inteligente.
  • O "logon interativo: requer um cartão inteligente" política não estiver habilitada em estações de trabalho. Portanto, os usuários podem fazer logon usando outras credenciais, como nome de usuário e senha.
  • Local e o grupo de segurança universal de cartão inteligente requer o acesso aos recursos de rede.
Nesse cenário, você pode esperar que apenas um usuário que assina usando cartões inteligentes pode acessar local e recursos de rede. No entanto, como o token de acesso de área de trabalho do usuário é criado durante o logon, ele não será alterado.

Exemplos de cenário

  • Exemplo 1

    Se o token de acesso para a área de trabalho tem o grupo de segurança universal de cartão inteligente fornecido pelo AMA, um dos resultados a seguir ocorrerá:

    • O usuário desbloqueia usando o cartão inteligente: O usuário ainda pode acessar os recursos confidenciais de segurança local. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas bem sucedidas.
    • O usuário desbloqueia usando o nome de usuário e senha: O usuário ainda pode acessar os recursos confidenciais de segurança local. Este outcomeisn't esperado. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas falharem.
  • Exemplo 2

    Se o token de acesso para a área de trabalho não tem o grupo de segurança universal de cartão inteligente fornecido pelo AMA, um dos resultados a seguir ocorrerá:

    • O usuário desbloqueia usando o nome de usuário e senha: O usuário não pode acessar recursos confidenciais de segurança local. O usuário tenta acessar recursos de rede que exigem o grupo de segurança universal de cartão inteligente. Essas tentativas falharem.
    • O usuário desbloqueia usando o cartão inteligente: O usuário não pode acessar recursos confidenciais de segurança local. Este outcomeisn't esperado. O usuário tenta acessar recursos de rede. Essas tentativas bem sucedidas conforme o esperado.
Mais Informações
Devido ao projeto AMA e subsistema de segurança que é descrito na seção "Sintomas", os usuários experimentar as seguintes situações em que AMA confiável não pode identificar o tipo de logon interativo.

Logon/logoff

Se Fast Logon optimization está ativo, o subsistema de segurança Local (lsass) usa o cache local para gerar a participação em grupos no token de logon. Fazendo isso, a comunicação com o controlador de domínio (DC) não é necessária. Portanto, o tempo de logon é reduzido. Esse é um recurso altamente desejável.

No entanto, essa situação causa o seguinte problema: após Logon SC e SC Logoff, o grupo AMA armazenadas em cache localmente é, incorretamente, ainda está presente no token de usuário após o logon interativo de nome/senha de usuário.

Observações:

  • Essa situação se aplica somente a logons interativos.
  • Um grupo AMA é armazenada em cache da mesma maneira e usando a mesma lógica de outros grupos.

Nessa situação, se o usuário tentar acessar recursos de rede, participação em grupo em cache no sideisn'tused recurso e sessão de logon do usuário no lado do recurso não contêm um grupo AMA.

Esse problema pode ser corrigido ao se desativar o Fast Logon Optimization ("configuração do computador > Modelos administrativos > sistema > Logon > sempre esperar pela rede ao iniciar o computador e fazer logon").

Importante Esse comportamento é relevante apenas no cenário de logon interativo. Acesso aos recursos de rede irá funcionar como esperado porque não é necessário para a otimização do logon. Portanto, armazenar em cache o grupo membershipisn't usado. O controlador de domínio é contatado para criar o novo tíquete usando as mais recentes informações de membros de grupo AMA.

Bloqueio e desbloqueio

Considere o seguinte cenário:

  • Um usuário faz logon interativamente usando o cartão inteligente e abre os recursos de rede protegida AMA.

    Observação: Rede protegida AMA recursos podem ser acessados apenas usuários que possuam um grupo AMA em seu token de acesso.
  • O usuário bloqueia o computador sem primeiro fechar o recurso de rede protegida AMA abertos anteriormente.
  • O usuário desbloqueia o computador usando o nome de usuário e a senha do usuário mesmo que anteriormente logon usando um cartão inteligente).
Nesse cenário, o usuário ainda pode acessar os recursos protegidos AMA depois que o computador é desbloqueado. Esse comportamento é pré-definido. Quandoas computador é desbloqueado, Windows não recriar todas as sessões abertas que tinham os recursos da rede. Windows também não verificar participação no grupo. Isso ocorre porque essas ações causaria penalidades de desempenho inaceitável.

Não há nenhuma solução out-of-box para esse cenário. Uma solução seria criar um filtro de provedor de credenciais que filtra o provedor de nome/senha de usuário após o logon SC e bloqueio de etapas ocorrerão. Para saber mais sobre o provedor de credenciais, consulte os seguintes recursos:

Observação: Não podemos confirmar se esta abordagem já foi implementada com êxito.

Para obter mais informações sobre AMA

AMA não pode identificar nem aplicar o tipo de logon interativo (cartão inteligente oruser nome/senha). Esse comportamento é pré-definido.

AMA destina-se a situações em que os recursos de rede exigem um cartão inteligente. Não deveria ser usedfor o acesso local.

Qualquer tentativa de correção do problema com a introdução de novos recursos, como a capacidade de usar os membros do grupo dinâmico ou a alça AMA grupos como um grupo dinâmico pode causar problemas significativos. É por isso símbolos NT não oferecem suporte a participações em grupos dinâmicos. Se o sistema permitidos grupos seja cortada em real, usuários poderá ser impedidos de interagir com sua própria área de trabalho e aplicativos. Portanto, participações em grupo bloqueadas no momento em que a sessão é criada e mantidas durante toda a sessão.

Logons em cache também são problemáticos. Se otimizado de logon estiver habilitada, o lsass tenta primeiro um cache local antes que ele invoca uma rede ida. Se o nome de usuário e a senha são idênticos ao que viu lsass para logon anterior (Isso é verdadeiro para a maioria dos logons), o lsass cria um token que tem os membros do grupo mesmo que o usuário tinha anteriormente.

Se o logon otimizado é desativado, uma resposta da rede seria necessária. Thiswould Certifique-se de que os membros do grupo funcionam no logon conforme o esperado.

Em um logon em cache, o lsass mantém uma entrada por usuário. Essa entrada inclui a associação de grupo do usuário anterior. Isso é protegido por ambos a último passwordor credencial do cartão inteligente que viu lsass. Ambos decodificar a mesma chave de token e credenciais. Se os usuários tentar fazer logon usando uma chave de credencial obsoletos, eles seriam perder dados DPAPI, conteúdo protegido pelo EFS e assim por diante. Portanto, logons em cache sempre produzem os membros do grupo local mais recentes, independentemente do mecanismo usado para efetuar logon.
Logon interativo de garantia AMA de mecanismo de autenticação

Warning: This article has been translated automatically

Propriedades

ID do Artigo: 3101129 - Última Revisão: 11/21/2015 16:49:00 - Revisão: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtpt
Comentários